임시파일 폴더를 뒤져봤습니다.
1) 사이트의 index를 의미하는 것 같다고 생각되는 곳에
붉은 상자안의 내용과 같은 코드가 삽입되어있었습니다.
2) b.js의 내용
3) 인터넷 임시폴더에서 관련 항목이 확인 됨
4) index[1].htm의 내용 일부
위의 읽기 어렵게 만든 코드를 해독하고 싶은데...
이런 경우는 어떻게 해야하는지 모르겠습니다.
2008-06-28 22:32:56
2008년 6월 29일 일요일
어떻게 알아보게 할 수 있는 것인지..
간간히 가던 T모 사이트에서 바이러스가 발견된다는 자유게시판 글을 읽고
임시파일 폴더를 뒤져봤습니다.
1) 사이트의 index를 의미하는 것 같다고 생각되는 곳에
붉은 상자안의 내용과 같은 코드가 삽입되어있었습니다.
2) b.js의 내용
3) 인터넷 임시폴더에서 관련 항목이 확인 됨
4) index[1].htm의 내용 일부
위의 읽기 어렵게 만든 코드를 해독하고 싶은데...
이런 경우는 어떻게 해야하는지 모르겠습니다.
2008-06-28 22:32:56
임시파일 폴더를 뒤져봤습니다.
1) 사이트의 index를 의미하는 것 같다고 생각되는 곳에
붉은 상자안의 내용과 같은 코드가 삽입되어있었습니다.
2) b.js의 내용
3) 인터넷 임시폴더에서 관련 항목이 확인 됨
4) index[1].htm의 내용 일부
위의 읽기 어렵게 만든 코드를 해독하고 싶은데...
이런 경우는 어떻게 해야하는지 모르겠습니다.
2008-06-28 22:32:56
웹사이트 해킹으로 인한 악성코드 배포 사이트 분석 블로그
구글 돌아다니다 발견했는데,
울지않는 벌새 님 블로그 Analysis항목 링크
요즘 해킹된 웹사이트와 그에대한 분석,
스크립트에 의해 다운로드되는
파일의 행동까지 자세히 분석되어있네요.
(파일생성, 프로세서생성, 레지스트리 생성)
자주 들러볼만한 블로그 같습니다.
2008-06-28 15:42:14
울지않는 벌새 님 블로그 Analysis항목 링크
요즘 해킹된 웹사이트와 그에대한 분석,
스크립트에 의해 다운로드되는
파일의 행동까지 자세히 분석되어있네요.
(파일생성, 프로세서생성, 레지스트리 생성)
자주 들러볼만한 블로그 같습니다.
2008-06-28 15:42:14
2008년 6월 28일 토요일
또 다른 iframe삽입된 사이트 발견.
웹을 돌아다니다
악성iframe이 삽입된 사이트페이지를 또 발견했습니다.
하루에만 2번이나 보게되니...
단순히 넘어갈 문제가 아닌 것 같습니다.
----------------------------------------------------------------
특정 웹페이지 내용에 삽입되어있던 iframe태그 부분
----------------------------------------------------------------
먼저 봤던 사이트는 그냥 하단에 하나 보였는데..
이번 사이트는 5개는 중복되서 삽입되어 있었습니다.
*h?*p://?*.*2.7*.3*/index.htm 파일의 내용.
이번에는 단순히 xmp태그를 document.write 끝 양단에 씌우기보단
unescape 함수를 4번 실행하고,
그 결과를 xmp태그로 화면에 그대로 출력하는 방법으로
내용보기에 성공했습니다.
(alert로 단순 출력했을 때는, 바뀌지 않고 그대로여서 왜 바뀌않지?하고.. 고생했네요.)
* 변환하기위해 약간의 수정.(붉은 상자 내용처럼)
* IE7로 출력
이번에 이 코드를 삽입한 사람은 개행문자나 공백문자로
혼동되게는 하지 않은 것 같습니다.
소스 부분이 아주 깔끔하게 출력되었습니다.
깔끔하게는 출력되었지만 뭘하려는 의미인지는 ㅠㅠ...
