벌새::Analysis
2013. 3. 6. 23:07
웹하드 회원 가입 유도를 위한 XOR 주소 이용 사례 (2013.3.6)
정확한 기억은 나지 않지만 작년(2012년)경부터 블로그 첨부 파일을 통해 다운로드한 실행 파일을 통해 웹하드 회원 가입 사이트로 납치가 이루어지는 과정에서 암호화된 URL 주소를 이용하는 부분이 있었습니다. 과거에는 단순히 다운로드를 위한 링크를 제시하여 몇 단계를 거쳐 회원 가입 페이지로 연결을 시도하였던 것과는 다르게, 다운로드한 파일을 실행하지 않고서는 어떤 사이트로 연결되는지 알 수 없게 했다는 점이 특징입니다.대표적인 홍보 블로그를 보면 "어렵게 구한 자료들입니다."라는 문구를 포함하여 첨부 파일을 다운로드하도록 유도합니다.다운로드된 RAR 압축 파일 내부에는 실행 파일(.exe), set.ini, 설명서.txt 파일로 구성되어 있으며, 2012년 9월경부터 이용된 것으로 추정됩니다.우선 텍스..