악성iframe이 삽입된 사이트페이지를 또 발견했습니다.
하루에만 2번이나 보게되니...
단순히 넘어갈 문제가 아닌 것 같습니다.
----------------------------------------------------------------
특정 웹페이지 내용에 삽입되어있던 iframe태그 부분
----------------------------------------------------------------먼저 봤던 사이트는 그냥 하단에 하나 보였는데..
이번 사이트는 5개는 중복되서 삽입되어 있었습니다.
*h?*p://?*.*2.7*.3*/index.htm 파일의 내용.
이번에는 단순히 xmp태그를 document.write 끝 양단에 씌우기보단
unescape 함수를 4번 실행하고,
그 결과를 xmp태그로 화면에 그대로 출력하는 방법으로
내용보기에 성공했습니다.
(alert로 단순 출력했을 때는, 바뀌지 않고 그대로여서 왜 바뀌않지?하고.. 고생했네요.)
* 변환하기위해 약간의 수정.(붉은 상자 내용처럼)
* IE7로 출력
이번에 이 코드를 삽입한 사람은 개행문자나 공백문자로
혼동되게는 하지 않은 것 같습니다.
소스 부분이 아주 깔끔하게 출력되었습니다.
깔끔하게는 출력되었지만 뭘하려는 의미인지는 ㅠㅠ...
* 해석된 코드의 h.exe을 다운로드하여 virscan.org에서 검사했습니다.
2008-06-28 04:05:25
댓글 없음:
댓글 쓰기