posted by Kwan's 2010. 8. 16. 16:15

1. 사이트 !!

한국 X 스X츠 협회 : http://www.x-sxxxts.or.kr
씨X통 : http://www.cixxxxng.com/
레이XX 클럽 : http://www.rxxexx.co.kr  
주X자 XX  : http://zxxxnxx.jxxns.com 
미스터 XX  : http://www.mxpxzxx.co.kr
서울 XXXX : http://www.seoulxxxx.or.kr  
천XXX법인 : http://www.chxxxxtax.co.kr
건XXX회 : http://www.arxxxdb.com
강남XXX상담실 : http://sxxxdxxsil.or.kr
벼X XX : http://xxxtomer.fxxxall.co.kr
한국XX기술 : http://www.culxxxexxcx.co.kr

2 . 중국 유포 사이트

http://xxx.game.mop.com
http://xxx.yx007.com
http://xxxs.512ms.com
http://www.pxxo.com
http://rxxxtunnel.chd.edu.cn
http://xxx.yx007.com

3. 유포지 !!

한국 X 스X츠 협회 , 씨X통 : http://xxx.1x3.xx.1x7/R.asp

레이XX 클럽 : http://2x0.1xx.1xx.x5/W.asp ~> 발견당시 서버 죽음 !!

주X자 XX  : http://2xx.6x.xx.6x/ixxm/click.asp

미스터 XX  : http://www.8xx8xx.com.xx/xxche/ad.htm

서울 XXXX , 천XXX법인 , 건XXX회 , 강남XXX상담실 , 벼X XX , 한국XX기술

: http://www.xxx.xx/Cxxhes/ad.htm

4. 중국 유포지 !!

1. http://xxx.game.mop.com : http://www.xxx.cn/ucenter/images/games.html?用户注册

2. http://xxx.yx007.com : http://event.xxxxx.com/dabao/public/js/dh/64.html

3. http://xxxs.512ms.com : http://asxx.alixxxx.vu.cx:171/win7/124/a.jpg

4. http://www.pxxo.com : http://hkxxxx07.xx66.oxx:7xx8/x/index.html ~> 서버죽음

5. http://rxxxtunnel.chd.edu.cn : http://xox.gxxesxxx.cn/banner.swf

6. http://xxx.yx007.com : http://evexx.yoxxx.com/dxxax/pxxlix/xs/xh/64.html

5. 최종파일 !!

R.asp : http://inxxx.kxxxta.co.kr/cxxxents/r.exe

W.asp : http://www.kxxcxx.or.kr/bxxrd/w.exe ~> 서버죽음 !!

click.asp : http://sxx.gaxxxx.com/ixx/admin.exe

ad.htm : http://www.17xxx.cx/ixxxxs/s.exe 

games.html : http://www.xxx.cn/uxxnxxr/imxxxs/update.exe ~> XOR 변형 필요 !!

64.html : http://blog.mxxxx.com/data/dh.exe

a.jpg : http://web.xxx.xx.cn:6xx8/Dxxn/xy/124.exe

index.html : http://88itj.3xx2.org:7xx8/1/kav.exe ~> 서버 죽음 !!

banner.swf : http://xxxx.gaxxx5xx.cn/uusee.exe

6. 바이러스 토탈 !!

R.asp : http://www.virustotal.com/file-scan/report.html?id=686fffcc96b1b896fe9bc6a71fc240acee89f411af226ab865211ea46211a779-1281940182

click.asp : http://www.virustotal.com/file-scan/report.html?id=209d62743988de70dcbb5c4df5965863cacfde2cd4279cd996e8448c47720e40-1281940401

ad.htm : http://www.virustotal.com/file-scan/report.html?id=7400f9036c8049127d86b302e7b96c20159642a6b0f7a969fa65112d2e5710e4-1281940411

games.html : http://www.virustotal.com/file-scan/report.html?id=861bb732b43d44e6323e4ca1e5222d382d708f396bbfb5041b9adf3a6affc3d0-1281940444

64.html : http://www.virustotal.com/file-scan/report.html?id=8e099227dd435abff11c4b045fba6cd2c6ab46abe161f80b60072caccba4c8eb-1281940470

a.jpg : http://www.virustotal.com/file-scan/report.html?id=72222c3f34753aa7f0714ecc922a607d412f0c10e0d6f8bacc1499bdf8a1e2e2-1281940480

index.html : 서버 죽음 !!

