본문 바로가기
[사이트 변조] 포미닛(4Minute) 홈페이지(http://www.4min.co.kr) 다가오는 29일 새로운 앨범의 음원을 공개하기 앞서~ 사용자들에게 악성코드를 먼저 공개하고 있는 포미닛 홈페이지!! 사용자를 생각하는 마음은 알겠지만, 워워~~!!! 포미닛 홈페이지 접속 시 연결 되는 사이트는 다음과 같다. hxxp://www.4min.co.kr hxxp://www.4min.co.kr/110322_4min1st/../Scripts/swfobject_modified.js hxxp://218.38.54.179/F.asp hxxp://design.misslee.net/t.exe 현재 알약에서는 스크립트 파일과 PE실행 파일 모두 탐지 중이다. F.asp : Trojan.Exploit.ANRP t.exe : Worm.Generic.308760 이번 취약점은 IE취약점(CVE-2010-3962).. 2011. 3. 25.
홈페이지 변조를 통한 악성코드 유포 주의(Comres.dll 및 imm32.dll 파일 변조) (위의 그림은 정상적인 Windows XP - SP3의 Comres.dll의 등록정보이다. 참고로 올려놓았다) 주말에 발생 된 홈페이지 변조로 인하여 윈도우즈 정상 시스템 파일인 Comres.dll 변조 되는 사례가 나오고 있다. 예전에 온라인게임 dll 파일을 동작시키기 위해 Comres.dll이 변조 된 경우(포스팅이 없다 ㅠ_ㅠ 블로그를 하기전이라)가 있었고, 근래에 와서는 네이트온으로 전파 되는 악성코드가 Comres.dll를 변조 시키는 경우가 있었다. - 관련글 2010/07/13 - [악성코드소식] - 네이트온 악성코드 "V3 Lite" 제품파일명을 가장하여 배포 위의 글을 보면 쉽게 알 수 있겠지만, 결론적으로 설명하면 다음과 같다. 정상적인 파일인 Comres.dll -> x_com.dl.. 2011. 1. 5.
주말을 노린 국내사이트 변조 2월 6~7일 주말을 노린 해커들에게 의해 국내 많은 홈페이지들이 변조되었다. 온라인게임의 계정을 노리는 스파이웨어였으며, 유명페이지들은 대부분 수정이 된 것으로 확인된다. 변조 된 페이지에서는 취약점에 의해 F.exe 파일이 다운로드 되며, F.exe는 hf0019.exe, hf0019.dll 을 생성 시킨다. 2010. 2. 8.
박근혜 의원, 홈페이지 해킹당해 금일 박근혜 의원 홈페이지가 해킹당한 사실이 알려졌다. SQL 인젝션 공격에 의한 변조이며 's1.cawjb.com' 사이트와 관련되어 있는 것으로 밝혀졌다. 한나라당의 의도적인 해킹인가, 그냥 사이트자체의 취약점인가, 그건 누구에게 물어보지? ㅋㅋㅋ 동혁이형한테 물어볼까~ ^-^ 원문기사 : http://www.dt.co.kr/contents.html?article_no=2010020302010351739002 Ps) 샘플을 가지고 있는 분은 허리업!! 저 좀 주세요 (__) 굽신할꼐요!! 2010. 2. 3.
주말을 노린 국내사이트 변조 주말을 노린 해커들에게 의해 국내 많은 홈페이지들이 변조되었다. 종류도 다양하였다. Zbot계열, OnlineGame 스파이웨어계열, Autorun Worm 계열등이 있었으며, 현재까지 변조 된 페이지를 수정하지 않은 사이트에 대해서 조치가 필요하다. 요즘에도 간간히 사용되고 있는 허위RAR 파일과 비슷한 패턴의 파일들이 나오고 있다. 이는 다운로드 될 시에는 PE구조를 가지고 있지않지만, 복호화를 통해서 PE구조를 갖춘다. - 다운로드 된 파일의 PE구조 - 복호화 된 파일의 PE구조 2009. 11. 9.