posted by Kwan's 2011. 2. 12. 23:59

첫 유포 사이트 : http://www.kxmc.co.kr/nxxo/view.php?id=news&no=132

스크립트를 통해 연결 된 사이트 : http://www.imchxxch.net/bbs/data/sub1_8/index.html

[index.html] 내에 들어있는 링크 !!

http://www.imchxxch.net/bbs/data/style.css ~> 불법사이트 연결 , 프록시 사용 필요 !!
http://www.imchxxch.net/bbs/data/sub1_8/in.js ~> ff10.htm 연결 !!
http://www.imchxxch.net/bbs/data/main.html ~> 메인 악성코드 최종 링크 관문 !!
http://www.imchxxch.net/bbs/data/sub1_8/ff10.htm ~> swfobjet.js 연결 http://www.imchxxch.net/bbs/data/sub1_8/swfobject.js

~>{id: 'jsxxxx2', res:
'res://C:\\ProgramFiles\\Rising\\Rav\\comserv.dll/#2/#4007'},

~>{id: 'jsxxxx3', res: 'res://C:\\Program Files\\Trend Micro\\Internet
Security\\UfPBCtrl.dll/#2/#102'

http://www.imchxxch.net/bbs/data/sub1_8/ie.html ~> cosplay.swf ,done.swf 연결 !
http://www.imchxxch.net/bbs/data/sub1_8/ff.html ~> cosplay.swf , done.swf 연결 !
http://www.imchxxch.net/bbs/data/sub1_8/cosplay.swf
http://www.imchxxch.net/bbs/data/sub1_8/done.swf
~> 불법 사이트 연결 , 프록시 사용 필요 !!

http://www.imchxxch.net/bbs/data/sub1_8/kr1.html ~> 8.jpg 다운 !
http://www.imchxxch.net/bbs/data/sub1_8/kr2.html ~> 8.jpg 다운 !
http://www.npxx.or.kr/zero/data/memk/8.jpg ~> 최종파일 !!

cosplay.swf 의 안마루님 블로그 분석 글: http://ahnmaru78.blog.me/30102626954

[안철수 연구소]

1. in.js ~> 분석중 
2. main.html ~> 분석중  
3. ajax.js ~> 분석중 
4. cosplay.swf ~> 분석중  
5. f10.htm ~> 분석중 
6. index.html ~> 분석중   
7. kr1.html ~> 분석중  
8. kr2.html ~> 분석중 
9. 8.jpg ~> V3 : Win-Trojan/Securisk(추가 : 2011.02.13.00)
10. swfobject.js ~> V3 : Script/Agent(추가 : 2011.02.01.00)

댓글을 달아 주세요

  1. 웃음속에 2011.02.13 01:06  Addr  Edit/Del  Reply

    잘 읽어봤어요.. 근데 이 누나는 모르겠어요 ㅋㅋㅋㅋㅋㅋㅋ
    이거 뭐야 ㅋㅋㅋㅋㅋㅋ 알려줘 ㅋㅋㅋㅋㅋㅋㅋ ㅠㅠ