xrea.com part146
[EMERGENCY] XREA again and spreading via FC2
Posted in RiskHedge on 7 月 11th, 2009 by gnome
EMERGENCY
汚染源拡大:
例の ActiveX (msvidctl.dll) 攻撃を思いっきり助長している Xreaですが
とうとう、アクセス解析のサイトトップにもインジェクションコードが埋め込まれています。
ここまで事態が拡大しているにも関わらず、何も手を打とうとしないのは何故なのか?
よくわかりません。
hellh.net
ax.xrea.com
Aレコード:
219.101.229.189
219.101.229.188
どういうラウンドロビンになっているのか判りませんが、219.101.229.188のみが感染コードの撒布を行っているようです。
Analysis report for hXXp://219.101.229.188/
hXXp://1856317799:888/jp.js
hXXp://0x6EA52967:888/dir2/show.php
hXXp://0x6EA52967:888/dir2/go.jpg
hXXp://1856317799:888/counter.htm
1856317799(10進表記) 0x6ea52967(16進表記)
110.165.41.103
幸いなことに、現在 110.165.41.103 は無応答状態ですが、今後はわかりません
Posted in RiskHedge on 7 月 11th, 2009 by gnome
EMERGENCY
汚染源拡大:
例の ActiveX (msvidctl.dll) 攻撃を思いっきり助長している Xreaですが
とうとう、アクセス解析のサイトトップにもインジェクションコードが埋め込まれています。
ここまで事態が拡大しているにも関わらず、何も手を打とうとしないのは何故なのか?
よくわかりません。
hellh.net
ax.xrea.com
Aレコード:
219.101.229.189
219.101.229.188
どういうラウンドロビンになっているのか判りませんが、219.101.229.188のみが感染コードの撒布を行っているようです。
Analysis report for hXXp://219.101.229.188/
hXXp://1856317799:888/jp.js
hXXp://0x6EA52967:888/dir2/show.php
hXXp://0x6EA52967:888/dir2/go.jpg
hXXp://1856317799:888/counter.htm
1856317799(10進表記) 0x6ea52967(16進表記)
110.165.41.103
幸いなことに、現在 110.165.41.103 は無応答状態ですが、今後はわかりません
|
|
|
180 :名無しさん@お腹いっぱい。:2009/07/11(土) 16:57:38 0
>>179
APNIC-HM Hong Kong
110.165.*.* で検索しても、過去犯歴は見当たりません。
尚、hellh.net は現在はなぜか FC2管轄のリモートホストに向けられています。
sata4.fc2.com
208.71.106.124
59.151.23.102
211.152.51.110
---
同様の改竄が FC2 を中心に広まっている模様。
個人サイトを書くと迷惑になる可能性がありますので、各自でgoogle先生にお尋ねください。
-------------
感染確認:
(恐らく) WIndows Vista, Server2008 のユーザ様には関係ありません。
APNIC-HM Hong Kong
110.165.*.* で検索しても、過去犯歴は見当たりません。
尚、hellh.net は現在はなぜか FC2管轄のリモートホストに向けられています。
sata4.fc2.com
208.71.106.124
59.151.23.102
211.152.51.110
---
同様の改竄が FC2 を中心に広まっている模様。
個人サイトを書くと迷惑になる可能性がありますので、各自でgoogle先生にお尋ねください。
-------------
感染確認:
(恐らく) WIndows Vista, Server2008 のユーザ様には関係ありません。