* 해석된 코드의 h.exe을 다운로드하여 virscan.org에서 검사했습니다.
느낀점..
avast 무료로도 배포하면서도... 은근히 좋은 것 같음...
추가사항
바이러스 체이서에는 어떻게 나올까싶어
확인해봤습니다.
잘 검출해냈고...
치료버튼 누르니 치료가 불가능한 파일
(그자체가 바이러스파일이니...)
이라고 나오고 제거했습니다.
3개밖에 시험해보지 않았지만,
모두 검색해내니..
기분이 좋네요.
2008-06-28 04:05:25
악성iframe이 삽입된 사이트페이지를 또 발견했습니다.
하루에만 2번이나 보게되니...
단순히 넘어갈 문제가 아닌 것 같습니다.
----------------------------------------------------------------
특정 웹페이지 내용에 삽입되어있던 iframe태그 부분
----------------------------------------------------------------먼저 봤던 사이트는 그냥 하단에 하나 보였는데..
이번 사이트는 5개는 중복되서 삽입되어 있었습니다.
*h?*p://?*.*2.7*.3*/index.htm 파일의 내용.
이번에는 단순히 xmp태그를 document.write 끝 양단에 씌우기보단
unescape 함수를 4번 실행하고,
그 결과를 xmp태그로 화면에 그대로 출력하는 방법으로
내용보기에 성공했습니다.
(alert로 단순 출력했을 때는, 바뀌지 않고 그대로여서 왜 바뀌않지?하고.. 고생했네요.)
* 변환하기위해 약간의 수정.(붉은 상자 내용처럼)
* IE7로 출력
이번에 이 코드를 삽입한 사람은 개행문자나 공백문자로
혼동되게는 하지 않은 것 같습니다.
소스 부분이 아주 깔끔하게 출력되었습니다.
깔끔하게는 출력되었지만 뭘하려는 의미인지는 ㅠㅠ...
* 해석된 코드의 h.exe을 다운로드하여 virscan.org에서 검사했습니다.
2008-06-28 04:05:25
악성코드를 감염시킨다고해서 들어가봤습니다.
제 컴퓨터 환경 : XP SP3 업데이트 최신, Flash 업데이트 최신
사 용 백 신 : 노턴 인터넷 시큐리티 2008/ 바이러스체이서 USB
인터넷 돌아다니다가
s********r.com이 문제있는 사이트라고 들어서 사이트를 돌아다녀 봤습니다.
사이트 링크 몇 군데 돌아다니다가...
------------------------------------------------------------------------------
Microsoft Corporation에서 배포한 MIcrosoft Data Access -Remote Data Services Dat...' 추가기능을 실행하려고 합니다. 이 웹 사이
트와 추가 기능을 신뢰할 수 있고 실행을 허용하는 경우 여기를 클릭하십시오.
------------------------------------------------------------------------------
IE7에서 이말이 상단에 출력되서...
바로 Temporary Internet Files에 들어가서 다운로드된 임시 폴더를
확인해봤습니다.
임시 파일 중 수상한 부분이 발견되었는데...
대부분 다운로드된 임시파일 경로는
s**********r.com 이였지만,
xml.htm이라는 파일은 경로가
h**p://***.230.98.20/xml/xml/xml.htm
위와 같았습니다.
이 xml.htm을 불러오는 부분을 확인하기위해
이전에 엑세스된 파일들을 열어보다가
http://www.s**********r.com/innerMenu.htm란 파일의 내용을 보다가
맨 아래부분의 문제가 있는 부분을 발견했습니다.
----------------------------------------------------------
* innerMenu.htm의 최하단부 내용.
----------------------------------------------------------
위와 같이 iframe태그가 들어있는데..
이는 분명히 관리자의 의도가 아닌 것 같다는 생각이 들었습니다.
관련 기사 제목 : 안硏, 웹해킹 통한 악성코드 유포 급속확산 경고.
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=003&aid=0002162304
신문기사로 본 내용을 이렇게 직접 볼 수 있게되니..
신기하다는 생각이 들었습니다.
xml.htm의 내용을 열어보니 아래와 같은 내용입니다.
