zlkon、gumblar、martuz 再臨

いろいろなサイトさんでも情報が出ていますように、スクリプトの特徴からgumblarの系譜上にあるもののようですね。

以前gumblar系でやられたサイトが再び被害をうけているような状況のようです。

そうかぁ、gumblar以後ずっと観測続けてたんですが、いろんなサイトで情報がでるまで気付かなかった、、、過去データを見ると10/12ごろにはこの改ざんのデータがありました。。。

インジェクションされいているのは単純な一行の「<script src=xxx></script>」。

埋め込まれているURLはこんなやつ。

ドメインだけにしようと思いましたが、zlkon、gumblar、martuzと違って今回はURLそのものがバラバラなので全体を載せてみます。なんか一部変なのも混ざってますが、特徴がなくてわかりにくい？

 jvaflash.com ／images／postinfo．php
 restaurantparkhvar.com ／js／index．php
 ppl-14.ru ／upload／price.shtml．php
 logoismdesign.com ／blog／contact-us．php
 protech-uk.co.uk ／images／roundrep．php
 albaser.com ／images／image．php
 download.ir ／archives／anti_spyware／hacker．php

これらも、やられちゃったサイトなんですよね。。。バーチャルホスティングだし。

gumblarみたいなドメインの使い方ならドメインで簡単にブロックできましたが、

飛ばされた先の難読化スクリプトの正体？あえてわかりにくく、、、、、

直接ダウンロードにかかわる要点は、この部分ですかね。

手法的にはたしかにそっくりですね。s=の部分はセッションID？

やはりアクセス制御がきいていますね。。

一定時間かどうなのかちゃんと時間はしらべてませんが、以前と同じく二度目のアクセスは抑制されるみたいです。。。

しかし、これって、検体の取得も解析もむちゃくちゃ大変じゃないですか？？？？？

[カテゴリ:インジェクション観察日記]

by jyake