새로운 난독화 스크립트 "Yszz 0.1" 등장!! 지난 5월 11일에 새로운 난독화 자바스크립트가 확인되었다. 일명, Yszz 스크립트로 불리고 있다. (Dadong 스크립트에 이어 자신의 이름을 남기는 스크립트는 처음이다. 무슨 뜻인지 궁금 ㅋㅋㅋ) 현재까지 Yszz는 0.1 버전에 이어 0.2 버전까지 확인 되었다. Yszz 스크립트는 디코딩이 아주 간단하다. 아래의 그림을 보면 알겠지만, 가장 하단에 “Dz” 라는 변수에 디코딩 된 값이 저장되는 것을 알 수 있다. 그래서 간단하게 Alert 함수를 이용하여 디코딩 완료!! 디코딩 된 값에는 Dadong과 마찬가지로 여러 취약점의 Link들이 존재한다. Dadong 스크립트에 비하면 참 볼품없는 난독화 스크립트이지만, 앞으로 어떻게 변화가 될 지는 아무도 모른다. 2012. 5. 24. 자바 스크립트 난독화/암호화를 적절하게 사용해야~ 백신업체도 편하다!! 백신업체에서는 항상 오탐지를 최소화 시키기 위해 노력한다. 하지만 스크립트같이 웹페이지에서 많이 사용하는 경우는 범용적으로 탐지시그니쳐를 가질 수 있기 때문에 종종 오탐지가 난다. 웹개발자들은 그런 사항들을 모르는 경우가 많기 때문에 오탐지가 발생하는 경우가 많다. 하나의 예를 들어보자!! 한 사이트에서 아래와 같은 스크립트 형태로 웹페이지가 동작하고 있다고 한다.한눈에 봐서는 이거 악성코드아닌가? 라고 할만큼 악성스크립트에서 많이보던 형태로 페이지가 존재하고 있다. (참고로 해당 코드는 블로그 및 카페, 홈페이지에 음악BGM을 생성해주는 코드이다.) 위의 페이지에는 "eval(function(p,a,c,k,e,d)" 스크립트를 사용하고 있었다. 이 방식은 Dean Edwards가 만든 자바스크립트 압축.. 2011. 8. 19. [SpamMail] "(E-Mail 주소) has sent you a birthday ecard" 제목으로 전파 되는 메일 주의!! 생일을 기념하는 스팸메일이 국내에서 발견되었다. 메일에는 ecard.html 파일이 첨부 되어 있다. 제목 : (e메일주소) has sent you a birthday ecard. 본문 : [e메일주소] just sent you an ecard You can view it by open attached document. Your ecard is going to be with us for the next 30 days. We hope you enjoy your ecard. 첨부파일 : ecard.html 이번에도 자바스크립트(JavaScript)로 이루어져있으며, Replace를 이용하여 리다이렉션 시키는 것으로 확인된다. 결과적으론 URL Redirection과 동일한 수법이다. ecard.html 파일.. 2010. 10. 12. [SpamMail] "OOO(유명인사) died" 제목으로 전파 되는 메일 주의!! 유명인사의 죽음을 알리는 스팸메일이 국내에서 발견되었다. 메일에는 News.htm 파일이 첨부 되어 있다. 이번에도 첨부파일은 자바스크립트(JavaScript)로 이루어져 있으며, Replace가 아닌 substr() Method를 이용하여 복호화가 이루어진다. 결과적으론 URL Redirection과 동일한 수법이다. 제목 : Cameron Diaz died 본문 : David Beckham died along with 34 other people when the Air Force CT-43 "Bobcat" passenger plane carrying the group on a trip crashed into a mountainside while approaching the Dubrovnik airpo.. 2010. 8. 23. [SpamMail] "My Husband, My Lover" 제목으로 전파 되는 메일 주의!! 광고를 목적으로 둔 스팸메일을 확인하였다. 메일에는 foryou.html 파일이 첨부 되어 있다. 이번에도 자바스크립트(JavaScript)로 이루어져있으며, Replace를 이용하여 리다이렉션 시키는 것으로 확인된다. foryou.html 파일은 Replace를 이용하여 http://myhometour******.com/xxx.html 로 연결된다. 리다이렉션 시키는 URL은 특정 광고를 보여주는 사이트이다. - 관련글 2010/06/17 - [악성코드소식] - [SpamMail] "Reset your Twitter password" 제목으로 전파 되는 메일 주의!! 2010/06/17 - [악성코드소식] - [SpamMail] 유명 SNS(Social Network Service)를 가장한 패스워드 .. 2010. 6. 23. [SpamMail] "Reset your Twitter password" 제목으로 전파 되는 메일 주의!! 지속적인 변종을 보이고 있다. 언제까지 이 스팸메일이 발생 될 지 걱정이다;; 물론 이번에도 악성파일의 다운로드 행위는 없다. 다만 광고를 보여줄뿐!! - open.htm 파일 내용 - 리다이렉션 URL 이 같은 스팸메일을 보내는 악성파일에 대해 분석 해 둔 사이트가 있다. 그림이 작으니 클릭해서 봐야한다. 원본 보기 : http://blog.emsisoft.com/2010/06/17/facebook-twitter-and-more-spams There seems to be no end for the circulation of twitter spams, and now the malware authors have started trying various strategies to bring similar co.. 2010. 6. 17. [SpamMail] 유명 SNS(Social Network Service)를 가장한 패스워드 변경 메일 주의!! 최근 유명 SNS(Social Network Service)를 가장한 스팸메일이 많이 돌고 있다. - 관련글 2010/06/11 - [악성코드소식] - [SpamMail] "New discounts daily" 제목으로 전파 되는 메일 주의!! 이전에 나왔던 html 파일들은 별도의 악성파일을 다운로드를 하는 것으로 확인되었으나, 이번 변종에 첨부 된 html, htm 파일은 악성파일을 다운로드 하여 시스템을 감염시키기 보다는 광고를 전파하는 것으로 목적이 틀려 보였다. 이번에도 저번 자바스크립트(JavaScript)로 이루어져있으며, Replace를 이용하여 리다이렉션 시키는 것으로 확인된다. 리다이렉션 시키는 URL은 특정 광고를 보여주는 사이트이다. 현재 많은 변종들이 존재 하는 것으로 보이며, 오.. 2010. 6. 17. [SpamMail] "New discounts daily" 제목으로 전파 되는 메일 주의!! "New discounts daily" 라는 제목으로 스팸메일이 전파되었다. 스팸메일에는 open.html 이라는 파일이 첨부 되어 있으며, 해당 파일은 JavaScript를 통해 악성 PDF를 다운로드 한다. 추가적으로 new.html 파일도 첨부 파일로 들어오고 있다고 한다. new.html의 접속 주소는 http://advancedwood****.com/x****j/z.htm 이며, 동일한 PDF를 다운로드 한다. 최근 Replace 함수를 사용하여 문자열을 치환하는 형식이 많이 발생하고 있으며, 이는 보안프로그램의 탐지를 우회하기 위한 방법으로 사용되는 것으로 추측되고 있다. 이번 open.html도 마찬가지로 Replace 를 이용하여 악성 URL에 접근을 시도한다. 빨간 박스가 악성 URL로 .. 2010. 6. 11. 이전 1 다음
