메일 내용은 아래와 같다.
그는 해외 문제에 있사령관으로 임명향으로 돌아갈 의 건국과 혁명에 있는 자신의 기갈기 찢겨진 현 국가를 만들고자 해에, 그는 영
아니면 script만 차단하는걸지도..
무튼 저 버튼을 클릭하면 so.ee/OQ1 주소로 이동하게 된다. 해당 주소를 wget으로 긁어오면 아래와 같은 소스의 페이지가 생성된다.
<html>
<head>
<title>로딩중입니다.</title>
</head>
<script language="JavaScript">
window.onload = maxWindow;
function maxWindow()
{
window.moveTo(0,0);
if (document.all)
{
top.window.resizeTo(screen.availWidth,screen.availHeight);
}
else if (document.layers||document.getElementById)
{
if (top.window.outerHeight<screen.availHeight||top.window.outerWidth<screen.availWidth)
{
top.window.outerHeight = screen.availHeight;
top.window.outerWidth = screen.availWidth;
}
}
}
</script>
잠시만 기다려주시면 연결될것입니다.
<body>
<p>
<meta content="0;URL=http://ssb102.com/ad/m/b1/" http-equiv="Refresh" /></p>
</a>
<script src=http://oncgi.com?TVRJNU5ERTBPREkzTUE9PQ==> </script>
</body>
</html>
페이지를 실행해보지는 않았지만 뭔가를 연결하는 듯한 모습이다.
의심스러운 URL이 두개가 보인다. 하나하나 조사를 해보자.
[http://ssb102.com/ad/m/b1/ URL을 wget으로 긁어온 결과]
<HTML>
<HEAD>
<TITLE>XX파트너 미팅 전문사이트</TITLE>
<META NAME="Generator" CONTENT="EditPlus">
<META NAME="Author" CONTENT="">
<META NAME="Keywords" CONTENT="">
<META NAME="Description" CONTENT="">
<meta http-equiv='content-type' content='text/html; charset=euc-kr'>
</HEAD>
<BODY>
<table><tr><td>
<p><a target="_blank" href="http://ssb102.com">
<img alt="" width="615" height="762" src="http://ssb102.com/ad/m/b1/aaa.jpg" /></a>
</p>
<!-- <center><font size=15> <U><A HREF="http://ssb102.com"><b>사이트 바로 입장하기</A></U> </font></center>
-->
</td></tr></table>
</BODY>
</HTML>결국은 성인사이트였다..
[http://oncgi.com?TVRJNU5ERTBPREkzTUE9PQ== URL을 wget으로 긁어온 결과]
document.write("<a href=http://lvskr2.oncgi.com/counter_html/user.php?VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0 target=_blank>");
document.write("<img alt=oncgi.com src=http://lvskr2.oncgi.com/counter_html/jin.php?VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0 border=0></a>");무언가 링크를 걸고 있다. 다시 한번 긁어와 보자(두번째 URL은 방문자수 카운터 이미지를 불러오는 링크라 특별히 포스팅 하지 않도록 하겠다.)
[http://lvskr2.oncgi.com/counter_html/user.php?VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0 URL을 wget으로 긁어온 결과]
<script>location.replace('http://oncgi.com/counter_html/review_daily.html?VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0');</script>
뭔가 또 URL을 걸어놨다... 끝까지 한번 가보자.
[http://oncgi.com/counter_html/review_daily.html?VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0 URL을 wget으로 긁어온 결과]
<SCRIPT LANGUAGE=JavaScript>
<!--//
location.replace('http://oncgi.com/counter_html/click.html?hun=VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0');
//-->
</SCRIPT>
</head>
<a href=http://oncgi.com/counter_html/click.html?hun=VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0>Click Me</a>
똑같은 URL이다. 클릭해달라는 URL을 나는 wget으로 긁어왔다.
[http://oncgi.com/counter_html/click.html?hun=VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0 URL을 wget으로 긁어온 결과 중 일부]
<!------------------------------------------------------------------------------
--
*
*
* 하나비 무료 도메인 V2006
*
*
*
* (Update: 2005.08.06/ 2005.07.29/ 1996.07.04)
*
*
*
* Official distribution site : http://hanaB.com/
*
*
*
*
*
* Technical contact : webmaster@timeserver.co.kr
*
*
*
*
*
* Programmer : zeno bark
*
*
*
* Copyright(c) 1996-2011. hanaB.com(zeno bark). all rights reserved.
*
*
*
결국 해당 메일은 성인사이트, 도메인 광고...
악성코드에 관련된 스팸메일이었으면 좀 더 심도있는 분석이 되었을텐데, 그런 스팸이 아니어서 조금은 실망이었다.
'[+] Security > [-] Analysis' 카테고리의 다른 글
| 악성코드(word.vbe) 간단한 추가 분석 (2) | 2011.12.14 |
|---|---|
| 악성코드(word.vbe) 분석(2011. 12. 14 수정) (0) | 2011.12.13 |
| 네이트온 쪽지 악성코드 분석(Player.exe) (4) | 2011.11.14 |
| 데이터넷 웹페이지에 심어진 악성코드. (4) | 2009.03.17 |
