기사 : http://www.dailysecu.com/news_view.php?article_id=2099


기사가 올라왔네요 ^^(기사 작성해주신 길민권 기자님 감사드립니다 ^^)


예전에 네이버 말고도 동일 취약점으로 네이트 이메일도 적용이 가능하다는 것을 포스팅 한 적이 있습니다.


아래 링크 참고 !


http://maj3sty.tistory.com/696


산업시스템을 전문적으로 감염 시키는 듀큐가 아직 알려지지 않은 코드로 프로그래밍 되었다는 글이 떴습니다.

카스퍼스키에서는 다른 보안전문가들의 의견을 구하기 위해 듀큐 분석 내용 일부분을 공개 했는데 의견들 중 신빙성이 가는것이 몇개 있네요. 

http://thehackernews.com/2012/03/duqu-trojan-developed-in-unknown.html

위는 기사 URL이고 아래는 공개 된 내용 일부분 입니다.

http://www.securelist.com/en/blog/667/The_Mystery_of_the_Duqu_Framework
저번 세미나때 인터뷰 했던 내용이 올라왔네요~

쑥스럽습니다 :)

http://www.dailysecu.com/news_view.php?article_id=1768  
오늘 메일을 확인하였을 때 처음으로 나에게 악성코드가 첨부된 스팸메일이 와 있었다.

[그림 1 - 스팸메일함으로 필터된 스팸메일]

exe 파일이 아닌 것을 알고 조금 실망하였지만, exe 파일을 받도록 유도하는 파일 일 것 같아 받아서 소스를 열어보았다. 

당연히 소스를 분석한 환경은 VM에 세팅해둔 말웨어 분석환경!!!!

소스는 다음 그림처럼 되어 있었다.

 [그림 2 - 첨부된 파일의 소스]

소스는 뭔가 이상한 문자들을 써서 복잡해 보이지만, 결국 변수에 어떠한 아스키 값을 넣어 하나의 문장으로 만들어주고

맨 마지막에 있는 document.location을 사용해 어디론가 이동하게 해준다. 

어디로 이동해주는지 알기 위해서 document.location을 document.write로 바꿔주면 아래와 같이 나온다.

 [그림 3 - 소스의 결과값 확인]

앞에 이상한 문자들은 어떠한 값들이 저장되나 보려고 일부러 출력한 것이고 뒤에 http://로 시작하는 주소가 이 페이지가

접속시켜주는 주소이다. 

이 페이지에 인덱스를 wget으로 긁어오면 아래와 같은 소스가 나온다.

 [그림 4 - index.html 소스]

index.html 소스인데 보면 별것 없고 같은 디렉토리에 있는 Main.asp 파일로 접속시켜 주는 것을 볼 수 있다.

Main.asp 파일을 받아와 보면 아래와 같은 페이지의 모습이 보인다.

[그림 5 - Main.asp 페이지 모습]

이 페이지에 타이틀 이름은 '카발 온라인'이고, 출금현황등을 보여주고 있었다.

하지만 소스를 보다보면 아래와 같이 이상한 URL을 볼 수 있다.
 

[그림 6 - exe파일을 받는 주소]

역시 예상대로 exe파일을 받도록 유도하고 있었다.

페이지에서는 가운데 부분을 클릭하면 받도록 되어있다.


------------------------------------------------------------------------------------------
지금보니 그냥 사행성 게임 광고 같기도 하고.... 낚인거 같다 ㅡㅡ;; ㅋㅋ

HP사의 프린터 취약점에 관한 내용입니다.

참고 URL :  http://thehackernews.com/2011/12/hewlett-packard-printers-remote-hacks.html  

+ Recent posts