'리뷰스타'에 해당되는 글 2건

  1. 2010.07.19 지난주 악성코드 유포지 5곳 !!
  2. 2010.07.15 리뷰 xx 현재 악성코드 유포중 !! (2)
posted by Kwan's 2010. 7. 19. 19:57

1. 사이트 !!

리XX타 : http://www.revxxxxxar.net
한국 X 스X츠 협회 : http://www.x-sxxxts.or.kr
씨X통 : http://www.cixxxxng.com
SSO XXX : http://sso.xxx.co.kr
씨X마 XXX : http://cixxma.xxx.co.kr

2. 유포지 !!

리XX타 : 파일이 많은 관계로 최종파일 받는곳만 씁니다 !!

http://www.cnxxxseed.xxx/templates/weentrue/root/ah1.js ~> 최종파일 다운 !!http://www.cnxxxseed.xxx/templates/weentrue/root/AHHS3.js ~> 최종파일 다운 !!http://www.cnxxxseed.xxx/templates/weentrue/root/n93.jpg ~> 최종파일 다운 !!

한국 X 스X츠 협회 , 씨X통 : http://www.kxxx.info/mm.asp

SSO XXX : http://1x4.2xx.87.1xx/Login.asp

씨X마 XXX : http://imxxxx.xxx.co.kr/editor/uploads/popup.html
                  http://imxxxx.xxx.co.kr/editor/uploads/aad.js ~> 최종파일 다운 !!
                  http://imxxxx.xxx.co.kr/editor/uploads/aac.js
                  http://imxxxx.xxx.co.kr/editor/uploads/aab.js

 3. 최종파일

ah1.js , AHHS3.js , n93.jpg :  http://www.mixxxxxx.com/cxs/kr.exe

mm.asp : http://lxxxollxxxion.net/mxxl/coxx/poxxx/f.exe

Login.asp : http://1x1.xx.2x8.x1/xxp/ad.exe

aad.js : http://jxnggoxxxxxx.nexxxcient.co.kr/test0.exe 

4. 바이러스 토탈 결과

ah1.js : http://www.virustotal.com/ko/analisis/3fc867de6d6d2e89cd5a870ca3f07570e9e10e22dfdf7cc6aa1febab5e4e75fe-1279535517

AHHS3.js : http://www.virustotal.com/ko/analisis/fa8f0e17e7e227cb79bae713dbd1665a1df3116f3ca15a9b190d9a14c16d0e8f-1279535521

n93.jpg : http://www.virustotal.com/ko/analisis/150935ca052ba838e462250fdfde8746817e82bb5e0f7339f0f8a4126d2c7740-1279535524

mm.asp : http://www.virustotal.com/ko/analisis/7917b30c7f56ccc9c194d17976d6e3ce0735e3007331401fd4bbd600622b6200-1279535697

Login.asp : http://www.virustotal.com/ko/analisis/2d2f9ce4c151f7db6627aafc18ec53dcfaa1622b9c934dbf5f4f7aeb75e33b54-1279535710

popup.html : http://www.virustotal.com/ko/analisis/90f2178be9c22ee2298ed4bbb57c6d5f6a9a1a84a9589dbd1c223cae6a58ff7d-1279535701

aad.js : http://www.virustotal.com/ko/analisis/c9477ac8c925f5417e8acc7901977cb39ce42271a55e0fd8221aed8a3c63a8ba-1279535789

aac.js : http://www.virustotal.com/ko/analisis/431413212a9208744e7acc90561aef3613b15755f64f57c07300ca8f0e381d3f-1279535795

aab.js : http://www.virustotal.com/ko/analisis/2815c9c001eb7eef52e81811035bb08d8034bbeb7700ee7e44f46e8119ae2aaf-1279535813

kr.exe : http://www.virustotal.com/ko/analisis/148ae041d940ef84b026eda6639890b5ed1ebe458c8dfb7798353ae666d71e1a-1279535905

 f.exe : http://www.virustotal.com/ko/analisis/c379db3ce819b6916c9d78711d6250368fd6a96456904e2bb904be2d8a52cfa6-1279535913

ad.exe : http://www.virustotal.com/ko/analisis/bb0478fe1cdc4a04644adf57129d40af3aecc82588652e7e06ec87c98f6fdeaa-1279535946

test0.exe : http://www.virustotal.com/ko/analisis/9891cae8f95c95ab83b9b2ade292a36ed6c6ee24c771ba256f6abb07f1bb0306-1279536063

5. 국내 신고업체 진단 !!

