본문 바로가기

Analysis

mass injection

해당 js파일을 다운받아 살펴보면 다음과 같다


마지막에 document.write(temp); 를 추가하고 돌려주면 원본코드가 나온다


붉은색으로 가려진곳은 주소이며, 주소로 접속하면 다음과 같이 접속된다.



 

 동영상인것으로 사용자를 속이며 플레이버튼을 누를려고 하면 다음과 같은 창이 뜬다


 


일단 동영상 내용도 궁금(?)하고 봐야하니 Download Now를 누르면 훼이크 스크룰바가 생성되면서 Install now 버튼이 활성화가 되는데, 이것을 클릭하면 파일다운로드창이 생성된다.



위 파일은 UPX로 패킹되어있는 듯? 싶지만..정작 툴로 풀어도 수동으로 풀어도 IAT값이 잘못된것인지 깨져버린다-.-;;;

일단 메모리에 쓰여진 값을 읽어보면 다른 사이트에서 파일을 다운로드하는 역활을 하는 것으로 판단된다.


 현재 해당 주소로 다운로드가 안되어 분석은 여기까지(__)

'Analysis' 카테고리의 다른 글

모스부호 컨버터기  (0) 2012.04.10
TLS callback Anti Debugging  (0) 2012.02.21
자바스크립트(CVE-2011-2110)  (0) 2011.10.29
Atapi.sys 에서 Major Funtion 후킹  (0) 2011.10.28
자바스크립트(iframe)  (0) 2011.10.28