지난 휴일 동안 또다른 공격이 보고되고 있다.
Navigator 시스템 언어가 zh-cn 의 경우에만 특정 아이프레임이 작동하도록 구성되어 있는 자바스크립트 파일을 자동화 된 공격으로 SQL Injection 시킨다.
해당 아이프레임은 중국 경유지를 연결시키며, 중간에 kr 이라는 하위주소에 포함된 info.htm 파일이 실행되도록 구성된다.
해당 파일은 Encode 된 VB 스크립트도 구성되어 있으며, Hex2Str(Song) 이라는 출력구문을 이용하게 된다.
출력구문을 Decode 하면 MS06-014 Exploit Code 의 Error 를 체크한다.
If Not Err.Number = 0 then
Else -> help.htm 이라는 MS06-014 Exploit Code 를 연결시킨다.
Err.clear 의 경우
real.htm 또는 new.htm 이라는 아이프레임쪽으로 코드를 실행시킨다.
real.htm 은 3단계 암호화 코드를 Decode 해야 한다.
1. Rechange(Cn911) 복호화
2. D 복호화
3. CHR 변수 복호화
모두 복호화하게 되면 Real Player Exploit 이 사용된다.
new.htm 도 real.htm 과 동일한 3단계 암호화 코드를 Decode 하면 되고, rmoc3260.dll ActiveX Real Player Exploit (CLSID 2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93)이 이용되었다.
rmoc3260.dll ActiveX Control Remote Exploit 의 경우 2008년 4월 1일 보고된 것이다.
취약점 코드가 정상적으로 작동하게 되면 아래와 같은 파일(트로이목마)이 다운로드되고 실행된다.
http://www.jj(생략).net/inc/fuckkr.exe
fuckkr 이라는 파일명을 사용하였는데, 한국(kr)을 비하하는 의미로 사용되었다.
해당 파일은 WOW 온라인 게임 사용자의 계정탈취 목적의 기능을 수행하게 된다.
Navigator 시스템 언어가 zh-cn 의 경우에만 특정 아이프레임이 작동하도록 구성되어 있는 자바스크립트 파일을 자동화 된 공격으로 SQL Injection 시킨다.
해당 아이프레임은 중국 경유지를 연결시키며, 중간에 kr 이라는 하위주소에 포함된 info.htm 파일이 실행되도록 구성된다.
해당 파일은 Encode 된 VB 스크립트도 구성되어 있으며, Hex2Str(Song) 이라는 출력구문을 이용하게 된다.
출력구문을 Decode 하면 MS06-014 Exploit Code 의 Error 를 체크한다.
If Not Err.Number = 0 then
Else -> help.htm 이라는 MS06-014 Exploit Code 를 연결시킨다.
Err.clear 의 경우
real.htm 또는 new.htm 이라는 아이프레임쪽으로 코드를 실행시킨다.
real.htm 은 3단계 암호화 코드를 Decode 해야 한다.
1. Rechange(Cn911) 복호화
2. D 복호화
3. CHR 변수 복호화
모두 복호화하게 되면 Real Player Exploit 이 사용된다.
new.htm 도 real.htm 과 동일한 3단계 암호화 코드를 Decode 하면 되고, rmoc3260.dll ActiveX Real Player Exploit (CLSID 2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93)이 이용되었다.
rmoc3260.dll ActiveX Control Remote Exploit 의 경우 2008년 4월 1일 보고된 것이다.
취약점 코드가 정상적으로 작동하게 되면 아래와 같은 파일(트로이목마)이 다운로드되고 실행된다.
http://www.jj(생략).net/inc/fuckkr.exe
fuckkr 이라는 파일명을 사용하였는데, 한국(kr)을 비하하는 의미로 사용되었다.
해당 파일은 WOW 온라인 게임 사용자의 계정탈취 목적의 기능을 수행하게 된다.
