Hatena::ブログ(Diary)

思い立ったら書く日記

 | 

2009-10-20

Gumblar 再来とのこと

| 01:59 | Gumblar 再来とのことを含むブックマーク

UnderForgeを見に行ったら、2009年5月に流行した Gumblar が活動を再開したとのこと。関連記事を色々と見ていると、Exploit コードに誘導するまでがこれまでと異なる模様。

とある php ファイルを辿ってみた

UnderForge さんとこで紹介されていた .php へのリンクが生きていたため、wget で拾ってみた。拾った .php は以下の内容(画像参照)となっていた。いつも通りの難読化。以前見た難読化コードとちょっと違っていたのは、冒頭で alert 関数の有無をチェックしている。いつも Rhino で JavaScript の難読化解除したけど、いつも通りに解除しようとしたら、Exception が発生。「if(alert)」を削除して難読化を解除した。この .php ファイルの VirusTotal 結果

f:id:kaito834:20091020010843j:image


この難読化を解除すると、以下の内容(画像参照)となる。URL にはモザイクかけたが、同じ .php ファイルへのリンクとなっている。ちなみに実際には JavaScript の document.write() でこの画像の HTML タグが出力されます。

  • ?s=rfEXJFQ9&id=2
    • Adode Reader/Acrobat の Exploit の可能性あり。
    • VirusTotal。執筆時点で 0/40
  • ?s=rfEXJFQ9&id=3
    • Adobe Flash の Exploit の可能性あり。
    • VirusTotal。執筆時点で 0/41

f:id:kaito834:20091020011729j:image

?s=rfEXJFQ9&id=3 を仮想環境を開いてみると、outputinfo.php?id=11&0 にアクセスし、ファイルをダウンロードしてきた。

なんか腑に落ちないけど、もう時間がないのでここまでで記事終了。

[2009/10/20 7:10 追記]

この日記執筆時点から 5 時間後に再度確認したところ、すでに該当 php にアクセスしても 404 Not Found となっていた。


参考情報

【収集用メールアドレス】:q1w2e3w2@gmail.com

 |