posted by Kwan's 2010. 9. 7. 11:03

1. 사이트 !!

씨X통 : http://www.cixxxxng.com
레이XX 클럽 : http://www.rxxexx.co.kr 
옐XX X 택배 : http://www.yeXXXXXX.co.kr
강XX센X : http://www.stXXXXX.or.kr 外 다수
한국XXXXX연합회 : http://www.kXuXXX.or.kr 外 다수
부산XX 外 다수 : http://www.XXXbuXXX.com/

2. 유포지 !!

씨X통 : http://6X.1XX.1.8X/test.asp

레이XX 클럽 : http://2XX.1XX.9X.2X2/V.asp
                    http://2XX.2XX.12X.5X/help.asp

옐XX X XX : http://2XX.2XX.12X.5X/help.asp

강XXXX , 한국XXXXXXX회 外 다수 : http://www.XXiayuaXcom/XX/yahoo.js
                                                              http://www.XXayuaXcom/XX/ad.htm
                                                              http://www.XXayuaXcom/XX/news.html
                                                              http://www.XXayuaXcom/XX/count.html

부산XX 外 다수 : http://XXle.XXangq.co.kr/dXXX/report/sb/index.htm
                        http://XXle.XXangq.co.kr/dXXX/report/sb/6.htm
                        http://XXle.XXangq.co.kr/dXXX/report/sb/ie.jpg
                        http://XXle.XXangq.co.kr/dXXX/report/sb/iee.jpg

3. 최종파일 !!

test.asp , help.asp : http://loXX.XXnbt.info/pXXXX/chong.exe

V.asp : http://XXablade.com/XXder/d.exe

ad.htm : http://www.XXxny.com/image/s.exe

iee.jpg : http://loXX.XXnbt.info/pXXXX/chong.exe

4. 바이러스 토탈

test.asp : http://www.virustotal.com/file-scan/report.html?id=b5d1054496c0f85de2231776787c925d28fcc4e72153d0bc2df5c281e15b4a9c-1283822614

help.asp : http://www.virustotal.com/file-scan/report.html?id=10eb7191ad67287469f44e5db73c463337d154715df5717f57355f7413ddef99-1283822619

V.asp : http://www.virustotal.com/file-scan/report.html?id=b5d1054496c0f85de2231776787c925d28fcc4e72153d0bc2df5c281e15b4a9c-1283823361

yahoo.js : http://www.virustotal.com/file-scan/report.html?id=38fb192a31fc9795d7cd0c8de199c22fd639b85a3fcef6adb3a6c8fa747a84de-1283823366

ad.htm : http://www.virustotal.com/file-scan/report.html?id=71020f01ab7a9c6d44ff720850b08303e3fe8860fa3d6f1c819dd806d08cb832-1283823433

news.html : http://www.virustotal.com/file-scan/report.html?id=dcb0f56c127a107f67d4362472c451dbfb399dabffe673cdbe4204084b32ff7f-1283823445

count.html : http://www.virustotal.com/file-scan/report.html?id=dd04ba376ca8412f26a2d8077ab23c35209cd0e0c03f16fbf2620c36bd2c4370-1283823527

index.htm : http://www.virustotal.com/file-scan/report.html?id=d24618283f09b057665df60c03e5d378c145278deb797ff09f00d15d8f71067c-1283615067

6.htm : http://www.virustotal.com/file-scan/report.html?id=b97bcb2e3e2cd3dab79ca94939e0818865a8f474dce1a45ca1f8bfcf9320769c-1283615053

ie.jpg : http://www.virustotal.com/file-scan/report.html?id=96fd35784055780ef28cd6615c798c0e3d68a9ebb97393a456594b571b55251c-1283615058

iee.jpg : http://www.virustotal.com/file-scan/report.html?id=05d0a7cd5111df398f40b8f31d8d357c38d4a3338f213bc8cb338d6083258ff4-1283615063

pop.exe : http://www.virustotal.com/file-scan/report.html?id=fdade277f556797331f91af8228f19cbb659c4f559d9fe38800008a752ef1e78-1283823544

d.exe : http://www.virustotal.com/file-scan/report.html?id=9be1f0e3a083386396648e20aa4dc066a545453c70afa7ba12e53029f8352e87-1283823684

s.exe : http://www.virustotal.com/file-scan/report.html?id=3ecca9e0be88d46ca8ff5263af7218a6d8fa4fc2fb26a72d8818caafe866b18c-1283823692

chong.exe : http://www.virustotal.com/file-scan/report.html?id=bd1460158f28299155929a498c0bd31e592a0d51ce69d0d3b5df9693d6e96434-1283823807

5. 국내 업체 진단 사항 !!

이스트 소프트 , 네이버 : 분석 및 악성 파일 DB에 추가 예정 !!

