패킷 분석을 좀 해봤습니다.



우선 이 트로이는 다른 사이트(singrm.garden5.com)의 view.js스트립트에서 unescape로 삽입되는군요.

그리고 'ralrlea'라는 쿠키가 설정되면 2번 삽입되지는 않는구조로 되어 있습니다.



그리고 저 js는 board.wassada.com/wassada/main_wassada_board.html와 board.wassada.com/main_wassada_gallery.asp에서 제일 상단에 script태그를 이용해 삽입됩니다. 두 url모두 홈페이지 첫화면에서 아래 게시판 목록에서 사용되는군요.



다만 브라우저의 소스보기에서는 title보다 위에 있기 때문에 정확하게 보이지 않는것 같습니다.





저 html에서 참조하는 URL은 http://singrm.garden5.com/data/biznet/Homepage/view.js 이고, 저 js파일이 다시 문제의 URL로 연결됩니다.



저 url의 singrm.garden5.com은 시원테크라는 가든파이브 입주업체 인것으로 보입니다.



다른 페이지에도 동일하게 삽입하는 코드가 있을수 있으니 점검해 보시는것이 좋을듯 합니다.(물론 보안 점검도...)