HtmlStrings의 내용을 보기위해
24번째 행 document.write()안에 xmp태그를 넣고
IE7로 xml.htm을 실행시켜 봤습니다.
위와 그림처럼 이상하게 표시되었던 문자들이
정상적으로 출력되었습니다.
그리고 개행문자와 스패이스바로 띄어진 부분을
보기좋게 붙혀봤습니다.
뭘하려는지는 몰라도,
예감상... dmx.exe란 파일을 받아와서 실행하고
싶어하는 것 같은 생각이 들어...
dmx.exe파일을 받아서 노턴과 VirusChaser로 검사해봤습니다.
노턴에선 발견되지 않았고,
VirusChaser에서는 Trojan.PWS.Wsgame.6176이란 것으로 발견되었습니다.
--느 낀 점--
* 아래와같은 추가기능 실행여부 창이 나올 때는 실행하지말 것.
* 운영체제는 항상 보안업데이트를 최신으로할 것.
* Flash 플러그인도 항상 최신버전 사용할 것.
* 바이러스 백신사용할 것.
* 스크립트 공부의 필요성 ㅠㅠ
* 바이러스체이서 꽤 쓸만하단 생각...
2008-06-27 18:36:43
사 용 백 신 : 노턴 인터넷 시큐리티 2008/ 바이러스체이서 USB
인터넷 돌아다니다가
s********r.com이 문제있는 사이트라고 들어서 사이트를 돌아다녀 봤습니다.
사이트 링크 몇 군데 돌아다니다가...
------------------------------------------------------------------------------
Microsoft Corporation에서 배포한 MIcrosoft Data Access -Remote Data Services Dat...' 추가기능을 실행하려고 합니다. 이 웹 사이
트와 추가 기능을 신뢰할 수 있고 실행을 허용하는 경우 여기를 클릭하십시오.
------------------------------------------------------------------------------
IE7에서 이말이 상단에 출력되서...
바로 Temporary Internet Files에 들어가서 다운로드된 임시 폴더를
확인해봤습니다.
임시 파일 중 수상한 부분이 발견되었는데...
대부분 다운로드된 임시파일 경로는
s**********r.com 이였지만,
xml.htm이라는 파일은 경로가
h**p://***.230.98.20/xml/xml/xml.htm
위와 같았습니다.
이 xml.htm을 불러오는 부분을 확인하기위해
이전에 엑세스된 파일들을 열어보다가
http://www.s**********r.com/innerMenu.htm란 파일의 내용을 보다가
맨 아래부분의 문제가 있는 부분을 발견했습니다.
----------------------------------------------------------
* innerMenu.htm의 최하단부 내용.
----------------------------------------------------------
위와 같이 iframe태그가 들어있는데..
이는 분명히 관리자의 의도가 아닌 것 같다는 생각이 들었습니다.
관련 기사 제목 : 안硏, 웹해킹 통한 악성코드 유포 급속확산 경고.
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=003&aid=0002162304
신문기사로 본 내용을 이렇게 직접 볼 수 있게되니..
신기하다는 생각이 들었습니다.
xml.htm의 내용을 열어보니 아래와 같은 내용입니다.
HtmlStrings의 내용을 보기위해
24번째 행 document.write()안에 xmp태그를 넣고
IE7로 xml.htm을 실행시켜 봤습니다.
위와 그림처럼 이상하게 표시되었던 문자들이
정상적으로 출력되었습니다.
그리고 개행문자와 스패이스바로 띄어진 부분을
보기좋게 붙혀봤습니다.
뭘하려는지는 몰라도,
예감상... dmx.exe란 파일을 받아와서 실행하고
싶어하는 것 같은 생각이 들어...
dmx.exe파일을 받아서 노턴과 VirusChaser로 검사해봤습니다.
노턴에선 발견되지 않았고,
VirusChaser에서는 Trojan.PWS.Wsgame.6176이란 것으로 발견되었습니다.
--느 낀 점--
* 아래와같은 추가기능 실행여부 창이 나올 때는 실행하지말 것.
* 운영체제는 항상 보안업데이트를 최신으로할 것.
