본문 바로가기

코드

http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK 요즘 중국 사이트에서 악성코드가 삽입되는 사이트를 하루에 하나씩 보는거 같다. 오늘도 메일을 받던중 악성코드 사이트로 연결되는 사이트를 발견하였다. 이번에도 코드 자체가 평소와 같아서 사이트에서 최종파일 칮기란 매우 쉬웠다. 최종파일의 역활은 아직까지 하는것은 모르겠지만 안랩에서는 ASD로 때려 잡았다 ! 코드의 앞부분과 뒷부분은 어제와 마찬가지로 '+' 만 빼고 한다면 쉽게 최종파일까지 근접할수 있을것이다. %u5858%u5858%u10EB%u4B5B%uC'+'933%uB96'+'6%u03B8%u34'+'80%uBD0B%uFA'+'E2%u05E'+'B%uEBE8 (중략) %uc9c9%u87cd%u9292%ucece%u93ce%ud8ce%u84ce%uce84%ude93%u87d3%u8585%uc592%u.. 더보기
http://gft54577.3xx2.org:6677/x/index.html 변조!! http://gft54577.3xx2.org:6677/x/index.html 이것이 변조 된것을 오늘 찾았다. 따로 출력하는 문구가 필요없이 누구나 툴로 이용한다면 쉽게 나올수 있는 코드였다. 사이트에서 연결되는 곳은 http://gft54577.3xx2.org:6677/x/http://js.tongji.xxnezing.com/1759886/tongji.js http://gft54577.3xx2.org:6677/x/http://www.xxnezing.com http://gft54577.3xx2.org:6677/x/http://img.tongji.xxnezing.com/1759886/tongji.gif http://gft54577.3xx2.org:6677/x/pps.js 이렇게 연결 되지만 별달리 찾을 점.. 더보기
프루나 무비서치 악성코드 유포중 !! 내가 발견한 시각은 오늘 아침 9시경이었다. 예전에도 유포했다 월요일에 없어졌던 서버였지만 오늘 다시 보니 time out 위장되어 있는 사이트였다. 프루나라는 메인 페이지에서는 이 링크를 볼수없다. 여담이지만 이렇게 프루나에 꼭꼭 숨겨놓아서 어떤 사용자를 감염 시킨다는지 이해가 가지 않았다. 사진과 같이 프루나 메인페이지에서는 젼혀 search_list3.asp 가 보이지 않으므로 정상 접속에는 이상이 없다. 이 접속 경로는 http://vxd.prxxa.com/search/search_list3.asp 이쪽으로 되어있으며 이것 또한 익스플로러로 접속시 time out 이라는 문구만 보일뿐 세부 코드는 보이지 않는다! 하지만 도구를 통해서 본다면 세부 코드가 나오는 것으로 볼수있다. 이것 또한 처음에는.. 더보기