追記
8080系の記事に関して時系列順にまとめました。
我ながらエントリーのタイトルに統一性がなくてよくわからなくなってきたのでGumblar.8080としてまとめようかいやでもめんどくさいなぁみたいな感じ。
さて、改ざんコードがちょこちょこと変わってきているようですが、脆弱性たっぷりな状態でそのようなサイトへアクセスしてもなんだか最近うまく感染してくれないよう。
というのが昨日までのお話。
どうせ今日もダメなんでしょハイハイちょろっと試してさっさと寝るべ、と思っていたら今日はちょっと違う反応が・・・
はーいやっぱりこんなページが表示されてそれ以後は何も起きなーい。
リダイレクト先は、なんたらかんたらgametopsite.ru:8080 (94.23.4.164)
504GatewayTime-outが返ってきてる?
念のため別のサイトにもアクセスしてみとこうかな?
・・・・・おや?ぱけっとろぐのようすが・・・
リダイレクト先は、なんたらかんたらsuperhighest.ru:8080/index.php?oops (87.118.90.76)
おお、久しぶりに見るコマンドプロンプトの画面が。
そして呼んでもないのに目覚めるJRE
けど、それで終了・・・?
かつて感染した時のような、怪しげな名前のプロセスが立ち上がるとか、svchost.exeがCPUを食いまくるとか、メモリ使用量がグイグイ上がるとかいう現象が一切起きません。
後で確認してみましたが、スタートアップフォルダへのファイルの追加も無し
レジストリのRunキーへの追加も無し
Cドライブへのファイルの追加を監視していたソフトのログは以下
追加 2010/1/29 20:57 Documents and Settings\user\file.exe
追加 2010/1/29 20:58 Documents and Settings\user\Application Data\Sun\Java\Deployment\ext\
追加 2010/1/29 20:58 Documents and Settings\user\Application Data\Sun\Java\Deployment\log\
追加 2010/1/29 20:58 Documents and Settings\user\Application Data\Sun\Java\Deployment\security\
追加 2010/1/29 20:58 WINDOWS\Sun\
追加 2010/1/29 20:58 WINDOWS\Sun\Java\
追加 2010/1/29 20:58 WINDOWS\Sun\Java\Deployment\
追加 2010/1/29 20:58 Documents and Settings\user\Application Data\Sun\Java\Deployment\cache\6.0\tmp\
追加 2010/1/29 20:58 Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\A9AH2PUB\ChangeLog[1].pdf
追加 2010/1/29 20:58 Documents and Settings\user\Local Settings\Temp\jar_cache3674.tmp
追加 2010/1/29 20:58 Documents and Settings\user\Local Settings\Temp\0.9433387463756875.exe
追加 2010/1/29 21:08 Documents and Settings\user\Local Settings\Temp\~DFED62.tmp
file.exeってなんじゃ・・・?(一応レジストリをfile.exeで検索してみたけど怪しげなものは見つからず)
うーん。
とりあえずはなんかうまくいってないみたいだけど、感染手法の細かな部分が変わってきてる・・・?
/ \ まぁこまけぇことはいいからもう寝たらいんじゃね?
|\/ ノ' ヾ \/|
|/ ≪①> <①≫ \| ⊂ニニ⊃
| (__人__) | ____ノ L
\、 ` ^^^^ ´ ,/ /\ / ⌒
. / ヾ `ー‐" " ⌒ヽ /(○) (○) \ こまけぇことはいいんだよ!
/ ヾ ," \ / (__人__) \ 寝ろよ!!
| r r\,"⌒ヽ | |::::::| |
:::::: ::;;:: ,,, ;;::: ,,::;;;;::::'' \ l;;;;;;l /l!| !
::::;; ::::::: ;; :::: ::::::::;;;::::::::;; γ⌒⌒/ `ー' \⌒⌒ヽ
::::::::;;::::::;; :::::::;;;::::: (_ノノ/ ヽ !l ヽしし_)
:::::::::::;;:: :::::::: ( 丶- 、 しE |
::::::;;;::::::::;;;; `ー、_ノ ∑ l、E ノ ( バン! バン!
:::::: ::::::: ::::::;; ::::::: ::::: :::::;; ⌒
::::::::: :::::;;; ::::::::::::::: :::;
::;;::./ ̄ ̄ ̄\ :::;;;;::::::::;;;;;;;:::''
/ ─ ─ \ うーんうーん
/ <ー> <ー> \
| (__人__) |
\ `⌒J´ /
/ \
最後にパケットログのダンプ結果の一部の謎のメッセージ的の文章。
. Under by at from of out through answered the this isusual. Up according as after behind over under by at from. Without upon up according as after behind over under by at from. Acne aha lil c o dilate sow karen filed mammal on into. After behind over under by at from. Acne aha lil c o dilate sow karen filed mammal on into. After behind over under by at from. By at from of out through answered.<br>
Upon up according as after behind over under. Into to without upon up according.<br>
Whine eject hype cigar 123 acne.<br>
This isusual kc sizes funny whine eject hype cigar 123 acne.<br>
123 acne aha lil c o dilate sow karen filed mammal. Karen filed mammal by at from of.<br>
Out through answered the this isusual kc sizes funny whine eject. Acne aha lil c o dilate sow karen filed. The this isusual kc sizes funny whine eject hype cigar.<br>
From of out through answered the this isusual.<br>
Acne aha lil c o dilate sow karen filed mammal whine eject. Over under by at from of out through answered. Out through answered the this isusual kc sizes funny whine eject. Kc sizes funny whine eject hype. The this isusual kc sizes. Through answered the this isusual.<br>
This isusual kc sizes funny whine. From of out through answered the this isusual.<br>
The this isusual kc sizes funny whine eject.
ちょっと!翻訳こんにゃくもってきて!
コメントする