* Flash 플러그인도 항상 최신버전 사용할 것.
* 바이러스 백신사용할 것.
* 스크립트 공부의 필요성 ㅠㅠ
* 바이러스체이서 꽤 쓸만하단 생각...
2008-06-27 18:36:43
2008년 6월 19일 목요일
BScroll.js 문제
저도 이런 문제가 있는 줄은 처음에는 몰랐습니다.(노턴은 모른다네요 ㅠㅠ)
그런데.. 어떤 분이 알약에서 BScroll.js가
Trojan.JS.PWA로 경고뜬다는 글을 보고,
BScroll.js를 받아서 www.virscan.org로 검색도 해보고,
[BScroll.js파일 Virscan.org에서 검사결과] http://keben.kbench.com/talk/?bc=1&code=2302142
[BScroll.js에 추가된 이상한 문자열.]
http://keben.kbench.com/talk/?bc=1&code=2302161
BScroll.js에 추가된 이상한 문자열을XMP태그를 이용하여 내용을 보기도 했습니다.
(해석된 내용이 무엇을 하려는 것인지는 잘 모릅니다.ㅠㅠ)
해석된 내용을 개행된 부분정도만 편집해서 HTML파일로 저장할때
avast 실시간 감지에서 트로이목마 경고를 냈고,
해석된 내용중.. 링크에 2008051464540.flv 파일의 링크가 있어서
그 파일을 다시 virscan.org로 검사했는데,
총 36개의 바이러스프로그램 중에 16개 프로그램에서 진단되었습니다.(44%),
파일형식이 MS-DOS Executable로 나와 실행파일인 것 같은 생각이 들어
Exe파일로 변경하고 실행해봤습니다.
그러자 이것도 avast실시간 감지에서 트로이목마가 발견되었다고 하더군요..
BScroll.js의 이상한 문자열 내용은 의심스럽지만,
avast에서 그동안 메시지를 본적이 없는 것으로 봐선.. 실제로 flv 파일이 전송된 적은
없는 것 같습니다. (avast 웹스캐너 및 다른 실시간 감지도 실행하고 있었거든요.)
[BScroll.js 이상한 문자열부분 그나마 보이게.. ] http://keben.kbench.com/talk/?bc=1&code=2302182
처음 그문제가 신고되고나서 BScroll.js 파일내부의 이상한 문자열 부분은 없어지는 듯했으나..
커뮤니티 사이트 방문시 가끔식 6KB의 이상한 문자열이 추가된 BScroll.js를 받게 될때가 있는데,
이상한 문자열이 없을 때는 1KB정도의 크기 / 있을 때는 6KB의 크기.
이상한 문자열이 포함된 6KB크기 일때는
특이하게도 어떤 추가기능을 실행하는 메세지가 나옵니다.
[추가기능 문제 관련 김기철님 글.]
http://keben.kbench.com/talk/?bc=1&code=2302387
추가기능 실행을 물을때 명령프롬프트에서
dir /s BScroll[?].js 명령을 내려보면..
Temporary Internet Files 경로 하단에
어느 한 파일이 6KB인 것을 확인 할 수 있을 것입니다.
그 때 6KB의 BScroll[?],js의 파일을 노트패드로 열어 (?의 내용은 1이나 2일 수 있습니다.)
notepad [6KB크기의 BScroll[?].js 파일경로+파일명]
맨 아래부분의
S(); <--(이상한 문자열을 해석해서 실행하기위한 함수 실행부분 같습니다.)
이 부분을 공백문자 4개로 바꿔서 파일 크기를 그대로 유지한체로 저장해서
(파일 크기가 다를경우는 웹페이지에서 다시 다운로드 하더군요.)
함수 실행을 하지 않으니 추가기능 실행여부를 묻지 않았습니다.
이상한 문자열이 담긴 6KB를 가끔씩 받게되는 원인을 잘 모르겠지만
빨리 해결되었으면 좋겠네요..
