main 웹페이지가 위/변조가 되어서 악성코드 유포를 하고 있었다.
이런 경우는 서버가 털린 경우가 대부분이다.
- hxxp://www.rayforever.com/\ (iframe 삽입)
└ hxxp://www.rayforever.com/javaexp.htm (java파일과 exe파일 실행되게 coding)
└ hxxp://www.rayforever.com/apps.jar (java취약점)
└ hxxp://www.rayforever.com/update.exe (다운로드 되지 않음)
======================================================================================================================================================================
coding 하단 부에 iframe 삽입으로 인해 서버가 위/변조가 되었음이 확인됨
jar 파일과 외부에서 exe 파일을 다운로드 하려는 시도
자바 파일은 확인결과, java.net.useSystemProxies (Java proxy설정) 을 하고
http.keepalive (httpURLConnection시 자바 에러를 방지) 하고
/taskmgr.exe 실행하는 모습을 확인 할 수 있었다.
======================================================================================================================================================================
exe파일까지 확인하면 어떤 행동을 하려고 했는 지 확인할 수 있겠지만,
자바 파일을 봐서는 아마 외부로 무언가를 유출하려는 시도로 유추된다.
'analysis > Decoded' 카테고리의 다른 글
| Private Exploit ToolKit (0) | 2013.07.20 |
|---|---|
| 공다팩을 이용한 악성코드 유포. (0) | 2013.05.01 |
| 띄우면서 Decode. (0) | 2013.01.04 |
| 이렇게 만들거면...ㅋ (0) | 2013.01.01 |
| Mass SQL (0) | 2012.12.27 |
