해당 악성코드는 정상적인 js파일인 것처럼 위장하여 홈페이지에 삽입이 되어 있습니다.
해킹 된 사이트에 접속하게 되면 ajax.js 스크립트가 실행되면서 xdfile.com/ad.html을 호출하여
추가 악성코드를 다운로드 하게 되는 방식이며 해당 url 접속이 더이상 확인이 불가능 하여 분석을
진행할 수 없었습니다.
| 악성코드 유포경로 - h**p://momo****.com/js/ajax.js - h**p://xdfile.com/ad.html |
카스퍼스키 보안제품에서는 HEUR:Trojan.Script.Iframer 진단명으로 진단되고 있습니다.
해당 js 파일의 내용을 확인해보니 별다른 난독화 없이 단순 인코딩 되어 해당 유포지를 쉽게 확인 할 수 있습니다.
디코딩 결과 iframe를 이용하여 악성코드를 다운로드 하도록 되어 있으며 확인결과 접속이 되지 않았습니다.
이러한 유형의 공격 확인결과 악성코드 주소만 변경되어 사용하고 있는 것으로 확인 되어집니다.
'할롬::컴터 > 악성코드분석' 카테고리의 다른 글
| [악성코드분석] 검색도우미 :: GuiedOn (0) | 2011.08.12 |
|---|---|
| [악성코드분석] 검색닷컴_DirectKeyword2.exe (0) | 2011.08.05 |
| [악성코드분석] 정상적인 lpk.dll 시스템 파일 변조하는 악성코드 (0) | 2011.06.29 |
| [악성코드분석] 키로거 형태 악성코드 TeUpdate.dll, Crypt2.dll (2) | 2011.06.27 |
| [악성코드분석] 광고성 악성코드 분석 (0) | 2011.06.21 |