오늘 메일을 확인하였을 때 처음으로 나에게 악성코드가 첨부된 스팸메일이 와 있었다.
exe 파일이 아닌 것을 알고 조금 실망하였지만, exe 파일을 받도록 유도하는 파일 일 것 같아 받아서 소스를 열어보았다.
당연히 소스를 분석한 환경은 VM에 세팅해둔 말웨어 분석환경!!!!
소스는 다음 그림처럼 되어 있었다.
소스는 뭔가 이상한 문자들을 써서 복잡해 보이지만, 결국 변수에 어떠한 아스키 값을 넣어 하나의 문장으로 만들어주고
맨 마지막에 있는 document.location을 사용해 어디론가 이동하게 해준다.
어디로 이동해주는지 알기 위해서 document.location을 document.write로 바꿔주면 아래와 같이 나온다.
앞에 이상한 문자들은 어떠한 값들이 저장되나 보려고 일부러 출력한 것이고 뒤에 http://로 시작하는 주소가 이 페이지가
접속시켜주는 주소이다.
이 페이지에 인덱스를 wget으로 긁어오면 아래와 같은 소스가 나온다.
index.html 소스인데 보면 별것 없고 같은 디렉토리에 있는 Main.asp 파일로 접속시켜 주는 것을 볼 수 있다.
Main.asp 파일을 받아와 보면 아래와 같은 페이지의 모습이 보인다.
이 페이지에 타이틀 이름은 '카발 온라인'이고, 출금현황등을 보여주고 있었다.
하지만 소스를 보다보면 아래와 같이 이상한 URL을 볼 수 있다.
역시 예상대로 exe파일을 받도록 유도하고 있었다.
페이지에서는 가운데 부분을 클릭하면 받도록 되어있다.
------------------------------------------------------------------------------------------
지금보니 그냥 사행성 게임 광고 같기도 하고.... 낚인거 같다 ㅡㅡ;; ㅋㅋ
[그림 1 - 스팸메일함으로 필터된 스팸메일]
exe 파일이 아닌 것을 알고 조금 실망하였지만, exe 파일을 받도록 유도하는 파일 일 것 같아 받아서 소스를 열어보았다.
당연히 소스를 분석한 환경은 VM에 세팅해둔 말웨어 분석환경!!!!
소스는 다음 그림처럼 되어 있었다.
[그림 2 - 첨부된 파일의 소스]
소스는 뭔가 이상한 문자들을 써서 복잡해 보이지만, 결국 변수에 어떠한 아스키 값을 넣어 하나의 문장으로 만들어주고
맨 마지막에 있는 document.location을 사용해 어디론가 이동하게 해준다.
어디로 이동해주는지 알기 위해서 document.location을 document.write로 바꿔주면 아래와 같이 나온다.
[그림 3 - 소스의 결과값 확인]
앞에 이상한 문자들은 어떠한 값들이 저장되나 보려고 일부러 출력한 것이고 뒤에 http://로 시작하는 주소가 이 페이지가
접속시켜주는 주소이다.
이 페이지에 인덱스를 wget으로 긁어오면 아래와 같은 소스가 나온다.
[그림 4 - index.html 소스]
index.html 소스인데 보면 별것 없고 같은 디렉토리에 있는 Main.asp 파일로 접속시켜 주는 것을 볼 수 있다.
Main.asp 파일을 받아와 보면 아래와 같은 페이지의 모습이 보인다.
[그림 5 - Main.asp 페이지 모습]
이 페이지에 타이틀 이름은 '카발 온라인'이고, 출금현황등을 보여주고 있었다.
하지만 소스를 보다보면 아래와 같이 이상한 URL을 볼 수 있다.
[그림 6 - exe파일을 받는 주소]
역시 예상대로 exe파일을 받도록 유도하고 있었다.
페이지에서는 가운데 부분을 클릭하면 받도록 되어있다.
------------------------------------------------------------------------------------------
지금보니 그냥 사행성 게임 광고 같기도 하고.... 낚인거 같다 ㅡㅡ;; ㅋㅋ
'[+] Security > [-] Issue' 카테고리의 다른 글
Duqu Trojan developed in unknown programming language (0) | 2012.03.09 |
---|---|
오우!!! (0) | 2012.03.02 |
Hewlett-Packard printers remote hacks Security fix available (0) | 2011.12.25 |
삼성전자 갤S 개인정보 열람 가능!! (3) | 2011.12.05 |