[이스트 소프트]

샘플 업데이트 완료 및 일부 샘플 분석중 !!

[안철수연구소]

1 AHHS3.js ~> 악성
2 xi.htm ~> V3 : JS/Agent(추가 : 2010.07.16.00)
3 a7.htm ~> V3 : JS/Agent(추가 : 2010.07.16.00)
4 xf.htm ~> V3 : JS/Agent(추가 : 2010.07.16.00)
5 nivea2.htm ~> V3 : JS/Zapchast(추가 : 2010.07.16.00)
6 nivea.htm ~> V3 : JS/Exploit(추가 : 2010.07.16.00)
7 n99.jpg ~> V3 : JS/Agent(추가 : 2010.07.16.00)
8 n97.jpg ~> V3 : JS/Agent(추가 : 2010.07.16.00)
9 n95.jpg ~> V3 : JS/Agent(추가 : 2010.07.16.00)
10 n93.jpg ~> V3 : JS/Agent(추가 : 2010.07.16.00)
11 ah1.js ~> V3 : JS/Exploit(추가 : 2010.07.16.00)
12 ah2.js ~> V3 : JS/Zapchast(추가 : 2010.07.16.00)
13 ah3.js ~> V3 : JS/Zapchast(추가 : 2010.07.16.00)
14 AHHS.js ~> V3 : JS/Agent(추가 : 2010.07.16.00)
15 AHHS2.js ~> V3 : JS/Agent(추가 : 2010.07.16.00)
16 f0.htm ~> V3 : JS/Agent(추가 : 2010.07.16.00)
17 ff.html ~> V3 : JS/Agent(추가 : 2010.07.16.00)
18 ff.js ~> V3 : JS/Agent(추가 : 2010.07.16.00)
19 ie.html ~> V3 : JS/Agent(추가 : 2010.07.16.00)
20 ie.js ~> V3 : JS/Agent(추가 : 2010.07.16.00)
21 kr.exe ~> V3 : Dropper/Muldrop.49944(추가 : 2010.07.16.00)
22 n90.jpg ~> V3 : JS/Exploit(추가 : 2010.07.16.00)
23 a6.htm ~> V3 : JS/Agent(추가 : 2010.07.07.00)
24 fice.htm ~> V3 : JS/Agent(추가 : 2010.07.07.00)
25 ah0.js ~> V3 : JS/Exploit(추가 : 2010.07.06.02)
26 ecfl.htm ~> 정상
27 top.html ~> 정상
28 max.gif ~> 정상
29 swfobject.js ~> 정상
30 snow.htm ~> 정상
31 ad.exe ~> 분석중
32 test0.exe ~> V3 : Win-Trojan/Injection.5748(추가 : 2010.07.19.01)
33 aad.js ~> V3 : JS/Exploit(추가 : 2010.07.19.00)
34 Login.asp ~> V3 : JS/Exploit(추가 : 2010.07.19.00)
35 mm.asp ~> V3 : JS/Exploit(추가 : 2010.07.19.00)
36 popup.html ~> V3 : JS/Exploit(추가 : 2010.07.19.00)
37 aac.js ~> V3 : JS/Exploit(추가 : 2010.07.19.00)
38 aab.js ~> V3 : JS/Exploit(추가 : 2010.07.19.00)
39 f.exe ~> V3 : Win-Trojan/Onlinegamehack.109247(추가 : 2010.07.19.00)

기타 사항 : aad.js , aac.js 는 안랩만 현재 진단중 !!

오늘이 벌써 초복이네요 !! 다들 닭은 뜯으셨는지요??ㅋ 전 아침에 삼계탕에 한그릇을 뚝딱했습니다!
이번주에는 5곳 밖에 발견을 하지 못했네요. 이제는 점점 또 줄어들고 있는거 같습니다.
뭐 아무튼 무더위에 카페여러분 모두 조심하시고 즐거운 하루 보내세요!!
추후 진단 사항은 댓글을 참조 해주세요 !!

