security/악성코드 유포 썸네일형 리스트형 지난주 악성코드 유포지 8곳 !! 1. 사이트 !! 레이xx 클럽 : http://www.rxxexx.co.kr 옐xx x 택배 : http://www.yelxxxxx.co.kr 피자 xx : http://www.pizzxexxxx.com 게xx젤 : http://www.gaxxxxxel.com 개xx 닷컴 : http://www.gexxmxon.com 安康x政网x迎您 : http://www.xxcx.gov.cn 브레이크 xx : http://www.breakxxxx.com 한국xxxxx연합회 : http://www.xxxwxl.or.kr 外 다수 2. 유포지 !! [어디서 유포됐는지 모르는 곳] 2010/11/20 http://1x4.2xx.87.1x5/help.asp [레이xx 클럽, 옐xx x 택배, 피자 xx] 2010/11/17.. 더보기 PDF.S.Exploit.9993 보고 나서 ! %PDF-1.1 1 0 obj > endobj 2 0 obj > endobj 3 0 obj > endobj 4 0 obj > endobj 5 0 obj endobj xref 0 6 0000000000 65535 f 0000000010 00000 n 0000000096 00000 n 0000000145 00000 n 0000000205 00000 n 0000000279 00000 n trailer > startxref 1790 %%EOF 이것에 대해서 풀어봤다~ 이번에는 필터 값이 주어지지 않아서 많이 힘들었다. 위에 값과 순수한 함수들로 해서 풀리는 것이었다. for (i = 0; i 더보기 ARP 스푸핑 파일과 연결시켜주는 스크립트 img.js , kol.html !! * 이 글은 아주 비전문가인 제가 그냥 한것이므로 많은 오류와 잘못된 정보가 있을 수 있음을 알려드립니다. img.js 를 찾을려면 일단 감염된 사이트를 찾아야 한다. 오늘자로 유포된 img.js는 유포된 사이트에서 찾는데 스크립트를 사이사이에 끼워놔서 찾기가 너무 어려웠다. 사이트 스크립트 중간중간에 이런식으로 들어 있기 때문에 찾는데 꽤 어려움을 겪었다. 이렇게 img.js를 본다면 다음에 기다릴것은 내부 안의 코드이다. 이렇게 보면 역시 아스키 코드로 이루어 져있다. 이런 코드 해독 방법은 아스키 코드를 아시는 분이라면 잘 하실수 있을것입니다. 하지만 저는 아직 잘 모르기 때문에 멀질라라는 프로그램으로 해독하는 방법으로 선택하였습니다. 이런 식으로 간단하게 뜨는 것을 확인 할 수 있습니다. 아이프레.. 더보기 Increase 를 이용한 악성 스크립트는 제작자의 실수 !! 이전글 : Increase 를 이용한 악성 스크립트 ! 글을 쓰기에 앞서서 먼저 글을 봐주시고 오류를 말씀해주신 바이쭌님께 감사를 드립니다 :D 제가 쓴글이 틀림을 이렇게 정정 합니다. function a(p){var j,t;j="";for(i=1;i 더보기 Increase 를 이용한 악성 스크립트 ! 최근에는 그냥 window.alert(x) 로 출력 한다면 바로 나오는 출력 코드가 꽤 눈에 띄이고 있다. 뭐 내가 보는게 전부는 아니지만 최근에 alert(x) 출력을 하고도 또 다시 한번더 증가를 시켜주어야 하는 악성코드를 보아서 이렇게 글을 쓴다. 이 악성코드는 2010/10/05 에 나왔으며 지금은 보이지 않는 악성코드이다. function a(p){var j,t;j="";for(i=1;i 더보기 한컴에서의 유포되었던 악성코드 ma.exe를 실행시킨 결과... * 이것은 비 전문가인 제가 한것으로 실제 떨어지는 파일은 더 많을수도 적을수도 있음을 알려 드립니다 ! 해당 스크립트에서 받는 ma.exe를 실행 시켜 보았습니다. 처음에는 그냥 뭐 그럴려니 하고 실행시켰습니다. 실행 아이콘도 모업체의 게임인 던젼 앤 파이터 모양이어서 그럴사하게 만들었더라고요.. 어쨌든 실행결과는 많은 파일들을 떨어뜨리고 그 때문에 많은 프로세서의 실행이 있었습니다. 