banner.swf : http://www.virustotal.com/file-scan/report.html?id=6206545ec7c9b131fd37071d69baa00aef99748447dc5535509156da37ad9656-1281940534

r.exe : http://www.virustotal.com/file-scan/report.html?id=b91956e065993292fef0b785f4973e07b5bbb17a18ebda3ed2a6040bb59b1f7d-1281940595

w.exe : 서버 죽음 !!

admin.exe : http://www.virustotal.com/file-scan/report.html?id=2df4d0206033be709e8555581fd670ce033693671b8651ab472a4c6d2ca4d1c3-1281940629

s.exe : http://www.virustotal.com/file-scan/report.html?id=b352af5dd49a82f469cc9714b9d585d2362c2523d358f84f7520175b5613a195-1281940656

update.exe : http://www.virustotal.com/file-scan/report.html?id=5c653bea6ec9c368ec087c87495ff62a1dd9851f71adbec2e348e1f32b7852cd-1281940673

update.exe_Kwan : http://www.virustotal.com/file-scan/report.html?id=e6ac40e87931d19a1e2426006d1446a9d2d3fe1cddcc4094b173b7a6b6828bdb-1281940764

dh.exe : 서버 죽음 !!

124.exe : http://www.virustotal.com/file-scan/report.html?id=91cdef9b36d07a05150eb3c87a31cb1dd1ff393ca8d37523e0486d9873656000-1281940777

kav.exe : 서버 죽음 !!

uusee.exe : http://www.virustotal.com/file-scan/report.html?id=addc5313573b208a6b1caffc6d9726c250abc12d8e604373e903faaeca93499f-1281940788

7 . 기타 발견 및 14일자 네이트온 악성 코드 !!

네이트온 악성코드 : www.txxxxxdx.com

[바이러스 토탈]

vfkdls.exe : http://www.virustotal.com/file-scan/report.html?id=f8ca6896ff4fe3e993b717fb4a743ea0c49f02d8e36358adc037f391118e8186-1281941157

기타 발견 한곳 : http://1xx.xx.1x5.1xx/A.asp

최종파일 : http://www.koxxx3s.org/kxrxxxs/xxlxxdx/xxxxce/c.exe

[바이러스 토탈]

A.asp : http://www.virustotal.com/file-scan/report.html?id=572bd8a2184acd9d63ad348fd1ae552d692220fb30ee99bd70aac5bb5e4504b8-1281941241

c.exe : http://www.virustotal.com/file-scan/report.html?id=dd23b8482aa1b379623b1fe6636b5ca9001bc405736657a5d95ae4ba951e2e1d-1281941248

8. 신고한 곳 및 진단 사항 !!

[안철수 연구소]

1. update.exe ~> 분석중
2. count.0tml ~> 분석중 
3. R.asp ~> 분석중
4. banner.swf ~> 분석중
5. update.exe_Kwan ~> V3 : Win-Trojan/Xema.variant
6. uusee.exe ~> V3 : Packed/Upack 
7. uusee.exe_Kwan ~> V3 : Packed/Upack
8. vfkdls.0xe ~> V3 : Dropper/Malware.97280.HJ(추가 : 2010.08.16.01) 
9. r.exe ~> V3 : Win-Trojan/Downloader.113090(추가 : 2010.08.16.01)
10. yahoo.0s ~> V3 : JS/Exploit(추가 : 2010.08.13.04)
11. hcp.0tml ~> V3 : HTML/Exploit(추가 : 2010.08.13.04)
12. games.html ~> V3 : JS/Exploit(추가 : 2010.08.13.02)
13. 64.html ~> V3 : JS/Exploit(추가 : 2010.08.13.02)
14. s.0xe ~> V3 : Dropper/Malware.40960.GV(추가 : 2010.08.12.02) 
15. ad.0tm ~> V3 : HTML/Downloader(추가 : 2010.08.12.01)
16. news.0tml ~> V3 : HTML/Agent(추가 : 2010.08.12.01)
17. A.0sp ~> V3 : JS/Exploit(추가 : 2010.08.10.06)
18. c.0xe ~> V3 : Dropper/Onlinegamehack.111642(추가 : 2010.08.09.01)
19. admin.exe ~> V3 : Win-Trojan/Onlinegamehack.55296.S(추가 : 2010.08.07.00)
20. click.asp ~> V3 : JS/Exploit(추가 : 2010.08.07.00) 
21. a.jpg ~> V3 : VBS/Agent(추가 : 2010.08.06.03) 
22. 124.exe ~> V3 : Win-Trojan/Agent.18420.C(추가 : 2010.08.06.01)

[이스트 소프트] 

모든 샘플 오늘 DB에 전부 반영 !!

