fileserve スレ その2
パケットキャプチャやってみました
ソフトを起動したらまずここにアクセスしています
http://uleech.blogspot.com/2011/04/fsv12.html
http://uleech.blogspot.com//2011/03/control.html
ブラウザでアクセスしたところアラビア語のブログでした
トレンドマイクロのプロキシ(アンチウイルスゲートウェイ)はフィルタリング対象としていますがウイルスがいるとはいっていません
この時点でアレですが、プロキシを外してAVGだけでアクセスしましたが反応ありません
いまのリモートホストのはFQDNはuleech.blogspot.comでグローバルIPは72.14.203.132です
キャプチャしたデータをHTMLで再現してみると説明文でもあったような例の文字列がでてきました
link=http://adf.ly/11KS4 value=563sdffgv25dsaa
link=http://adf.ly/11KSO value=53ds,llfdds85
link=http://adf.ly/11KTG value=cdfrsfdfadas
link=http://adf.ly/11KTQ value=jjdfsjrrgtjk
link=http://adf.ly/11KTn value=sdsdhjfds12
link=http://adf.ly/11KUA value=shkjklhdscxs
link=http://adf.ly/11KUi value=uinfl;ldjew
link=http://adf.ly/11KV3 value=ul;jhgdj;aa12
link=http://adf.ly/11KVK value=knskjkabk5856
link=http://adf.ly/11KVp value=mkaljmngl8452
なおこれらは起動した時点で拾ってきているものですので
GetCodeボタンを押してコードをWEBから入手しろという説明とは合致しません
またHTTPのPOSTも、その他のサイトへHTTP以外で送信もこの時点では確認できません
ソフトを起動したらまずここにアクセスしています
http://uleech.blogspot.com/2011/04/fsv12.html
http://uleech.blogspot.com//2011/03/control.html
ブラウザでアクセスしたところアラビア語のブログでした
トレンドマイクロのプロキシ(アンチウイルスゲートウェイ)はフィルタリング対象としていますがウイルスがいるとはいっていません
この時点でアレですが、プロキシを外してAVGだけでアクセスしましたが反応ありません
いまのリモートホストのはFQDNはuleech.blogspot.comでグローバルIPは72.14.203.132です
キャプチャしたデータをHTMLで再現してみると説明文でもあったような例の文字列がでてきました
link=http://adf.ly/11KS4 value=563sdffgv25dsaa
link=http://adf.ly/11KSO value=53ds,llfdds85
link=http://adf.ly/11KTG value=cdfrsfdfadas
link=http://adf.ly/11KTQ value=jjdfsjrrgtjk
link=http://adf.ly/11KTn value=sdsdhjfds12
link=http://adf.ly/11KUA value=shkjklhdscxs
link=http://adf.ly/11KUi value=uinfl;ldjew
link=http://adf.ly/11KV3 value=ul;jhgdj;aa12
link=http://adf.ly/11KVK value=knskjkabk5856
link=http://adf.ly/11KVp value=mkaljmngl8452
なおこれらは起動した時点で拾ってきているものですので
GetCodeボタンを押してコードをWEBから入手しろという説明とは合致しません
またHTTPのPOSTも、その他のサイトへHTTP以外で送信もこの時点では確認できません
|
|
|
657 :[名無し]さん(bin+cue).rar:2011/05/02(月) 10:08:52.59 ID:T0oamWvo0
>>652 スパイウェアなんてエロサイトにわんさかあるから気にするなw
658 :[名無し]さん(bin+cue).rar:2011/05/02(月) 10:11:48.43 ID:hPT/Wma+0
仮想環境+公開プロキシを付けてアクセスしたほうがよさそうですね
659 :[名無し]さん(bin+cue).rar:2011/05/02(月) 10:25:04.68 ID:hPT/Wma+0
http://uleech.blogspot.com/2011/04/fsv12.htmlの解説ありました
http://www.threatexpert.com/report.aspx?md5=b3809105d19e606b43676e6fb6bd5a5b
中途半端に書いてますが、メモリへの影響はなし、ファイルの影響あり?
どの時点かわかりませんがアウトバンドトラフィックあり、となっています
ここは起動した時点でアクセスしていました
http://be08725c.linkbucks.com/
http://be08725c.linkbucks.com/Track.aspx/Link
http://d920207c.linkbucks.com/
http://d920207c.linkbucks.com/Track.aspx/Link
http://b17b1b59.linkbucks.com/
http://b17b1b59.linkbucks.com/Track.aspx/Link
http://www.threatexpert.com/report.aspx?md5=b3809105d19e606b43676e6fb6bd5a5b
中途半端に書いてますが、メモリへの影響はなし、ファイルの影響あり?
どの時点かわかりませんがアウトバンドトラフィックあり、となっています
ここは起動した時点でアクセスしていました
http://be08725c.linkbucks.com/
http://be08725c.linkbucks.com/Track.aspx/Link
http://d920207c.linkbucks.com/
http://d920207c.linkbucks.com/Track.aspx/Link
http://b17b1b59.linkbucks.com/
http://b17b1b59.linkbucks.com/Track.aspx/Link
660 :[名無し]さん(bin+cue).rar:2011/05/02(月) 10:39:04.63 ID:crSUKYoq0
結局のことこアクセス者のホスト情報を集めてるだけ?
661 :[名無し]さん(bin+cue).rar:2011/05/02(月) 10:45:00.72 ID:hPT/Wma+0
まだ解析中
すくなくともIPアドレスは通知されてしまいますね
すくなくともIPアドレスは通知されてしまいますね