사 용 백 신 : 노턴 인터넷 시큐리티 2008/ 바이러스체이서 USB
인터넷 돌아다니다가
s********r.com이 문제있는 사이트라고 들어서 사이트를 돌아다녀 봤습니다.
사이트 링크 몇 군데 돌아다니다가...
------------------------------------------------------------------------------
Microsoft Corporation에서 배포한 MIcrosoft Data Access -Remote Data Services Dat...' 추가기능을 실행하려고 합니다. 이 웹 사이
트와 추가 기능을 신뢰할 수 있고 실행을 허용하는 경우 여기를 클릭하십시오.
------------------------------------------------------------------------------
IE7에서 이말이 상단에 출력되서...
바로 Temporary Internet Files에 들어가서 다운로드된 임시 폴더를
확인해봤습니다.
임시 파일 중 수상한 부분이 발견되었는데...
대부분 다운로드된 임시파일 경로는
s**********r.com 이였지만,
xml.htm이라는 파일은 경로가
h**p://***.230.98.20/xml/xml/xml.htm
위와 같았습니다.
이 xml.htm을 불러오는 부분을 확인하기위해
이전에 엑세스된 파일들을 열어보다가
http://www.s**********r.com/innerMenu.htm란 파일의 내용을 보다가
맨 아래부분의 문제가 있는 부분을 발견했습니다.
----------------------------------------------------------
* innerMenu.htm의 최하단부 내용.
----------------------------------------------------------
위와 같이 iframe태그가 들어있는데..
이는 분명히 관리자의 의도가 아닌 것 같다는 생각이 들었습니다.
관련 기사 제목 : 안硏, 웹해킹 통한 악성코드 유포 급속확산 경고.
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=003&aid=0002162304
신문기사로 본 내용을 이렇게 직접 볼 수 있게되니..
신기하다는 생각이 들었습니다.
xml.htm의 내용을 열어보니 아래와 같은 내용입니다.
HtmlStrings의 내용을 보기위해
24번째 행 document.write()안에 xmp태그를 넣고
IE7로 xml.htm을 실행시켜 봤습니다.
위와 그림처럼 이상하게 표시되었던 문자들이
정상적으로 출력되었습니다.
그리고 개행문자와 스패이스바로 띄어진 부분을
보기좋게 붙혀봤습니다.
뭘하려는지는 몰라도,
예감상... dmx.exe란 파일을 받아와서 실행하고
싶어하는 것 같은 생각이 들어...
dmx.exe파일을 받아서 노턴과 VirusChaser로 검사해봤습니다.
노턴에선 발견되지 않았고,
VirusChaser에서는 Trojan.PWS.Wsgame.6176이란 것으로 발견되었습니다.
--느 낀 점--
* 아래와같은 추가기능 실행여부 창이 나올 때는 실행하지말 것.
* 운영체제는 항상 보안업데이트를 최신으로할 것.
* Flash 플러그인도 항상 최신버전 사용할 것.
* 바이러스 백신사용할 것.
* 스크립트 공부의 필요성 ㅠㅠ
* 바이러스체이서 꽤 쓸만하단 생각...
2008-06-27 18:36:43
댓글 없음:
댓글 쓰기