[네이버 백신]

일부 샘플 반영 되었고 추후에 DB에 전부 반영 !!
참고 : 샘플은 네이버 , 이스트 소프트 , 안철수 연구소로 전송하며
안철수연구소는 웹신고를 하며 이스트 소프트와 네이버는 지인분들께 전달하고 그에 따른
피드백을 받아서 글을 쓴것입니다. 안철수연구소 처럼 진단명은 모르지만 DB에 반영 된것은 알수가 있습니다!

9. 잡담 및 이번주 도와 주신분 !!

진짜 오랜만에 글을 쓰는거 같네요~ 요즘 뭐하기가 왜이리 귀찮은지 !!
그래도 꽤 모아서 다행이나마 조금 도움이 되었으면 하네요~
정기적으로 쓰다가 또 몇주 빼먹고 나니 이제는 완전 귀찮음에 눈팅만 하고있습니다.
이제 곧 있음 개학이고 개학뒤에는 방학이고 방학 뒤에는 군대를?? 흑.....
뭐 아무튼!!ㅎ 끝까지 읽어주신분께 감사합니다 !!! 남은 여름 즐겁고 알차게 보내세요~

이번주 도와 주신 분 : 없음 !!


댓글을 달아 주세요

posted by Kwan's 2010. 5. 13. 18:36

내가 발견한 시각은 오늘 아침 9시경이었다. 예전에도 유포했다 월요일에 없어졌던 서버였지만 오늘 다시 보니 time out 위장되어 있는 사이트였다. 프루나라는 메인 페이지에서는 이 링크를 볼수없다. 여담이지만 이렇게 프루나에 꼭꼭 숨겨놓아서 어떤 사용자를 감염 시킨다는지 이해가 가지 않았다.
사진과 같이 프루나 메인페이지에서는 젼혀 search_list3.asp 가 보이지 않으므로 정상 접속에는 이상이 없다.


이 접속 경로는 http://vxd.prxxa.com/search/search_list3.asp 이쪽으로 되어있으며 이것 또한 익스플로러로 접속시 time out 이라는 문구만 보일뿐 세부 코드는 보이지 않는다!
하지만 도구를 통해서 본다면 세부 코드가 나오는 것으로 볼수있다.
이것 또한 처음에는 제대로 변환 할수 없다 .. 이사이트에 소스중 window.document.write(x); ~> window.alert(x); 로 바꾼다면 제대로 디코더가 된 코드를 볼수있다. 이 코드를 변환한다면 비로서 최종파일이 보인다.
디코더 결과 이 프루나 search_list3.asp는 
최종파일 :  http://file.ygfamily.com/php/i./c.exe0  연결 되는것을 볼수있다.
그동안 코드와는 달리 ygfamily 로 연결이 되고 있었다.
현재 이 악성코드들은 전부 V3 에서 잡을수 있으며 모두 업데이트가 완료가 되었다.
또한 악성코드들은 이스트 소프트 와 안철수연구소로 신고하였다.


정리를 하자면
http://vod.pxxna.com/search/search_list3.asp0 에서 유포중이며
최종파일 : http://file.xxfamily.com/php/i./c.exe0 받는다.

[안철수연구소]
1 search_list3.0sp ~> V3 : JS/Downloader(추가 : 2010.05.13.03)
2 c.exe ~> V3 : Win-Trojan/Injector.53248.Z(추가 : 2010.05.12.00)

[이스트 소프트] = 알약
오늘 DB 에서 업데이트!

