본문 바로가기

security/악성코드 유포

Increase 를 이용한 악성 스크립트 !

최근에는 그냥 window.alert(x) 로 출력 한다면 바로 나오는 출력 코드가 꽤 눈에 띄이고 있다.
뭐 내가 보는게 전부는 아니지만 최근에 alert(x) 출력을 하고도 또 다시 한번더 증가를 시켜주어야 하는 악성코드를 보아서 이렇게 글을 쓴다.

이 악성코드는 2010/10/05 에 나왔으며 지금은 보이지 않는 악성코드이다.

function a(p){var j,t;j="";for(i=1;i<=p.length;i++){if((i%2)==0){t="0x"+p.substr(i-2,2);t=t.toString(10)-20;j=j+String.fromCharCode(t);}}return j;}window.document.write(a("466C7F7E7E79782A736E4731777978(중략)D4F4397D6D7C737A7E48"));window.location.reload();

중간 코드는 악성코드이기 때문에 생략하였습니다.
보다 싶히 이 악성 코드를 다시 window.alert(x) 를 이용하여서 다시 코드를 출력시켜 본다면 이상한 외계어가 나옵니다. 전 처음에 이게 정상 적인 코드가 아니구나 하고 했는데 이것이 바로 Increase 를 이용해야 제대로 된 코드가 보이는거 였습니다.

2Xkjjed_Z3cededYb_Ya3iYb_Ya1IJOB;3:?IFB7O0DED;42%Xkjjed42iYh_fjbWd]kW][3@WlWIYh_fjZ[\[h4\kdYj_edY`ciqlWhhijh"d1d31\eh_3'1_23i$b[d]j^1_!!q_\_*33&qhijh3k!i$ikXijh_#("(!i$ikXijh_#*"(1d3d!hijh1ssh[jkhdkd(중략)^[qsm_dZem$ijWjki!31sZeYkc[iYh_fj4

출력을 한다면 이렇게 뜨고 있습니다. 겉보기에는 이게 무슨 언어인지 모르겠지만 이걸 다시 인크리스 해보겟습니다~

909090905BDD5C(중략)8BDBDBDBDBDBDBDBDBDBDBDBDBDBDBDBDBDBDBDEAEA

이와 같이 나옵니다. 다시 이걸 똑같이 디코드 한다면 최종 파일에 접근 할수 있습니다.

최종 파일 : http://61.1xx.247.31/xxxxxx/upload/vpn/xx/2/wmpub/x.exe

이번 경우는 한 주 유포로 끝났지만 계속 유포 될 가능성이 많으므로 이렇게 올려봅니다.
제가 아는건 이곳까지입니다. :)
이렇게 끝까지 읽어 주셔서 감사합니다.

마지막으로 코드 하나를 더 올리고 마무리를 짓고자 합니다.

^jjf0%%-,$-)$.,$(,%Z%[[$[n[
^jjf0%%,&$'/&$',($(''%c%($[n[
^jjf0%%,&$'/&$',($(''%c%)$[n[
^jjf0%%-,$-)$.,$(,%Z%jb$[n[
^jjf0%%,&$'/&$',($(''%c%cc$[n[
^jjf0%%,&$'/&$',($(''%c%YY$[n[
^jjf0%%-,$-)$.,$(,%Z%Zd$[n[
^jjf0%%-,$-)$.,$(,%Z%))$[n[
^jjf0%%-,$-)$.,$(,%Z%,$[n[
^jjf0%%-,$-)$.,$(,%Z%Wh$[n[

이것은 악성코드 일까요??

  • 물여우 2010.10.17 22:15 신고

    캬 조금 있으시면 리버싱에도 손대시는 거 아닌가요 ^^
    저는 제가 사용하는 웹 분석기가 중간 단계를 분석하질 못하는 경우가 너무 많아서 분석 포기 중입니다. ㅎㅎ

    • Kwan's 2010.10.17 22:22 신고

      리버싱이 너무나도 어려워서요~ㅠ
      더욱 공부해서 해야지요~ 에이 물여우님은 더 고수시면서요~
      쉬우니까 금방 터득하실수있어요 ㅎ
      저도 빨리 배운걸요~ㅎ