내가 발견한 시각은 오늘 아침 9시경이었다. 예전에도 유포했다 월요일에 없어졌던 서버였지만 오늘 다시 보니 time out 위장되어 있는 사이트였다. 프루나라는 메인 페이지에서는 이 링크를 볼수없다. 여담이지만 이렇게 프루나에 꼭꼭 숨겨놓아서 어떤 사용자를 감염 시킨다는지 이해가 가지 않았다.
사진과 같이 프루나 메인페이지에서는 젼혀 search_list3.asp 가 보이지 않으므로 정상 접속에는 이상이 없다.
이 접속 경로는 http://vxd.prxxa.com/search/search_list3.asp 이쪽으로 되어있으며 이것 또한 익스플로러로 접속시 time out 이라는 문구만 보일뿐 세부 코드는 보이지 않는다!
하지만 도구를 통해서 본다면 세부 코드가 나오는 것으로 볼수있다.
이것 또한 처음에는 제대로 변환 할수 없다 .. 이사이트에 소스중 window.document.write(x); ~> window.alert(x); 로 바꾼다면 제대로 디코더가 된 코드를 볼수있다. 이 코드를 변환한다면 비로서 최종파일이 보인다.
디코더 결과 이 프루나 search_list3.asp는
최종파일 : http://file.ygfamily.com/php/i./c.exe0 연결 되는것을 볼수있다.
그동안 코드와는 달리 ygfamily 로 연결이 되고 있었다.
현재 이 악성코드들은 전부 V3 에서 잡을수 있으며 모두 업데이트가 완료가 되었다.
또한 악성코드들은 이스트 소프트 와 안철수연구소로 신고하였다.
정리를 하자면
http://vod.pxxna.com/search/search_list3.asp0 에서 유포중이며
최종파일 : http://file.xxfamily.com/php/i./c.exe0 받는다.
[안철수연구소]
1 search_list3.0sp ~> V3 : JS/Downloader(추가 : 2010.05.13.03)
2 c.exe ~> V3 : Win-Trojan/Injector.53248.Z(추가 : 2010.05.12.00)
[이스트 소프트] = 알약
오늘 DB 에서 업데이트!
검사 파일: search_list3.0sp 전송 시각: 2010.05.13 00:12:59 (UTC) | |||
안티바이러스 | 엔진 버전 | 정의 날짜 | 검사 결과 |
a-squared | 4.5.0.50 | 2010.05.10 | - |
AhnLab-V3 | 2010.05.13.00 | 2010.05.12 | - |
AntiVir | 8.2.1.242 | 2010.05.12 | JS/Drop.A.5851 |
Antiy-AVL | 2.0.3.7 | 2010.05.12 | - |
Authentium | 5.2.0.5 | 2010.05.13 | - |
Avast | 4.8.1351.0 | 2010.05.12 | JS:Downloader-QJ |
Avast5 | 5.0.332.0 | 2010.05.12 | JS:Downloader-QJ |
AVG | 9.0.0.787 | 2010.05.13 | Script/Exploit |
BitDefender | 7.2 | 2010.05.13 | - |
CAT-QuickHeal | 10.00 | 2010.05.12 | - |
ClamAV | 0.96.0.3-git | 2010.05.12 | - |
Comodo | 4829 | 2010.05.12 | - |
DrWeb | 5.0.2.03300 | 2010.05.13 | - |
eSafe | 7.0.17.0 | 2010.05.11 | - |
eTrust-Vet | None | 2010.05.12 | - |
F-Prot | 4.5.1.85 | 2010.05.12 | JS/Crypted.GA.gen |
F-Secure | 9.0.15370.0 | 2010.05.13 | - |
Fortinet | 4.1.133.0 | 2010.05.12 | - |
GData | 21 | 2010.05.13 | JS:Downloader-QJ |
Ikarus | T3.1.1.84.0 | 2010.05.12 | - |
Jiangmin | 13.0.900 | 2010.05.12 | - |
Kaspersky | 7.0.0.125 | 2010.05.13 | Trojan-Downloader.JS.Agent.fhk |
McAfee | 5.400.0.1158 | 2010.05.13 | - |
McAfee-GW-Edition | 2010.1 | 2010.05.13 | Heuristic.BehavesLike.JS.Exploit.A |
Microsoft | 1.5703 | 2010.05.12 | - |
NOD32 | 5110 | 2010.05.12 | - |
Norman | 6.04.12 | 2010.05.12 | - |
nProtect | 2010-05-12.01 | 2010.05.12 | - |
Panda | 10.0.2.7 | 2010.05.12 | - |
PCTools | 7.0.3.5 | 2010.05.12 | - |
Rising | 22.47.02.04 | 2010.05.12 | Trojan.DL.Script.JS.Agent.qx |
Sophos | 4.53.0 | 2010.05.13 | - |
Sunbelt | 6296 | 2010.05.13 | - |
Symantec | 20101.1.0.89 | 2010.05.13 | - |
TheHacker | 6.5.2.0.279 | 2010.05.11 | - |
TrendMicro | 9.120.0.1004 | 2010.05.12 | - |
TrendMicro-HouseCall | 9.120.0.1004 | 2010.05.13 | - |
VBA32 | 3.12.12.4 | 2010.05.12 | - |
ViRobot | 2010.5.12.2312 | 2010.05.12 | - |
VirusBuster | 5.0.27.0 | 2010.05.12 | - |
추가 정보 | |||
