Re Fwd Changelog - CVE2011-3544
Published: 2011/12/20
やはり再観測。数が少ないですし、実際は以前から継続されているものかもしれません。
ありがちな「Changelog」系の文面です。
文面のURLはこんどは共通的な特徴なし。
たとえばこれ。
http://turquoisemoonltd.com/modules/mod_wdbanners/adpww.htm
その中身はいつもの。難読化?スクリプト。
以下いままでと同じながれ。
w.php?f=17
(28/42)
v1.jar
(9/43)
g43kb6j34kblq6jh34kb6j3kl4.jar
(4/43)
いづれのファイルも新しくなってますね。
Domain Name: TURQUOISEMOONLTD.COM Registrar: DIRECTNIC, LTD Whois Server: whois.directnic.com Referral URL: http://www.directnic.com Name Server: DNS1.CYBERSMART.CO.ZA Name Server: DNS2.CYBERSMART.CO.ZA Status: clientDeleteProhibited Status: clientTransferProhibited Status: clientUpdateProhibited Updated Date: 16-sep-2011 Creation Date: 22-oct-2009 Expiration Date: 22-oct-2012
196.41.124.211 inetnum: 196.41.96.0 - 196.41.127.255 netname: NCPL1-20051024 descr: Cybersmart country: ZA
by jyake