3b3.org 在 0 Day 的大復活日記

3b3.org 是啥！可以問問 google 大神，這是今年初惡意網頁掛碼所使用的惡意網域，最近復活了。透過 DirectShow MPEG2TuneRequest Stack Overflow 的 0 Day 大復活了...

一般惡意網域在惡意利用後，大多會丟棄不用，會再利用新的惡意網域，但 3b3.org 並沒有，在沉潛一段時日之後復活了。很重要的原因是：有太多網站被植入此惡意連結後，一直沒有移除。換句話說，很多網頁還留有舊的攻擊連結。

先前兩篇文章，你看了嗎？
網站多久沒健檢，是不是該關心一下了
深思網站淪陷背後的意義

先看看 3b3.org/c.js 在做啥...





再看看 HackAlert 發現的一個掛馬網址：


詳細追下去：




是不是發現都是一樣的攻擊碼了。這是 Microsoft DirectShow MPEG2TuneRequest Stack Overflow Exploit，這可是 0 day 的漏洞，可以參考鬼仔's Blog：
Microsoft DirectShow MPEG2TuneRequest Stack Overflow Exploit
DirectShow 0DAY第二波警告