기사 : http://www.dailysecu.com/news_view.php?article_id=2099


기사가 올라왔네요 ^^(기사 작성해주신 길민권 기자님 감사드립니다 ^^)


예전에 네이버 말고도 동일 취약점으로 네이트 이메일도 적용이 가능하다는 것을 포스팅 한 적이 있습니다.


아래 링크 참고 !


http://maj3sty.tistory.com/696


저작자 표시 비영리 변경 금지
신고
산업시스템을 전문적으로 감염 시키는 듀큐가 아직 알려지지 않은 코드로 프로그래밍 되었다는 글이 떴습니다.

카스퍼스키에서는 다른 보안전문가들의 의견을 구하기 위해 듀큐 분석 내용 일부분을 공개 했는데 의견들 중 신빙성이 가는것이 몇개 있네요. 

http://thehackernews.com/2012/03/duqu-trojan-developed-in-unknown.html

위는 기사 URL이고 아래는 공개 된 내용 일부분 입니다.

http://www.securelist.com/en/blog/667/The_Mystery_of_the_Duqu_Framework
저작자 표시 비영리 변경 금지
신고
저번 세미나때 인터뷰 했던 내용이 올라왔네요~

쑥스럽습니다 :)

http://www.dailysecu.com/news_view.php?article_id=1768  
저작자 표시 비영리 변경 금지
신고
오늘 메일을 확인하였을 때 처음으로 나에게 악성코드가 첨부된 스팸메일이 와 있었다.

[그림 1 - 스팸메일함으로 필터된 스팸메일]

exe 파일이 아닌 것을 알고 조금 실망하였지만, exe 파일을 받도록 유도하는 파일 일 것 같아 받아서 소스를 열어보았다. 

당연히 소스를 분석한 환경은 VM에 세팅해둔 말웨어 분석환경!!!!

소스는 다음 그림처럼 되어 있었다.

 [그림 2 - 첨부된 파일의 소스]

소스는 뭔가 이상한 문자들을 써서 복잡해 보이지만, 결국 변수에 어떠한 아스키 값을 넣어 하나의 문장으로 만들어주고

맨 마지막에 있는 document.location을 사용해 어디론가 이동하게 해준다. 

어디로 이동해주는지 알기 위해서 document.location을 document.write로 바꿔주면 아래와 같이 나온다.

 [그림 3 - 소스의 결과값 확인]

앞에 이상한 문자들은 어떠한 값들이 저장되나 보려고 일부러 출력한 것이고 뒤에 http://로 시작하는 주소가 이 페이지가

접속시켜주는 주소이다. 

이 페이지에 인덱스를 wget으로 긁어오면 아래와 같은 소스가 나온다.

 [그림 4 - index.html 소스]

index.html 소스인데 보면 별것 없고 같은 디렉토리에 있는 Main.asp 파일로 접속시켜 주는 것을 볼 수 있다.

Main.asp 파일을 받아와 보면 아래와 같은 페이지의 모습이 보인다.

[그림 5 - Main.asp 페이지 모습]

이 페이지에 타이틀 이름은 '카발 온라인'이고, 출금현황등을 보여주고 있었다.

하지만 소스를 보다보면 아래와 같이 이상한 URL을 볼 수 있다.
 

[그림 6 - exe파일을 받는 주소]

역시 예상대로 exe파일을 받도록 유도하고 있었다.

페이지에서는 가운데 부분을 클릭하면 받도록 되어있다.


------------------------------------------------------------------------------------------
지금보니 그냥 사행성 게임 광고 같기도 하고.... 낚인거 같다 ㅡㅡ;; ㅋㅋ

저작자 표시 비영리 변경 금지
신고
HP사의 프린터 취약점에 관한 내용입니다.

참고 URL :  http://thehackernews.com/2011/12/hewlett-packard-printers-remote-hacks.html  
저작자 표시 비영리 변경 금지
신고

+ Recent posts