gumblar.cn
先月、以下のようなスクリプトがいくつかのサイトに注入されていました
(実際は難読化された長いスクリプトでした)。
http://94.247.2.195/jquery.js
zlkon.lv(ラトビアのISP?)配下のIPアドレスであることから
zlkonウイルスなどと呼ばれていました。
今はいくつかのサイトに以下のようなスクリプトが注入されています。
zlkon時代と似ています。解読すると以下のようになります(整形済み)。
「.cn」ですがIPアドレスはロシアです。
WindowsでNT6以外ということで、VistaやServer2008や7は除外されます
(2000やXPやServer2003が対象です)。
この後が面白いです。
私のXP+IE8でalertすると以下のようになります。
この数字は以下のようになります。
5.8.6001.18702 → 5818702
XP+IE7では以下のようになると思います。
5.7.0.5730 → 575730
XP+IE7+KB933812では以下のようになると思います。
5.7.0.16450(GDR) → 5716450
5.7.0.20550(QFE) → 5720550
IEを通すのであればもっと簡単な方法がいくつもあります(UAを調べる、VBScriptを使うなど)が、
一般的なスクリプトデコーダやIE以外のブラウザではこの値は返らないため
「解読しているのではなく、本当にIEで表示しているのか?」を調べているものと思われます。
この後に使われる脆弱性は2つあり、いずれもAdobeのソフトウェアです。
http://gumblar.cn/rss/?id=2 (←pdf、Acrobat)
http://gumblar.cn/rss/?id=3 (←swf、Flash)
http://gumblar.cn/rss/?id=10 (←exe)
zlkon時代と同様に何らかのアクセス制御(IPアドレスやホスト名など)があるようです
(それぞれpdf、swf、exeを拾えない場合は蹴られています)。
検体の提出はしましたが、頻繁に更新されると思います。
注入されているスクリプトのバリエーション。
自動生成されていると思われるこれらを単純にパターンマッチするのは現実的ではありません。
(実際は難読化された長いスクリプトでした)。
http://94.247.2.195/jquery.js
zlkon.lv(ラトビアのISP?)配下のIPアドレスであることから
zlkonウイルスなどと呼ばれていました。
今はいくつかのサイトに以下のようなスクリプトが注入されています。
zlkon時代と似ています。解読すると以下のようになります(整形済み)。
「.cn」ですがIPアドレスはロシアです。
WindowsでNT6以外ということで、VistaやServer2008や7は除外されます
(2000やXPやServer2003が対象です)。
この後が面白いです。
私のXP+IE8でalertすると以下のようになります。
この数字は以下のようになります。
5.8.6001.18702 → 5818702
XP+IE7では以下のようになると思います。
5.7.0.5730 → 575730
XP+IE7+KB933812では以下のようになると思います。
5.7.0.16450(GDR) → 5716450
5.7.0.20550(QFE) → 5720550
IEを通すのであればもっと簡単な方法がいくつもあります(UAを調べる、VBScriptを使うなど)が、
一般的なスクリプトデコーダやIE以外のブラウザではこの値は返らないため
「解読しているのではなく、本当にIEで表示しているのか?」を調べているものと思われます。
この後に使われる脆弱性は2つあり、いずれもAdobeのソフトウェアです。
http://gumblar.cn/rss/?id=2 (←pdf、Acrobat)
http://gumblar.cn/rss/?id=3 (←swf、Flash)
http://gumblar.cn/rss/?id=10 (←exe)
zlkon時代と同様に何らかのアクセス制御(IPアドレスやホスト名など)があるようです
(それぞれpdf、swf、exeを拾えない場合は蹴られています)。
検体の提出はしましたが、頻繁に更新されると思います。
注入されているスクリプトのバリエーション。
自動生成されていると思われるこれらを単純にパターンマッチするのは現実的ではありません。