처음 ma.exe를 실행했을때는 old.dll , game_loginfo.log 가 C:\WINDOWS\system32 에 생성되고 그 다음에는 성인 사이트로 연결시켜주는 IeProtect360a.exe (27.9KB) 가 시작 프로그램에 생성됩니다. 추가적으로 C:\Program Files 에 ma1.exe , yk.e.. 더보기 [악성코드 유포] 3차 유포 취업사이트 또 다시 악성코드 삽입 !! 1차 유포 : [악성코드 유포] 알라딘 너희만 유포하냐?? 취업 , 포털 사이트인 우리도 질 수 없다. 2차 유포 : [악성코드 유포 !! 그들의 유포는 언제까지 계속 되는건가 ?? 현재 오후 10시 40분 현재 잡 다음과 취업사이트 커리어에 다시한번 악성코드가 삽입되어 있는것을 발견하였다. 사이트를 수정한지 몇일 안되서 다시한번 이와 같은 사태에 너무나도 심각한게 느껴진다. 평일이지만 관리를 어떻게 하는건지 궁금할 따름이다 . 현재 잡 다음의 http://jobx.xxxx.net/xx/jquery.min.js 링크를 살펴 보면 아랫부분에 아이프레임으로 이와 같이 가려 놓았다 document.write(""); 남들이 볼 수 없게 맨 아래에 위치 해놓았으며 그걸 다시 해석 하면 이와 같이 나와있다 ! 사.. 더보기 악성코드 유포 !! 그들의 유포는 언제까지 계속 되는건가 ?? 어제 게시물 : [악성코드 유포] 알라딘 너희만 유포하냐?? 취업 , 포털 사이트인 우리도 질 수 없다. 전 게시물에 이어서 오늘도 역시 유포가 계속되고 있습니다. 오늘 아침에는 링크가 지워진것을 보았으니 또다시 링크를 삽입하여서 유포중에 있습니다. 빠른 조치가 될 줄 알았지만 지금도 역시 사이트에 접속하면 링크안에 또 다시 악성코드가 자리를 잡고 있음을 확인하였습니다. 왠지 계속 뚫리는거 보니 확인하는게 그때 그때만 하는게 아닌지 생각이 드네요...어제에 쓴 글과 같이 오늘도 역시 실망을 시키지 않는 취업 , 포털사이트 빨리 수정이 되었으면 하네요 . 현재 js 파일 안에는 또 다른 js로 연결되는 아이프레임이 삽입 되어 있습니다. 현재 포털 JS 안에는 아이프레임 형식이아닌 꼬여놓아서 코드를 만들어 .. 더보기 [악성코드 유포] 알라딘 너희만 유포하냐?? 취업 , 포털 사이트인 우리도 질 수 없다. 세의님의 알라딘 시리즈에 이어서 이에 뒤질세라 평일에 포털사이트인 캐리어도 유포를 시작하였습니다.현재 페이지는 오늘 오후에 변조가 되었음을 확인하였습니다. 그 결과 http://job.XXXX.net 에도 악성링크가 삽입되어서 현재는 취업 사이트인 캐리어와 잡 NEXT에서 유포 되고 있음을 확인 할 수 있습니다 !! 지난주에도 글을 쓸까 말까 하다가 이번에 다시 유포되고 있어서 이렇게 글을 써봅니다. 아무튼 이 사이트 둘은 매우 조심해야 아니 들어가지 말아야합니다 !! 악성코드는 캐리어와 NEXT음에서 유포하고 있습니다. 현재 원인으로써는 먼저 감염된 커리어에 있는거 같습니다. 커리어 http://www.caxxxx.co.kr/js/job_rnd_list.js 에서 job.XXXX.net 으로 유입된거 .. 더보기 yahoo.js 의 유포날짜 2차 정리 !! * 이것은 제가 발견한 날짜로 실제 유포 날짜하고는 다를 수 있음을 알려드립니다. 2010/08/13 http://www.xxx816.com.cn/cache/yahoo.js ~> 서버 죽음 !! http://www.xxx816.com.xx/cache/ad.htm ~> 서버 죽음 !! http://www.xxoxe.cn/xxages/s.exe ~> 서버 죽음 !! http://www.xxx816.com.cn/cache/news.html ~> 서버 죽음 !!http://www.xxx816.com.cn/cache/count.html ~> 서버 죽음 !!http://www.xxx816.com.cn/cache/hcp.html ~> 서버 죽음 !! 2010/08/14 http://www.xxx.me/xxches/y.. 더보기 이전 1 ··· 3 4 5 6 7 8 9 다음