2008-06-19 16:27:50
그런데.. 어떤 분이 알약에서 BScroll.js가
Trojan.JS.PWA로 경고뜬다는 글을 보고,
BScroll.js를 받아서 www.virscan.org로 검색도 해보고,
[BScroll.js파일 Virscan.org에서 검사결과] http://keben.kbench.com/talk/?bc=1&code=2302142
[BScroll.js에 추가된 이상한 문자열.]
http://keben.kbench.com/talk/?bc=1&code=2302161
BScroll.js에 추가된 이상한 문자열을XMP태그를 이용하여 내용을 보기도 했습니다.
(해석된 내용이 무엇을 하려는 것인지는 잘 모릅니다.ㅠㅠ)
해석된 내용을 개행된 부분정도만 편집해서 HTML파일로 저장할때
avast 실시간 감지에서 트로이목마 경고를 냈고,
해석된 내용중.. 링크에 2008051464540.flv 파일의 링크가 있어서
그 파일을 다시 virscan.org로 검사했는데,
총 36개의 바이러스프로그램 중에 16개 프로그램에서 진단되었습니다.(44%),
파일형식이 MS-DOS Executable로 나와 실행파일인 것 같은 생각이 들어
Exe파일로 변경하고 실행해봤습니다.
그러자 이것도 avast실시간 감지에서 트로이목마가 발견되었다고 하더군요..
BScroll.js의 이상한 문자열 내용은 의심스럽지만,
avast에서 그동안 메시지를 본적이 없는 것으로 봐선.. 실제로 flv 파일이 전송된 적은
없는 것 같습니다. (avast 웹스캐너 및 다른 실시간 감지도 실행하고 있었거든요.)
[BScroll.js 이상한 문자열부분 그나마 보이게.. ] http://keben.kbench.com/talk/?bc=1&code=2302182
처음 그문제가 신고되고나서 BScroll.js 파일내부의 이상한 문자열 부분은 없어지는 듯했으나..
커뮤니티 사이트 방문시 가끔식 6KB의 이상한 문자열이 추가된 BScroll.js를 받게 될때가 있는데,
이상한 문자열이 없을 때는 1KB정도의 크기 / 있을 때는 6KB의 크기.
이상한 문자열이 포함된 6KB크기 일때는
특이하게도 어떤 추가기능을 실행하는 메세지가 나옵니다.
[추가기능 문제 관련 김기철님 글.]
http://keben.kbench.com/talk/?bc=1&code=2302387
추가기능 실행을 물을때 명령프롬프트에서
dir /s BScroll[?].js 명령을 내려보면..
Temporary Internet Files 경로 하단에
어느 한 파일이 6KB인 것을 확인 할 수 있을 것입니다.
그 때 6KB의 BScroll[?],js의 파일을 노트패드로 열어 (?의 내용은 1이나 2일 수 있습니다.)
notepad [6KB크기의 BScroll[?].js 파일경로+파일명]
맨 아래부분의
S(); <--(이상한 문자열을 해석해서 실행하기위한 함수 실행부분 같습니다.)
이 부분을 공백문자 4개로 바꿔서 파일 크기를 그대로 유지한체로 저장해서
(파일 크기가 다를경우는 웹페이지에서 다시 다운로드 하더군요.)
함수 실행을 하지 않으니 추가기능 실행여부를 묻지 않았습니다.
이상한 문자열이 담긴 6KB를 가끔씩 받게되는 원인을 잘 모르겠지만
빨리 해결되었으면 좋겠네요..
위 그림은 xmp태그로 출력된 코드를 html.txt로 저장 후 검사해봤는데..
검출되는군요..
2008-06-19 16:27:50
2008년 6월 2일 월요일
net services 명령...
NET [ ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP |
HELPMSG | LOCALGROUP | NAME | PAUSE | PRINT | SEND | SESSION |
SHARE | START | STATISTICS | STOP | TIME | USE | USER | VIEW ]
각각의 명령어에 대한 자세한 설명이 링크된 마이크로소프트 웹문서.
각 명령을 클릭해도 접근 할 수 있습니다.
각 명령에 대한 자세한 설명이 있어 좋았습니다. __ test
2008-06-01 23:37:16
피드 구독하기:
글 (Atom)