본문 바로가기

AhnLab-V3

리뷰 xx 현재 악성코드 유포중 !! 현재 이사이트에는 악성코드가 심어져있다. 평일에 오랜만에 만나는 악성코드사이트 인거 같다. 평일에는 관리를 않해서 그런가. 근데 이번에 심어져있는 샘플을 보면 몇일전 세티즌에 유포했던 샘플과 거의 비슷하다. 띄엄띄엄 코드를 해놓고는 ... 샘플 수집하는데 귀찮은줄 알았다 ! kr.exe 받는 파일은 5개있다 http://www.cnstaseed.org/templates/wXXntrue/root/AHHS3.js http://www.cnstaseed.org/templates/wXXntrue/root/ah1.js http://www.cnstaseed.org/templates/wXXntrue/root/n93.jpg http://www.cnstaseed.org/templates/wXXntrue/root/ie.js.. 더보기
보안xx 현재 악성코드 유포중 !! 현재 보안xx 에는 악성코드 js가 삽입 되어있다 !! 사이트에서 뉴스를 보던중 이상한 링크를 발견 하였다. 처음에는 설마 하였지만 파일을 살펴보니 이상한 사이트로 연결되는것을 보았다. 이 파일은 온라인 게임핵으로 보이며 계정탈취를 위해 쓰이는 것으로 판단이 되어진다. 이 파일은 현재 내가 글쓰고 있는 이시간에도 소스안에 박혀있으며 뉴스 페이지인만큼 많은 피해가 우려가 된다. 역시 주말에는 악성코드의 놀이터인거 같다 !! 원본 페이지 : http://www.boxx.com/news/articleView.html?idxno=2507 유포 페이지 : http://58xxx.com/js.js ~> http://58xxx.com/ad.htm ~> http://58xxx.com/top.jpg ~> 최종파일 다운 .. 더보기
휴대폰 통신사 큐x텔 악성 스크립트 삽입 !! 지금 현재 모 휴대폰 통신사 큐x텔에는 악성 아이프레임이 삽입되어서 연결하고 있는것으로 보인다,. 사이트 내 소스를 보면 금방 악성코드가 삽입되어 있는것을 볼 수가 있다 !! 더보기
http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK 요즘 중국 사이트에서 악성코드가 삽입되는 사이트를 하루에 하나씩 보는거 같다. 오늘도 메일을 받던중 악성코드 사이트로 연결되는 사이트를 발견하였다. 이번에도 코드 자체가 평소와 같아서 사이트에서 최종파일 칮기란 매우 쉬웠다. 최종파일의 역활은 아직까지 하는것은 모르겠지만 안랩에서는 ASD로 때려 잡았다 ! 코드의 앞부분과 뒷부분은 어제와 마찬가지로 '+' 만 빼고 한다면 쉽게 최종파일까지 근접할수 있을것이다. %u5858%u5858%u10EB%u4B5B%uC'+'933%uB96'+'6%u03B8%u34'+'80%uBD0B%uFA'+'E2%u05E'+'B%uEBE8 (중략) %uc9c9%u87cd%u9292%ucece%u93ce%ud8ce%u84ce%uce84%ude93%u87d3%u8585%uc592%u.. 더보기
CJ 엔터테인먼트 현재 악성코드 감염 3주전 발견했던 CJ 엔터 테인먼트가 현재 까지도 악성코드를 가지고 있어서 이렇게 글을 올린다. 프로그램으로 본 결과 악성 코드인 lib.asp 를 삽입되어 있는 모습을 이와 같이 볼수있다. JS 파일 안에 lib.asp 라는 파일을 확인을 할 수가 있을것이다. 이것은 역시 익스플로러로 들어갈시에 time out 이라는 문구를 보내며 위장하고 있는 사실을 볼 수 가 있다. 이 파일을 다시 복호화 과청을 걸친다면 최종 파일인 exe 가 볼수있다. 이글을 쓰는 지금 이시각도 유포중에 있으며 이 사이트를 매우 조심해야 할 필요가있다. 현재 최종파일도 받는 서버가 살아 있으므로 이 곳을 매우 조심해야한다. lib.asp : http://61.100.7.171/cxx/lib.asp0 최종파일 : http://61.. 더보기