본문 바로가기

security/악성코드 유포

아스키 코드를 이용한 악성코드 !!

이 글을 쓰기전에 아스키 코드에 대해 알려주신 바이쭌님과 처리님께 감사를 드리며 글을 올린다~

최근에 유포되고 있는 파일 yahoo.js 안에 있던 htm , html 을 살펴 보던중에... 아스키 코드로 이루어진.. 악성코드 파일을 발견하였다. 초기에는 보지못한 코드에 많이 당황을 하였다.


이와 같이 표를보면 꼬여져 있다.. 또한 이렇게 보면 아스키 코드인지 판단을 못하기에.. 콤마(,)로 리플레이스를 해준다면 알아 보기 쉽게 변할수있다.


이러한 방식을 처음 본 나로서는 아주 막막 하였다.. 이것이 다가 아니다. 아스키 표를 통해서 다시한번 해석을 해주어야만 비로서 최종파일에 근접을 할 수 있다,

참고 : http://search.naver.com/search.naver?where=nexearch&query=%BE%C6%BD%BA%C5%B0%C4%DA%B5%E5&sm=top_hty&fbm=1 ~> 아스키 코드 검색


그림과 같이 aa , bb 는 아직 아스키코드 해석하기 전 cc는 해석한 후이다. cc에 최종파일이 있기 때문에 중간 코드는 편집 하였다. 이런식으로 3번에 걸쳐서 풀어야만 최종파일 s.exe에 접근할수 있다..

이런코드는 처음 봤지만 그동안 꾸준히 유포하고 있었다고 설명해 주셨다. 네이버에 검색을 한다면 표를 해석을 하기 쉽겠지만 너무 많은 코드가 있어서.. 힘들었다. 이번기회에 한번 프로그래밍에 도전해서 자동화로 만들어야겠다!!

[바이러스 토탈]

[아스키 코드 파일]
File name:
ad.htm : http://www.virustotal.com/file-scan/report.html?id=05161d2a37fa059a3d119b98fa4b739590db04d6c781c729f66e81e00464b640-1283222977

[최종파일]
File name:

s.exe : http://www.virustotal.com/file-scan/report.html?id=58242620e27993c56ffdcf24cf9275153bdca876cc9e1c0edd6fba852ce0cfb7-1283223137



최근 게시글 :
2010/08/16 - [분류 전체보기] - 지난주 국내 및 중국 유포 사이트 17곳 및 네이트온 악성코드 유포지 !!
2010/07/27 - [security/악성코드 유포] - 지난주 악성코드 유포지 6곳 !!
2010/07/19 - [security/악성코드 유포] - 지난주 악성코드 유포지 5곳 !!