본문 바로가기

security

www.rendom.mx/bst/ 익스플로릿 최종 파일! 우연히 구글링을 하던중 www.rendom.mx/bst/ 를 발견하였다. 이사이트는 익스플로릿을 배포하는것으로 알려져있다. 멀질라로 통해 처음에 봤을때는 코드형태가 매우 이상했다. var wR39n2OWQBsOq7 =''; wR39n2OWQBsOq7 = 'so un ds25so un ds30so un ds41so un ds76so un ds61so u\ n ds72so un ds25so un ds32so un ds30so un ds59so un ds\ 이런식으로 계속 반복이 되는 코드를 보았다. 난 바로 도움을 청했다. 이런것을 볼때는 어떻게 보아야하는지 물어보았다. 첨에는 멀질라로의 한계같았지만 약간의 설정만 변경하면 최종파일까지 보일수 있다는걸 알았다. 처음 멀질라 설정값은 Mozilla/4.0 (c.. 더보기
악의적인 목적이 포함된 주전자 닷컴! 주전자 닷컴 사이트 플레시 게임란에 어제 악성코드 유포하는것을 보았다. 플레시 게임을 시작 버튼에 숨겨져 있는것으로 현재는 유포하는지 모르겠다. 그 페이지 안에는 http://211.234.118.207/main.html 이라는것이 숨겨져있다 물론 악성코드이다. 일반 익스플로러로 켠다면 절대 보이지 않을것이다. main.html 을 자세히 열어보면 이것의 공유지임을 알수있다. 이 3파일중 하나는 분명 최종파일 exe 를 유포할껄 직감을 했다. 좀더 나는 안쪽으로 들어가서 rl.jpg ~ ytl.jpg 까지 살펴보았다. 처음에는 rl.jpg 에서 유포하는것으로 알고있었지만 코드가 해석 되지 못했다. 그러므로 패쓰하고 yt1.jpg로 넘어갔다. yt1.jpg를 살펴보니 !! try { new ActiveXO.. 더보기
지난주 악성코드 유포사이트 7곳 1. 사이트 한국 E 스포츠 협회 : http://www.e-sports.or.kr 대명 리조트 : http://www.daemyungresort.com/asp/main.asp 프루나 : http://www.pruna.com CJ 엔터테인먼트 : http://www.cjent.co.kr KBS : http://sso.kbs.co.kr 조아라 : http://www.joara.com/main.html 주전자 닷컴 : http://zuzunza.joins.com 2. 유포 사이트 1. 한국 E 스포츠 협회 http://211.218.126.144/css/top.asp ~> 서버 죽음! (V3 : JS/Downloader 추가 : 2010.04.23.02) http://61.100.7.171/css/lib.a.. 더보기