6월, 2008의 게시물 표시

어떻게 알아보게 할 수 있는 것인지..

이미지
간간히 가던 T모 사이트에서 바이러스가 발견된다는 자유게시판 글을 읽고 임시파일 폴더를 뒤져봤습니다. 1) 사이트의 index를 의미하는 것 같다고 생각되는 곳에 붉은 상자안의 내용과 같은 코드가 삽입되어있었습니다. 2) b.js의 내용 3) 인터넷 임시폴더에서 관련 항목이 확인 됨 4) index[1].htm의 내용 일부 위의 읽기 어렵게 만든 코드를 해독하고 싶은데... 이런 경우는 어떻게 해야하는지 모르겠습니다. 2008-06-28 22:32:56
댓글 쓰기
자세한 내용 보기

웹사이트 해킹으로 인한 악성코드 배포 사이트 분석 블로그

구글 돌아다니다 발견했는데, 울지않는 벌새 님 블로그 Analysis항목 링크 요즘 해킹된 웹사이트와 그에대한 분석, 스크립트에 의해 다운로드되는 파일의 행동까지 자세히 분석되어있네요. (파일생성, 프로세서생성, 레지스트리 생성) 자주 들러볼만한 블로그 같습니다. 2008-06-28 15:42:14
댓글 쓰기
자세한 내용 보기

또 다른 iframe삽입된 사이트 발견.

이미지
웹을 돌아다니다 악성 iframe 이 삽입된 사이트페이지를 또 발견했습니다. 하루에만 2번이나 보게되니... 단순히 넘어갈 문제가 아닌 것 같습니다. ---------------------------------------------------------------- 특정 웹페이지 내용에 삽입되어있던 iframe 태그 부분 ---------------------------------------------------------------- 먼저 봤던 사이트는 그냥 하단에 하나 보였는데.. 이번 사이트는 5개는 중복되서 삽입되어 있었습니다. *h?*p://?*.*2.7*.3*/index.htm 파일의 내용. 이번에는 단순히 xmp태그를 document.write 끝 양단에 씌우기보단 unescape 함수를 4번 실행하고, 그 결과를 xmp태그로 화면에 그대로 출력하는 방법으로 내용보기에 성공했습니다. (alert로 단순 출력했을 때는, 바뀌지 않고 그대로여서 왜 바뀌않지?하고.. 고생했네요.) * 변환하기위해 약간의 수정.(붉은 상자 내용처럼) * IE7로 출력 이번에 이 코드를 삽입한 사람은 개행문자나 공백문자로 혼동되게는 하지 않은 것 같습니다. 소스 부분이 아주 깔끔하게 출력되었습니다. 깔끔하게는 출력되었지만 뭘하려는 의미인지는 ㅠㅠ... * 해석된 코드의 h.exe을 다운로드하여 virscan.org에서 검사했습니다. 느낀점.. avast 무료로도 배포하면서도... 은근히 좋은 것 같음... 추가사항 바이러스 체이서에는 어떻게 나올까싶어 확인해봤습니다. 잘 검출해냈고... 치료버튼 누르니 치료가 불가능한 파일 (그자체가 바이러스파일이니...) 이라고 나오고 제거했습니다. 3개밖에 시험해보지 않았지만, 모두 검색해내니.. 기분이 좋네요. 2008-06-28 04:05:25
댓글 쓰기
자세한 내용 보기

악성코드를 감염시킨다고해서 들어가봤습니다.

이미지
제 컴퓨터 환경 : XP SP3 업데이트 최신, Flash 업데이트 최신 사  용     백  신 : 노턴 인터넷 시큐리티 2008/ 바이러스체이서 USB 인터넷 돌아다니다가 s********r.com 이 문제있는 사이트라고 들어서 사이트를 돌아다녀 봤습니다. 사이트 링크 몇 군데 돌아다니다가... ------------------------------------------------------------------------------ Microsoft Corporation에서 배포한 MIcrosoft Data Access -Remote Data Services Dat...' 추가기능을 실행하려고 합니다. 이 웹 사이 트와 추가 기능을 신뢰할 수 있고 실행을 허용하는 경우 여기를 클릭하십시오 . ------------------------------------------------------------------------------ IE7에서 이말이 상단에 출력되서... 바로 Temporary Internet Files에 들어가서 다운로드된 임시 폴더를 확인해봤습니다. 임시 파일 중 수상한 부분이 발견되었는데... 대부분 다운로드된 임시파일 경로는 s**********r.com 이였지만, xml.htm 이라는 파일은 경로가 h**p://***.230.98.20/xml/xml/xml.htm 위와 같았습니다. 이 xml.htm 을 불러오는 부분을 확인하기위해 이전에 엑세스된 파일들을 열어보다가 http://www.s**********r.com/innerMenu.htm 란 파일의 내용을 보다가 맨 아래부분의 문제가 있는 부분을 발견했습니다. ---------------------------------------------------------- * innerMenu.htm 의 최하단부 내용. ----------------------------------...
댓글 쓰기
자세한 내용 보기

BScroll.js 문제

이미지
저도 이런 문제가 있는 줄은 처음에는 몰랐습니다.(노턴은 모른다네요 ㅠㅠ) 그런데.. 어떤 분이 알약에서 BScroll.js가 Trojan.JS.PWA로 경고뜬다는 글을 보고, BScroll.js를 받아서 www.virscan.org 로 검색도 해보고, [BScroll.js파일 Virscan.org에서 검사결과] http://keben.kbench.com/talk/?bc=1&code=2302142 [BScroll.js에 추가된 이상한 문자열.] http://keben.kbench.com/talk/?bc=1&code=2302161 BScroll.js에 추가된 이상한 문자열을XMP태그를 이용하여 내용을 보기도 했습니다. (해석된 내용이 무엇을 하려는 것인지는 잘 모릅니다.ㅠㅠ) 해석된 내용을 개행된 부분정도만 편집해서 HTML파일로 저장할때 avast 실시간 감지에서 트로이목마 경고를 냈고, 해석된 내용중.. 링크에 2008051464540.flv 파일의 링크가 있어서 그 파일을 다시 virscan.org로 검사했는데, 총 36개의 바이러스프로그램 중에 16개 프로그램에서 진단되었습니다.(44%), 파일형식이 MS-DOS Executable로 나와 실행파일인 것 같은 생각이 들어 Exe파일로 변경하고 실행해봤습니다. 그러자 이것도 avast실시간 감지에서 트로이목마가 발견되었다고 하더군요.. BScroll.js의 이상한 문자열 내용은 의심스럽지만, avast에서 그동안 메시지를 본적이 없는 것으로 봐선.. 실제로 flv 파일이 전송된 적은 없는 것 같습니다. (avast 웹스캐너 및 다른 실시간 감지도 실행하고 있었거든요.) [BScroll.js 이상한 문자열부분 그나마 보이게.. ] http://keben.kbench.com/talk/?bc=1&code=2302182 처음 그문제가 신고되고나서 BScrol...
댓글 쓰기
자세한 내용 보기

net services 명령...

NET [ ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP | HELPMSG | LOCALGROUP | NAME | PAUSE | PRINT | SEND | SESSION | SHARE | START | STATISTICS | STOP | TIME | USE | USER | VIEW ] 각각의 명령어에 대한 자세한 설명이 링크된 마이크로소프트 웹문서. 각 명령을 클릭해도 접근 할 수 있습니다. 웹문서 --> : http://technet2.microsoft.com/windowsserver/ko/..... 각 명령에 대한 자세한 설명이 있어 좋았습니다. __ test 2008-06-01 23:37:16
댓글 쓰기
자세한 내용 보기