검사 파일: search_list3.0sp 전송 시각: 2010.05.13 00:12:59 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.13.00 2010.05.12 -
AntiVir 8.2.1.242 2010.05.12 JS/Drop.A.5851
Antiy-AVL 2.0.3.7 2010.05.12 -
Authentium 5.2.0.5 2010.05.13 -
Avast 4.8.1351.0 2010.05.12 JS:Downloader-QJ
Avast5 5.0.332.0 2010.05.12 JS:Downloader-QJ
AVG 9.0.0.787 2010.05.13 Script/Exploit
BitDefender 7.2 2010.05.13 -
CAT-QuickHeal 10.00 2010.05.12 -
ClamAV 0.96.0.3-git 2010.05.12 -
Comodo 4829 2010.05.12 -
DrWeb 5.0.2.03300 2010.05.13 -
eSafe 7.0.17.0 2010.05.11 -
eTrust-Vet None 2010.05.12 -
F-Prot 4.5.1.85 2010.05.12 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.05.13 -
Fortinet 4.1.133.0 2010.05.12 -
GData 21 2010.05.13 JS:Downloader-QJ
Ikarus T3.1.1.84.0 2010.05.12 -
Jiangmin 13.0.900 2010.05.12 -
Kaspersky 7.0.0.125 2010.05.13 Trojan-Downloader.JS.Agent.fhk
McAfee 5.400.0.1158 2010.05.13 -
McAfee-GW-Edition 2010.1 2010.05.13 Heuristic.BehavesLike.JS.Exploit.A
Microsoft 1.5703 2010.05.12 -
NOD32 5110 2010.05.12 -
Norman 6.04.12 2010.05.12 -
nProtect 2010-05-12.01 2010.05.12 -
Panda 10.0.2.7 2010.05.12 -
PCTools 7.0.3.5 2010.05.12 -
Rising 22.47.02.04 2010.05.12 Trojan.DL.Script.JS.Agent.qx
Sophos 4.53.0 2010.05.13 -
Sunbelt 6296 2010.05.13 -
Symantec 20101.1.0.89 2010.05.13 -
TheHacker 6.5.2.0.279 2010.05.11 -
TrendMicro 9.120.0.1004 2010.05.12 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.13 -
VBA32 3.12.12.4 2010.05.12 -
ViRobot 2010.5.12.2312 2010.05.12 -
VirusBuster 5.0.27.0 2010.05.12 -
 
추가 정보
File size: 5777 bytes
MD5   : a485b05d5035a168bb7fc3fd38220500
SHA1  : 3685084e053db302445caae2bfd63762ebf3b97b
SHA256: 58c9bbeb8f83242d054b71c3863fe87aba222142409d3b6f5f19e3705ca67bc4
검사 파일: c.0xe 전송 시각: 2010.05.13 00:13:04 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.10 Trojan.Peed!IK
AhnLab-V3 2010.05.13.00 2010.05.12 Win-Trojan/Injector.53248.Z
AntiVir 8.2.1.242 2010.05.12 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.12 Trojan/Win32.Pincav.gen
Authentium 5.2.0.5 2010.05.13 -
Avast 4.8.1351.0 2010.05.12 Win32:Malware-gen
Avast5 5.0.332.0 2010.05.12 Win32:Malware-gen
AVG 9.0.0.787 2010.05.13 -
BitDefender 7.2 2010.05.13 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.12 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.05.12 -
Comodo 4829 2010.05.12 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.13 -
eSafe 7.0.17.0 2010.05.11 -
eTrust-Vet 35.2.7484 2010.05.12 -
F-Prot 4.5.1.85 2010.05.12 -
F-Secure 9.0.15370.0 2010.05.13 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.12 -
GData 21 2010.05.13 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.12 Trojan.Peed
Jiangmin 13.0.900 2010.05.12 -
Kaspersky 7.0.0.125 2010.05.13 Trojan.Win32.Pincav.zrz
McAfee 5.400.0.1158 2010.05.13 Generic.dx!sra
McAfee-GW-Edition 2010.1 2010.05.13 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.12 Trojan:Win32/Malagent
NOD32 5110 2010.05.12 a variant of Win32/Kryptik.DXI
Norman 6.04.12 2010.05.12 -
nProtect 2010-05-12.01 2010.05.12 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.12 Generic Trojan
PCTools 7.0.3.5 2010.05.12 -
Prevx 3.0 2010.05.13 High Risk Cloaked Malware
Rising 22.47.02.04 2010.05.12 Packer.Win32.UnkPacker.b
Sophos 4.53.0 2010.05.13 Sus/UnkPack-C
Sunbelt 6296 2010.05.13 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.05.13 -
TheHacker 6.5.2.0.279 2010.05.11 Trojan/Pincav.zrz
TrendMicro 9.120.0.1004 2010.05.12 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.05.13 -
VBA32 3.12.12.4 2010.05.12 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.12.2312 2010.05.12 -
VirusBuster 5.0.27.0 2010.05.12 -
 
추가 정보
File size: 53248 bytes
MD5   : 7dc283909f9af5493de63aae1453a807
SHA1  : 0b9d820a6563bce957c04f60545b467c1d029d3f
SHA256: c3c7dc6df3a5b802d71834046b6f87e655bb29cf9030f879f8375c9e65363e7e

댓글을 달아 주세요