2013년 7월 22일 어느 때부터 내 페북 타임라인에 이상한 글들이 올라오기 시작하였다.
직감으로 이상한 느낌이 들어 처음부터 상세하게 분석한 내용을 올립니다.
( 이 글은 NTMA연구소의 공식 분석 내용이 아님을 밝힙니다 )
일단 친구가 올린 링크로 들어가 보니
캡챠 코드를 치고 들어가면 되는 구조인 것 같았다.
일단 이 링크의 원인인
http://txbx.xmrxcxs.info/rxd1.html 의 소스코드를 웹 소스코드 리딩 프로그램을 자바로 작성하였다.
리딩 프로그램을 작성한 후에 실행하니
- 소스코드 중 일부
소스코드에 대한 분석을 하면
random을 돌려 _0xbcbe 의 array중 하나를 선택하여 그 링크로 들어가게 하는 것이다.
그리고 이 부분에는 나와 있지는 않지만 geoip를 사용하여 접속자의 국가 및 위치 정보를 반환하고 국가가 만약에 파키스탄인 경우에는 특정 사이트로 접속하게 된다. (PK는 파키스탄의 국가코드이다)
이 사이트에 접속하게 되면 특정 프로그램을 다운받으라는 화면이 뜨게 되고 다운받은 파일을 분석한 결과 Media player 설치 파일임을 확인할 수 있었다. (이 이상은 가상 환경에서의 분석이 불가능하여 분석할 진행하지 않았다.)
_0xbcbe array는 16진수로 변환되어 있어 이를 python 코드를 작성하여 변환하였다.
이 코드를 실행하면 제작자가 정해 놓은 문자열을 볼 수 있다.
해당 링크에 들어가 아까 작성한 소스코드를 실행시키면
var randomnumber = Math.floor(Math.random()*1000000001) -> 랜덤한 숫자 생성 (캡챠)
랜덤한 숫자를 생성하고 입력하면 http://i.ixgxr.com/rxfxuxx.jpg
에 SUBMIT 그림이 존재하고 이를 클릭하게 되면 자동적으로 타임라인에 글이 올라와
다른 사람들에게 전파되는 피라미드식 악성 링크이다.
(실제로 보지도 못했는데 당하는 ㅋ)
이와 같이 당하는 경우는 바탕이 진짜 유튜브 같다는 것에 있는데
소스코드를 분석하면 진짜 영상 하나가 나오는데 이 영상을 보면 미국 15세 소녀가 왕따로 인해 자살한 뉴스가 나온다
(아니 하필이면 이런걸..)
그리고 광고 부분을 보면
var country = 'KR' 이라는 것을 발견할 수 있는데
해당 아이피의 geoip를 조회하여 국가를 알아낸 다음에 해당 국가 언어에 맞춘 광고를 하는 의도로 작성되었으며
광고자의 광고 코드 ( NxAxOxcxx ) 를 추출하여 조회하였지만 별다른 특징을 찾지 못하였다.
이를 통해 입는 피해는
1. 자신의 타임라인에 18+ 영상 링크(가짜) 가 올라감
2. 처음에 geoip를 통해 자신의 대략적인 위치 정보 유출
정도의 피해를 입을 수 있다.
여러분들은 호기심에 눌러보는 것은 자유다
그러나 야동맨으로 각인되고 싶지 않으면 누르지 말고 친구에게 메시지로 타임라인에 올라갔다는 이야기 한마디 해주길 바라면서 :)
분석 내용이 다양하지 못해 죄송합니다 ㅠㅠ
'Analysis Report' 카테고리의 다른 글
| 네이버를 사칭한 계정정보 탈취사이트 분석 (2) | 2014.08.13 |
|---|---|
| Paypal 사칭 스팸메일 분석 (2) | 2014.05.10 |
| 나사 중대발표 사칭 사이트 분석내용 (2) | 2013.10.05 |
| 해외발 금융사기 메일 분석 (0) | 2013.09.19 |
| 문자메시지 스팸을 통한 과금 유도사이트 링크 유포에 관한 분석보고서 (0) | 2013.02.16 |
