본문 바로가기

MS10-018

계속 활동하고있는 네이트온 악성코드 !! 네이트온 악성코드는 기존의 바로 받는 방식이었지만 지금은 다양하게 유포되고 있습니다. 최근에 따라 이렇게 보여지고 있으므로 글로 남겨 봅니다. 어제 받은 네이트온 악성코드 쪽지 입니다. 링크를 클릭시 기존에는 바로 다운로드 링크로 넘어갔지만 지금은 그 사이트 안에 코드삽입을 해놓으므로 악성코드를 감염시키는 역활을 합니다 ! 위 사이트를 들어간다면 악성코드 스크립트가 그대로 다음과 같은 방식으로 삽입되어 있습니다. [원본 소스] http://www.npcn.or.kr/xxxx/data/pds03/ajax.js"> 역시 안에는 이런식으로 연결되는 곳들이 4개나 보이는군요 !! 이중 역시 중요한 main.html 로 들어가 볼까요?? 역시 지난번과 마찬가지로 아스키코드로 이루어진 함수로 되어있는 코드가 이와같.. 더보기
네이트온에서 새로운 형태로 유포되는 악성코드 !! 기존의 바로 악성코드 받는 방식이 아닌 스크립트 삽입을 통해서 연결되기에 이렇게 글을 써 봅니다. 네이트온 악성코드는 기존의 바로 받는 방식이었지만 지금은 다양하게 유포되고 있습니다. 최근에 따라 이렇게 보여지고 있으므로 글로 남겨 봅니다. 어제 받은 네이트온 악성코드 쪽지 입니다. 링크를 클릭시 기존에는 바로 다운로드 링크로 넘어갔지만 지금은 그 사이트 안에 코드삽입을 해놓으므로 악성코드를 감염시키는 역활을 합니다 ! 위에 링크에 따라 들어가면 취약한 한 초등학교 홈페이지로 넘어갑니다. 이와 같이 보이는곳에는 아무렇지 않은 현상이 나타납니다. 하지만 그안에 소스 자체를 본다면 이 사이트가 또 다른 사이트와 연결되는 스크립트가 있다는 것을 알 수 있습니다. 자세한 소스를 본다면 이렇게 나타나 있습니다. .. 더보기
ARP 스푸핑 파일과 연결시켜주는 스크립트 img.js , kol.html !! * 이 글은 아주 비전문가인 제가 그냥 한것이므로 많은 오류와 잘못된 정보가 있을 수 있음을 알려드립니다. img.js 를 찾을려면 일단 감염된 사이트를 찾아야 한다. 오늘자로 유포된 img.js는 유포된 사이트에서 찾는데 스크립트를 사이사이에 끼워놔서 찾기가 너무 어려웠다. 사이트 스크립트 중간중간에 이런식으로 들어 있기 때문에 찾는데 꽤 어려움을 겪었다. 이렇게 img.js를 본다면 다음에 기다릴것은 내부 안의 코드이다. 이렇게 보면 역시 아스키 코드로 이루어 져있다. 이런 코드 해독 방법은 아스키 코드를 아시는 분이라면 잘 하실수 있을것입니다. 하지만 저는 아직 잘 모르기 때문에 멀질라라는 프로그램으로 해독하는 방법으로 선택하였습니다. 이런 식으로 간단하게 뜨는 것을 확인 할 수 있습니다. 아이프레.. 더보기