http://www.boannews.com/media/view.asp?idx=47852



반응형


www.korarthro.com/mm/ss.css 악성코드 감염시

www.korarthro.com/mm/flash.exe를 추가로 받아서 실행한다


악성코드 감염 후 kbstar.com에 접속 시 http://223.219.209.158:8000/ 으로 접속된다

KB국민은행 피싱사이트다




→ 서비스 신청하기 버튼을 누르면


e-금융보안센터 피싱사이트로 연결된다 (http://223.219.209.158:9000)

이름, 주민등록번호, 핸드폰, 공인인증서 비번을 요구한다.


동시에 PC에 저장되어 있는 공인인증서를 zip으로 압축하여 223.219.209.158로 FTP 전송한다


공인인증서를 FTP로 탈취

 - FTP : 223.219.209.158 (sign//meiyou)

* 탈취된 공인인증서가 보이지 않는다.. 이유는 모르겠다..





주소창에 223.219.209.158을 치고 접속하면 v3 365 클리닉 피싱사이트가 뜬다



보안앱설치하기라는 버튼이 있고 클릭하면 스마트폰에서만 접속하게 되어 있다

스마트폰으로 접속해도 실제 악성앱이 다운로드 되지는 않는다





반응형

게시판이 있고 모두 일반글인데 하나만 비밀글이다.


글마다 첨부파일이 하나씩 있다


첨부파일 주소는 암호화되어있다

MD5 암복호화 사이트(http://www.md5encrypter.com/)

MD5 디코딩으로 일반글 2개의 시간을 비교해서 비밀글 첨부파일의 주소를 알아낸다.





반응형


올리디버거로 CrackMe1.exe를 읽어들인다






방법1. JE SHORT 0040103D 부분을
무조건 점프하게끔
JMP SHORT 0040103D로 수정한다






방법2. EAX와 ESI를 비교해서 같으면 점프하게 하므로
값을 같게 만들면 된다
DEC EAX는 값을 차이나게 만드므로 NOP로 대체한다


반응형

+ Recent posts