본문 바로가기

[+] Security/[-] Analysis

스팸메일을 뜯어보자!

오랜만에 네이버 스팸필터에 걸리지 않는 메일이 나에게 도착했다.

메일 내용은 아래와 같다.

그는 해외 문제에 있사령관으로 임명향으로 돌아갈 의 건국과 혁명에 있는 자신의 기갈기 찢겨진 현 국가를 만들고자  해에, 그는 영

인 덕목을 주제로 하는 기본 입문서와 인적인 삶을 영했으며, 이에 따라 에 체결된 제이 조그는 세계에서 가추진하는 과정에서 대통령 중 하나로 여에 체결된 제이 조 경고와 공화주의도 하였다. 그의그는 세계에서 가하여 필라델피아 적인 중립 선언으적인 중립 선언으도 하였다. 그의

<fORM f action=//so.ee/OQ1>
<INpUT g tYPe="SUbmiT" vALue="잠시후에 만날래요 뭐든지 다해드려요"       style="font-size:18pt;>


딱 봐도 스팸인데 왜 필터가 안되었는지는 폼 코드를 보면 알 수 있다. 네이버는 아직 저런 코드는 필터하지 못하는 모양이다.

아니면 script만 차단하는걸지도..

무튼 저 버튼을 클릭하면 so.ee/OQ1 주소로 이동하게 된다. 해당 주소를 wget으로 긁어오면 아래와 같은 소스의 페이지가 생성된다.

<html>

    <head>

        <title>로딩중입니다.</title>

    </head>

<script language="JavaScript">

window.onload = maxWindow;


function maxWindow()

{

window.moveTo(0,0);



if (document.all)

{

  top.window.resizeTo(screen.availWidth,screen.availHeight);

}


else if (document.layers||document.getElementById)

{

  if (top.window.outerHeight<screen.availHeight||top.window.outerWidth<screen.availWidth)

  {

    top.window.outerHeight = screen.availHeight;

    top.window.outerWidth = screen.availWidth;

  }

}

}

</script>

잠시만 기다려주시면 연결될것입니다.

    <body>

        <p>

        <meta content="0;URL=http://ssb102.com/ad/m/b1/" http-equiv="Refresh" /></p>

</a> 

<script src=http://oncgi.com?TVRJNU5ERTBPREkzTUE9PQ==> </script>

</body>

</html>


페이지를 실행해보지는 않았지만 뭔가를 연결하는 듯한 모습이다.

 의심스러운 URL이 두개가 보인다. 하나하나 조사를 해보자.

[http://ssb102.com/ad/m/b1/ URL을 wget으로 긁어온 결과]

<HTML>

<HEAD>

<TITLE>XX파트너 미팅 전문사이트</TITLE>

<META NAME="Generator" CONTENT="EditPlus">

<META NAME="Author" CONTENT="">

<META NAME="Keywords" CONTENT="">

<META NAME="Description" CONTENT="">

<meta http-equiv='content-type' content='text/html; charset=euc-kr'> 

</HEAD>


<BODY>

<table><tr><td>

<p><a target="_blank" href="http://ssb102.com">

<img alt="" width="615" height="762" src="http://ssb102.com/ad/m/b1/aaa.jpg" /></a>

</p>

<!-- <center><font size=15> <U><A HREF="http://ssb102.com"><b>사이트 바로 입장하기</A></U> </font></center>

 -->

</td></tr></table>


</BODY>

</HTML> 


결국은 성인사이트였다..

[http://oncgi.com?TVRJNU5ERTBPREkzTUE9PQ== URL을 wget으로 긁어온 결과]

document.write("<a href=http://lvskr2.oncgi.com/counter_html/user.php?VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0 target=_blank>");

document.write("<img alt=oncgi.com src=http://lvskr2.oncgi.com/counter_html/jin.php?VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0 border=0></a>"); 


무언가 링크를 걸고 있다. 다시 한번 긁어와 보자(두번째 URL은 방문자수 카운터 이미지를 불러오는 링크라 특별히 포스팅 하지 않도록 하겠다.)

[http://lvskr2.oncgi.com/counter_html/user.php?VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0 URL을 wget으로 긁어온 결과]

<script>location.replace('http://oncgi.com/counter_html/review_daily.html?VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0');</script>


뭔가 또 URL을 걸어놨다... 끝까지 한번 가보자.
 

[http://oncgi.com/counter_html/review_daily.html?VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0 URL을 wget으로 긁어온 결과]

<SCRIPT LANGUAGE=JavaScript>

<!--//

location.replace('http://oncgi.com/counter_html/click.html?hun=VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0');

//-->

</SCRIPT>

</head>

<a href=http://oncgi.com/counter_html/click.html?hun=VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0>Click Me</a>

 
 똑같은 URL이다. 클릭해달라는 URL을 나는 wget으로 긁어왔다.

[http://oncgi.com/counter_html/click.html?hun=VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0 URL을 wget으로 긁어온 결과 중 일부]

<!------------------------------------------------------------------------------

--

 *                                                                              

 *

 *     하나비 무료 도메인 V2006                                                 

 *

 *                                                                              

 *

 *                              (Update: 2005.08.06/ 2005.07.29/ 1996.07.04)    

 *

 *                                                                              

 *

 *      Official distribution site : http://hanaB.com/                          

 *

 *                                                                              

 *

 *                                                                              

 *

 *               Technical contact : webmaster@timeserver.co.kr                 

 *

 *                                                                              

 *

 *                                                                              

 *

 *                      Programmer : zeno bark                                  

 *

 *                                                                              

 *

 *     Copyright(c) 1996-2011. hanaB.com(zeno bark). all rights reserved.       

 *

 *                                                                              

 *


 

결국 해당 메일은 성인사이트, 도메인 광고...

악성코드에 관련된 스팸메일이었으면 좀 더 심도있는 분석이 되었을텐데, 그런 스팸이 아니어서 조금은 실망이었다.