とある php ファイルを辿ってみた

UnderForge さんとこで紹介されていた .php へのリンクが生きていたため、wget で拾ってみた。拾った .php は以下の内容（画像参照）となっていた。いつも通りの難読化。以前見た難読化コードとちょっと違っていたのは、冒頭で alert 関数の有無をチェックしている。いつも Rhino で JavaScript の難読化解除したけど、いつも通りに解除しようとしたら、Exception が発生。「if(alert)」を削除して難読化を解除した。この .php ファイルの VirusTotal 結果。

この難読化を解除すると、以下の内容（画像参照）となる。URL にはモザイクかけたが、同じ .php ファイルへのリンクとなっている。ちなみに実際には JavaScript の document.write() でこの画像の HTML タグが出力されます。

• ?s=rfEXJFQ9&id=2
  • Adode Reader/Acrobat の Exploit の可能性あり。
  • VirusTotal。執筆時点で 0/40
• ?s=rfEXJFQ9&id=3
  • Adobe Flash の Exploit の可能性あり。
  • VirusTotal。執筆時点で 0/41

?s=rfEXJFQ9&id=3 を仮想環境を開いてみると、outputinfo.php?id=11&0 にアクセスし、ファイルをダウンロードしてきた。

• VirusTotal。執筆時点で 5/40

なんか腑に落ちないけど、もう時間がないのでここまでで記事終了。

[2009/10/20 7:10 追記]
この日記執筆時点から 5 時間後に再度確認したところ、すでに該当 php にアクセスしても 404 Not Found となっていた。

参考情報

• atword.jp - このウェブサイトは販売用です！ - レンタル テンプレート 無料ブログ ワードプレス サーバ リソースおよび情報
• Squarespace - Claim This Domain
• 2009年10月18日の記事一覧 - 詳細表示 - Yahoo!ブログ
  • Exploitコード画像が掲載されている
• アッカーシェラン紀行 gumblar・martuz

【収集用メールアドレス】：q1w2e3w2@gmail.com