본문 바로가기

security/악성코드 유포

CJ 엔터테인먼트 현재 악성코드 감염

3주전 발견했던 CJ 엔터 테인먼트가 현재 까지도 악성코드를 가지고 있어서 이렇게 글을 올린다.
프로그램으로 본 결과 악성 코드인 lib.asp 를 삽입되어 있는 모습을 이와 같이 볼수있다.



JS 파일 안에 lib.asp 라는 파일을 확인을 할 수가 있을것이다. 이것은 역시 익스플로러로 들어갈시에 time out 이라는 문구를 보내며 위장하고 있는 사실을 볼 수 가 있다.
이 파일을 다시 복호화 과청을 걸친다면 최종 파일인 exe 가 볼수있다.
이글을 쓰는 지금 이시각도 유포중에 있으며 이 사이트를 매우 조심해야 할 필요가있다.

현재 최종파일도 받는 서버가 살아 있으므로 이 곳을 매우 조심해야한다.

lib.asp : http://61.100.7.171/cxx/lib.asp0
최종파일 : http://61.100.1.93/cxx/isa.exe0

현재도 다운을 받을 수 있으며 마지막으로 이 사이트에 대해서는 조심하자!

검사 파일: lib.asp 전송 시각: 2010.05.10 00:38:59 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 Virus.JS.Downloader.QJ!IK
AhnLab-V3 2010.05.09.00 2010.05.08 JS/Downloader
AntiVir 8.2.1.236 2010.05.09 JS/Drop.A.5851
Antiy-AVL 2.0.3.7 2010.05.07 -
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 JS:Downloader-QJ
Avast5 5.0.332.0 2010.05.09 JS:Downloader-QJ
AVG 9.0.0.787 2010.05.09 Script/Exploit
BitDefender 7.2 2010.05.10 Trojan.Script.407264
CAT-QuickHeal 10.00 2010.05.08 -
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 -
DrWeb 5.0.2.03300 2010.05.10 -
eSafe 7.0.17.0 2010.05.09 -
eTrust-Vet None 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.05.10 Trojan.Script.407264
Fortinet 4.1.133.0 2010.05.09 -
GData 21 2010.05.10 Trojan.Script.407264
Ikarus T3.1.1.84.0 2010.05.09 Virus.JS.Downloader.QJ
Jiangmin 13.0.900 2010.05.09 -
Kaspersky 7.0.0.125 2010.05.09 Trojan-Downloader.JS.Agent.fhk
McAfee 5.400.0.1158 2010.05.09 -
McAfee-GW-Edition 2010.1 2010.05.09 Heuristic.BehavesLike.JS.Exploit.A
Microsoft 1.5703 2010.05.09 -
NOD32 5099 2010.05.10 -
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 Trojan.Script.407264
Panda 10.0.2.7 2010.05.09 -
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 -
Rising 22.46.06.04 2010.05.09 Trojan.DL.Script.JS.Agent.qx
Sophos 4.53.0 2010.05.09 JS/Agent-MZX
Sunbelt 6283 2010.05.10 -
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.09 -
TrendMicro 9.120.0.1004 2010.05.09 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 -
VBA32 3.12.12.4 2010.05.06 -
ViRobot 2010.5.8.2306 2010.05.09 JS.S.Agent.5851
VirusBuster 5.0.27.0 2010.05.09 -
 
추가 정보
File size: 5851 bytes
MD5   : 51e7b5fe2fa7ef45de3b3671ba91b011
SHA1  : e6e7dd63b6de5b8b24c5a91d001d23a01de8186b
SHA256: 1d373a0cd0b239795370655695fb7db3138ab1aa1a4cb4df676f72150d82a7b9
검사 파일: isa.exe 전송 시각: 2010.05.10 00:46:48 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 Trojan.Peed!IK
AhnLab-V3 2010.05.09.00 2010.05.08 Win-Trojan/Pincav.54784.U
AntiVir 8.2.1.236 2010.05.09 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.07 Trojan/Win32.Pincav.gen
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 Win32:Malware-gen
Avast5 5.0.332.0 2010.05.09 Win32:Malware-gen
AVG 9.0.0.787 2010.05.09 Generic17.BKEJ
BitDefender 7.2 2010.05.10 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.08 Trojan.Pincav.ywu
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.10 Trojan.Siggen1.24430
eSafe 7.0.17.0 2010.05.09 Win32.PWS.Mmorpg
eTrust-Vet 35.2.7474 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 -
F-Secure 9.0.15370.0 2010.05.10 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.09 W32/Pincav.YWU!tr
GData 21 2010.05.10 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.10 Trojan.Peed
Jiangmin 13.0.900 2010.05.09 Trojan/Pincav.eta
Kaspersky 7.0.0.125 2010.05.09 Trojan.Win32.Pincav.ywu
McAfee 5.400.0.1158 2010.05.09 PWS-Mmorpg!oq
McAfee-GW-Edition 2010.1 2010.05.09 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.09 Trojan:Win32/Malagent
NOD32 5099 2010.05.10 Win32/PSW.Gamania.NCP
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.09 Generic Trojan
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 High Risk Cloaked Malware
Rising 22.46.06.04 2010.05.09 Trojan.Win32.Generic.5202C6D7
Sophos 4.53.0 2010.05.09 Troj/Dload-HL
Sunbelt 6283 2010.05.10 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.10 Trojan/Pincav.ywu
TrendMicro 9.120.0.1004 2010.05.09 TSPY_MAGANIA.KI
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 TSPY_MAGANIA.KI
VBA32 3.12.12.4 2010.05.06 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.8.2306 2010.05.09 Trojan.Win32.Pincav.54784.C
VirusBuster 5.0.27.0 2010.05.09 Trojan.PWS.Gamania.BBV
 
추가 정보
File size: 54784 bytes
MD5...: a19b540af7132a86e866be1152256f07
SHA1..: 77715cc29b8911598f5f43bb0b17687267ea75f5
SHA256: 1d109b0ebfebc3d3c960bb7e4ef2917d64c4fef515ab031f1f15d522f0aa7fde

box.exe ~> V3 : Win-Trojan/Magania.53248.AA(추가 : 2010.05.07.07)
isa.exe ~> V3 : Win-Trojan/Pincav.54784.U(추가 : 2010.05.01.00)

이와 같이 현재는 대부분의 신고로 모두 백신이 잡는다는 것을 볼수있다.
이런 사이트는 안전한 상태가 아니면 피하는것이 좋다고 볼수있다.
호기심에 실행시켜서 얻는 불이익은 모두 실행시킨분의 책임입니다.