File size: 5777 bytes | |||
MD5 : a485b05d5035a168bb7fc3fd38220500 | |||
SHA1 : 3685084e053db302445caae2bfd63762ebf3b97b | |||
SHA256: 58c9bbeb8f83242d054b71c3863fe87aba222142409d3b6f5f19e3705ca67bc4 |
검사 파일: c.0xe 전송 시각: 2010.05.13 00:13:04 (UTC) | |||
안티바이러스 | 엔진 버전 | 정의 날짜 | 검사 결과 |
a-squared | 4.5.0.50 | 2010.05.10 | Trojan.Peed!IK |
AhnLab-V3 | 2010.05.13.00 | 2010.05.12 | Win-Trojan/Injector.53248.Z |
AntiVir | 8.2.1.242 | 2010.05.12 | TR/Crypt.ZPACK.Gen |
Antiy-AVL | 2.0.3.7 | 2010.05.12 | Trojan/Win32.Pincav.gen |
Authentium | 5.2.0.5 | 2010.05.13 | - |
Avast | 4.8.1351.0 | 2010.05.12 | Win32:Malware-gen |
Avast5 | 5.0.332.0 | 2010.05.12 | Win32:Malware-gen |
AVG | 9.0.0.787 | 2010.05.13 | - |
BitDefender | 7.2 | 2010.05.13 | Trojan.Peed.Gen |
CAT-QuickHeal | 10.00 | 2010.05.12 | (Suspicious) - DNAScan |
ClamAV | 0.96.0.3-git | 2010.05.12 | - |
Comodo | 4829 | 2010.05.12 | TrojWare.Win32.Trojan.Agent.Gen |
DrWeb | 5.0.2.03300 | 2010.05.13 | - |
eSafe | 7.0.17.0 | 2010.05.11 | - |
eTrust-Vet | 35.2.7484 | 2010.05.12 | - |
F-Prot | 4.5.1.85 | 2010.05.12 | - |
F-Secure | 9.0.15370.0 | 2010.05.13 | Trojan.Peed.Gen |
Fortinet | 4.1.133.0 | 2010.05.12 | - |
GData | 21 | 2010.05.13 | Trojan.Peed.Gen |
Ikarus | T3.1.1.84.0 | 2010.05.12 | Trojan.Peed |
Jiangmin | 13.0.900 | 2010.05.12 | - |
Kaspersky | 7.0.0.125 | 2010.05.13 | Trojan.Win32.Pincav.zrz |
McAfee | 5.400.0.1158 | 2010.05.13 | Generic.dx!sra |
McAfee-GW-Edition | 2010.1 | 2010.05.13 | Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B |
Microsoft | 1.5703 | 2010.05.12 | Trojan:Win32/Malagent |
NOD32 | 5110 | 2010.05.12 | a variant of Win32/Kryptik.DXI |
Norman | 6.04.12 | 2010.05.12 | - |
nProtect | 2010-05-12.01 | 2010.05.12 | Trojan.Peed.Gen |
Panda | 10.0.2.7 | 2010.05.12 | Generic Trojan |
PCTools | 7.0.3.5 | 2010.05.12 | - |
Prevx | 3.0 | 2010.05.13 | High Risk Cloaked Malware |
Rising | 22.47.02.04 | 2010.05.12 | Packer.Win32.UnkPacker.b |
Sophos | 4.53.0 | 2010.05.13 | Sus/UnkPack-C |
Sunbelt | 6296 | 2010.05.13 | Trojan.Win32.Generic!BT |
Symantec | 20101.1.0.89 | 2010.05.13 | - |
TheHacker | 6.5.2.0.279 | 2010.05.11 | Trojan/Pincav.zrz |
TrendMicro | 9.120.0.1004 | 2010.05.12 | PAK_Generic.001 |
TrendMicro-HouseCall | 9.120.0.1004 | 2010.05.13 | - |
VBA32 | 3.12.12.4 | 2010.05.12 | Malware-Dropper.Win32.Inject.gen |
ViRobot | 2010.5.12.2312 | 2010.05.12 | - |
VirusBuster | 5.0.27.0 | 2010.05.12 | - |
추가 정보 | |||
File size: 53248 bytes | |||
MD5 : 7dc283909f9af5493de63aae1453a807 | |||
SHA1 : 0b9d820a6563bce957c04f60545b467c1d029d3f | |||
SHA256: c3c7dc6df3a5b802d71834046b6f87e655bb29cf9030f879f8375c9e65363e7e |
'security > 악성코드 유포' 카테고리의 다른 글
지난주 악성코드 유포지 4곳 !! (1) | 2010.06.22 |
---|---|
지난주 악성코드 유포지 9곳 종합! (0) | 2010.05.17 |
CJ 엔터테인먼트 현재 악성코드 감염 (0) | 2010.05.12 |
www.rendom.mx/bst/ 익스플로릿 최종 파일! (0) | 2010.05.11 |
악의적인 목적이 포함된 주전자 닷컴! (1) | 2010.05.11 |