댓글을 달아 주세요

posted by Kwan's 2010. 7. 15. 13:33


현재 이사이트에는 악성코드가 심어져있다. 평일에 오랜만에 만나는 악성코드사이트 인거 같다. 평일에는 관리를 않해서 그런가. 근데 이번에 심어져있는 샘플을 보면 몇일전 세티즌에 유포했던 샘플과 거의 비슷하다. 띄엄띄엄 코드를 해놓고는 ... 샘플 수집하는데 귀찮은줄 알았다 !

kr.exe 받는 파일은 5개있다

http://www.cnstaseed.org/templates/wXXntrue/root/AHHS3.js
http://www.cnstaseed.org/templates/wXXntrue/root/ah1.js
http://www.cnstaseed.org/templates/wXXntrue/root/n93.jpg
http://www.cnstaseed.org/templates/wXXntrue/root/ie.js
http://www.cnstaseed.org/templates/wXXntrue/root/ff.js

지인에 따르면 최종파일은 넥슨에 DNF ( 던젼 앤 파이터) 를 노린것으로 보인다 했다.
역시 게임계정해킹이 대세인거 같다..

현재 샘플은 : 안철수 연구소 , 이스트 소프트에 전송되었다!

검사 파일: kr.exe 전송 시각: 2010.07.15 03:45:42 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.15 -
AhnLab-V3 2010.07.15.00 2010.07.14 ASD.Prevention
AntiVir 8.2.4.10 2010.07.14 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2010.07.14 -
Authentium 5.2.0.5 2010.07.15 W32/RLPacked.A.gen!Eldorado
Avast 4.8.1351.0 2010.07.14 Win32:Malware-gen
Avast5 5.0.332.0 2010.07.15 Win32:Malware-gen
AVG 9.0.0.836 2010.07.15 -
BitDefender 7.2 2010.07.15 Gen:Trojan.Generic.di1@aWgIOVdb
CAT-QuickHeal 11.00 2010.07.15 -
ClamAV 0.96.0.3-git 2010.07.15 -
Comodo 5432 2010.07.15 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.07.15 Trojan.MulDrop.60230
eSafe 7.0.17.0 2010.07.14 -
eTrust-Vet 36.1.7708 2010.07.15 -
F-Prot 4.6.1.107 2010.07.15 W32/RLPacked.A.gen!Eldorado
F-Secure 9.0.15370.0 2010.07.15 Gen:Trojan.Generic.di1@aWgIOVdb
Fortinet 4.1.143.0 2010.07.14 -
GData 21 2010.07.15 Win32:Malware-gen
Ikarus T3.1.1.84.0 2010.07.15 Gen:Trojan
Jiangmin 13.0.900 2010.07.14 -
Kaspersky 7.0.0.125 2010.07.15 Trojan.Win32.Vilsel.ajgw
McAfee 5.400.0.1158 2010.07.15 PWS-Mmorpg!pr
McAfee-GW-Edition 2010.1 2010.07.14 Artemis!3B10E861FAC8
Microsoft 1.5902 2010.07.15 PWS:Win32/OnLineGames.HG!dll
NOD32 5279 2010.07.15 -
Norman 6.05.11 2010.07.14 Dialer.dam
nProtect 2010-07-14.01 2010.07.14 Gen:Trojan.Generic.di1@aWgIOVdb
Panda 10.0.2.7 2010.07.14 Trj/CI.A
PCTools 7.0.3.5 2010.07.15 Trojan.Dropper
Rising 22.56.03.01 2010.07.15 Packer.Win32.VmpPacker.a
Sophos 4.55.0 2010.07.15 Mal/EncPk-NQ
Sunbelt 6585 2010.07.15 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.07.15 -
Symantec 20101.1.1.7 2010.07.15 Trojan.Dropper
TheHacker 6.5.2.1.315 2010.07.15 -
TrendMicro 9.120.0.1004 2010.07.15 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.15 -
VBA32 3.12.12.6 2010.07.14 BScope.Dropper.Resgen
ViRobot 2010.7.12.3932 2010.07.14 -
VirusBuster 5.0.27.0 2010.07.14 Packed/RLPack
 
추가 정보
File size: 49944 bytes
MD5   : 3b10e861fac889322d56a6aaad8a45b0
SHA1  : d2a4102e9f210c4f8c2f825b0dd5a00317187a89
SHA256: 148ae041d940ef84b026eda6639890b5ed1ebe458c8dfb7798353ae666d71e1a

댓글을 달아 주세요

  1. hoo 2010.07.15 15:07  Addr  Edit/Del  Reply

    아무래도.. 돈이 되니까,, 계속나오네요..
    앗.. 아직도 유포가 되고 있네요..
    따끈따끈한 정보 감사합니다~

    • Kwan's 2010.07.15 15:19 신고  Addr  Edit/Del

      제글을 읽어주셔서 감사합니다 !!ㅎ 별로 대단한글도아닌데~ 항상 댓글 남겨주셔서 감사합니다! ㅎ