cNotes 検索 一覧 カテゴリ

gumblar.cn の続き

Published: 2009/05/09

やはりダウンロードされるマルウェアは高頻度で更新されていってるようです。アンチウィルスは追いつかないですね。google safebrowsingもやっと対応したようですが、、、URLフィルター、リンクチェッカーソフトが頼りです。

ダウンロードのためのアクセスルールは簡単でした。

,離弌璽献腑鵐船Д奪のためのアクセスは必須。でも2,3,10以外の数字なら何でもいい?

,離▲セス後◆↓、い離瀬Ε鵐蹇璽匹可能になる。

い離瀬Ε鵐蹇璽匹鮗損椶垢襪汎碓IPによるダウンロードは一日?不能になる。

ただしい鮗損椶靴覆韻譴亅◆↓は何度でも繰り返し実行できる。

 http://gumblar.cn/rss/?id=xxxxxxxxxxxx
 http://gumblar.cn/rss/?id=2
 http://gumblar.cn/rss/?id=3
 http://gumblar.cn/rss/?id=10

また、インジェクション自体についても、例のコードが直接インジェクションされるだけではなく、iframe系ではやった手法=リンクを呼び出す難読化スクリプトは*.js等の別ファイルに書き込まれていてその*.jsを呼び出すリンクがうめこまれる手法も利用されているようです。

[カテゴリ:インジェクション観察日記]

by jyake