반응형
네이버 사칭하는 파밍 사이트를 분석 해보았습니다.
발견 일자는 2014년 8월 13일(화) 입니다.
실제 사이트와 똑같..은 무슨 ㅋ
약간 다른게 있네요..
코드 분석 ㄱㄱ
ㅋㅋ..
분석해 보니 중국의 특정 서버로 카운트 시키게끔 전송하네요
(전에 파밍 사이트에서 주로 많이 사용되던 사이트이네요. 역시 ㅋㅋ)
실제로 그래서 작동하는지 더미값 넣어봤습니다.
aaaa/aaaa
네? 넴?
로그인은 안되고 이상한 기사만..?
그래서 한번 감시를 해 봤습니다.
유저 아이디에 이상한 값과 패스워드를 특정 서버에 전송시킵니다. (그것도 평문으로 ㅡㅡ;)
Response Header를 보..러 가..보니
Microsoft IIS 서버를 사용하고 있고, PHP 버전 5.1 이네요 ㅋㅋ
... 이걸 통해서 여러분의 네이버 블로그를 taltal 털어간다고 합니다 :(
일단 지금 별로 시간이랑 여유가 없어서 간단하게 분석했는데 좀 자세히 분석해 봐야겠슴다 휴
=============자세한 스크립트 분석=============
<script>
function y_gVal(iz)
{
var endstr=document.cookie.indexOf(";",iz);
if(endstr==-1)
endstr=document.cookie.length;
return document.cookie.substring(iz,endstr);
}
function y_g(name)
{
var arg=name+"=";
var alen=arg.length;
var clen=document.cookie.length;
var i=0;
var j;
while(i<clen)
{
j=i+alen;
if(document.cookie.substring(i,j)==arg)
return y_gVal(j);
i=document.cookie.indexOf(" ",i)+1;
if(i==0)
break;
}
return null;
}
function cc_k()
{
var y_e=new Date();
var y_t=93312000;
var yesvisitor=1000*36000;
var yesctime=y_e.getTime();
y_e.setTime(y_e.getTime()+y_t);
var yesiz=document.cookie.indexOf("cck_lasttime");
if(yesiz==-1)
{
document.cookie="cck_lasttime="+yesctime+"; expires=" + y_e.toGMTString() + "; path=/";document.cookie="cck_count=0; expires=" + y_e.toGMTString() + "; path=/";
return 0;
} else {
var y_c1=y_g("cck_lasttime");
var y_c2=y_g("cck_count");
y_c1=parseInt(y_c1);
y_c2=parseInt(y_c2);
y_c3=yesctime-y_c1;
if(y_c3>yesvisitor)
{
y_c2=y_c2+1;
document.cookie="cck_lasttime="+yesctime+"; expires="+y_e.toGMTString()+"; path=/";document.cookie="cck_count="+y_c2+"; expires="+y_e.toGMTString()+"; path=/";
}
return y_c2;
}
}
var yesdata;
yesdata='&refe='+escape(document.referrer)+'&location='+escape(document.location)+'&color='+screen.colorDepth+'x&resolution='+screen.width+'x'+screen.height+'&returning='+cc_k()+'&language='+navigator.systemLanguage+'&ua='+escape(navigator.userAgent);
document.write('<a href="http://countt.51yes.com/index.aspx?id=59230596" target=_blank><img width=0 height=0 border=0 hspace=0 vspace=0 src="http://count5.51yes.com/count1.gif" alt="51YES网站统计系统"></a>');
document.write('<iframe MARGINWIDTH=0 MARGINHEIGHT=0 HSPACE=0 VSPACE=0 FRAMEBORDER=0 SCROLLING=no src=http://count5.51yes.com/sa.htm?id=59230596'+yesdata+' height=0 width=0></iframe>');
</script>
1. Referer, Location, screen 정보, System Language, User-Agent 등을 검사해서 yesdata 라는 변수에 저장
2. 그리고 쿠키 값으로 특정 사이트에서 정보를 불러와서 그 값을 변수와 같이 저장해서 전.송
3. 여러분의 개인정보가 taltal 털립니다.
=========================================
(인코그니토 발표준비랑 과제.. 자소서 흐규흐규)
반응형
'Analysis Report' 카테고리의 다른 글
Paypal 사칭 스팸메일 분석 (2) | 2014.05.10 |
---|---|
나사 중대발표 사칭 사이트 분석내용 (2) | 2013.10.05 |
해외발 금융사기 메일 분석 (0) | 2013.09.19 |
피라미드식 악성링크 분석내용 (0) | 2013.07.23 |
문자메시지 스팸을 통한 과금 유도사이트 링크 유포에 관한 분석보고서 (0) | 2013.02.16 |