| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |
- esbuild
- 중고나라
- 모의해킹
- self-signed
- 변태는
- 네이버카페
- CJ대한통운 #쿠팡 #통관번호오류 #통관고유번호오류 #안주원팀장 #모건인베스트
- 많다..
- XSS
- intelmac
- 거래사기
- CryptoJS
- 취약점
- open redirect
- speed-measure-webpack-plugin
- shell_gpt
- ue4dumper
- 허리디스크
- 채팅환전사기
- 보이스피싱 #대검찰청 #명의도용 #비밀번호 #계좌번호 #공공기관 #가짜검찰청
- 안전결제
- Malware Sample
- ssrf
- react
- NUGU
- 로맨스스캠
- Sequoia
- 척추관협착증
- Frida
- MongoDB #NoSQL #CreateUser #DropUser #mongod #mognod.conf
- Today
- Total
annyoung
남일물산 사이트에서 파밍 유포중 본문
FileName |
ajk.exe |
MD5 |
3CEB54A7BCA642F7A5E997A96F603A40 |
SHA-1 |
4EFD870132D70901850E569DB9939BB2B837737E |
Packer |
VMProtet 2.0x |
여기도 exploit이 업로드 되어 있는건 아니고 바이너리만 업로드되어 유포지로 사용중.
.C...........www.pinterest.com..... .C...........www.pinterest.com..................www.pinterest.com.edgekey.net../......+....e9343.aakamaiedge.I.Z.............9 |
블로그와 비슷한 기능을 가진 pinterest.com에 DNS 쿼리를 날린다.
https://www.pinterest.com/pin/2181499792779873에 접속한다.
CD-KEY 문자열 중 DG8FV-B9TKY-FRT9J-6CRCC-XPQ4G-를 제외한 후 남은 뒷 문자열 중 ABCD를 .으로 치환하여 파밍 IP를 복호화 하는 방식으로 진행된다.
오랜만에 보는 파밍이라 반갑다. 근데 오랜만에 봤는데 악성 행위를 하지 않는다.-_-;; 문자열이 달라서(DG8FV이어야 하는데 DGV만 있어서) 그런가?
복호화 된 파밍 IP는 결국엔 136.0.182.2(난독화 문자열은 136A0B182C2D)이다.
URL |
파밍 은행명 |
http://136.0.182.2:8000 |
국민은행 |
http://136.0.182.2:8001 |
우리은행 |
http://136.0.182.2:8002 |
농협은행 |
http://136.0.182.2:8004 |
금융결제원 |
http://136.0.182.2:8005 |
IBK기업은행 |
http://136.0.182.2:8007 | 신한은행 |
각 클론된 은행 사이트들은 포트를 열어 사이트들을 관리하고 있었으며 관리자 페이지는 없는 것 같다.
'분석생활' 카테고리의 다른 글
| 놀몸연극놀이연구소 사이트 파밍 유포지로 사용중 (0) | 2015.05.22 |
|---|---|
| TLS callback 악성코드 우회 및 분석 (0) | 2015.05.19 |
| 한국아마추어골프협회 사이트에서 파밍 유포 (0) | 2015.04.19 |
| 대구주얼리RIS사업단 사이트에서 파밍 유포중 (0) | 2015.04.18 |
| 풋볼데이 매크로 바이러스 탐지? (2) | 2015.04.18 |