[안철수연구소]

1. count.html ~> 분석중
2. chong.exe ~> V3 : Win-Trojan/Downloader.73728.FP(추가 : 2010.09.05.00)
3. d.exe ~> V3 : Dropper/Onlinegamehack.63434(추가 : 2010.09.05.00)
4. help.asp ~> V3 : JS/Cve-2010-0806(추가 : 2010.09.05.00)
5. yahoo.js ~> V3 : JS/Iframe(추가 : 2010.09.05.00)
6. ad.htm ~> V3 : JS/Cve-2010-0806(추가 : 2010.09.05.00)
7. news.html ~> V3 : JS/Exploit(추가 : 2010.09.05.00)
8. s.exe ~> V3 : Dropper/Onlinegamehack.40960(추가 : 2010.09.05.00)
9. test.asp ~> V3 : JS/Cve-2010-0806(추가 : 2010.09.05.00)
10. V.asp ~> V3 : JS/Cve-2010-0806(추가 : 2010.09.05.00)
11. pop.exe ~> V3 : Win-Trojan/Agent.64623(추가 : 2010.09.01.02)

흠.. 이번주에는 yahoo.js가 많이 난리를 쳤더라고요.. 최종파일 위치만 항상 바뀌고 ..
역시 취약점의 끝은 어디인지 ~ 관리가 절실한거 같습니다.
아무튼 태풍도 이번에는 빗겨가고 서울은 화창하고 무덥네요.. 비 한번 쏟아지면 좋은데..
서울에 계신분은 더운데 무더위 잘 보내시고 ~ 지방분들은 태풍에 피해가 없길 바라며 글을 마칩니다.
오늘도 모두 즐거운 하루 보내세요~

댓글을 달아 주세요

posted by Kwan's 2010. 8. 31. 12:33

1. 사이트 !!

씨X통 : http://www.cixxxxng.com
레이XX 클럽 : http://www.rxxexx.co.kr
한국XX기술 : http://www.culxxxexxcx.co.kr

2. 유포지 !! 

씨X통 : http://x1x.1x5.xx4.xx2/P.asp
레이XX 클럽 : http://2x8.2x4.xx.114/z.asp
한국XX기술 : http://www.xzxxayxan.com/xx/yahoo.js
                   http://www.xzxxayxan.com/xx/ad.htm
                   http://www.xzxxayxan.com/xx/news.html
                   http://www.xzxxayxan.com/xx/count.html

 3. 최종파일 !!

P.asp : http://xxxjuxxor.com/dxxa_file/2xxx12/dnf.exe

z.asp : http://xxxnaxi.com/sxxp/xxmin/x.exe

ad.htm : http://www.xxxi5x8.com/xxages/s.exe

4. 바이러스 토탈 !!

P.asp : http://www.virustotal.com/file-scan/report.html?id=c8a5fdd402ad3dbc6476234c37f138b53be89282e073b8d03870767208b07b64-1283224776

z.asp : http://www.virustotal.com/file-scan/report.html?id=a1b9c491632494d8f1f1242d5f5503c92d6397f79cd64b4f371921de02b563af-1283224902

yahoo.js : http://www.virustotal.com/file-scan/report.html?id=980b6dbc60a943a3e85136376c44c702817f90bf5ae3f49d74e5e4e7b62e99be-1283224791

ad.htm : http://www.virustotal.com/file-scan/report.html?id=05161d2a37fa059a3d119b98fa4b739590db04d6c781c729f66e81e00464b640-1283224796

news.html : http://www.virustotal.com/file-scan/report.html?id=d1badcdf315e5f719684e89c5eadf4b030b56eb25298909accc8edcca46c3518-1283224912

count.html : http://www.virustotal.com/file-scan/report.html?id=dd04ba376ca8412f26a2d8077ab23c35209cd0e0c03f16fbf2620c36bd2c4370-1283224919

dnf.exe : http://www.virustotal.com/file-scan/report.html?id=b7b15bfb91bcd9d394f5a905884230cf3cbfe62623e3f5a6cd3c147c5c919c2e-1283224963

x.exe : http://www.virustotal.com/file-scan/report.html?id=4c336d35bcaf692ca825cdc649be1dae92b55164d91224246d947e4fb6abfac4-1283224980

s.exe : http://www.virustotal.com/file-scan/report.html?id=58242620e27993c56ffdcf24cf9275153bdca876cc9e1c0edd6fba852ce0cfb7-1283223137


5. 일부 보안 업체 진단사항

[네이버] : 금일 분석후 업데이트 반영 !!

[이스트 소프트] : 업데이트 완료 !! 

[안철수연구소]

1. dnf.exe_Kwan  -  분석중
2. P.asp  -  분석중
3. count.html  -  분석중
4. dnf.exe  -  분석중
5. yahoo.js  -  분석중
6. news.html  -  분석중
7. ad.htm V3 : JS/Exploit(추가 : 2010.08.30.05)
8. s.exe V3 : Win-Trojan/Onlinegamehack.41472.X(추가 : 2010.08.27.05)
9. x.exe V3 : Win-Trojan/Downloader.9728.WK(추가 : 2010.08.25.02)
10. z.asp V3 : JS/Cve-2010-0806(추가 : 2010.08.22.00)

참고 : 샘플은 안철수연구소 , 이스트 소프트 , 네이버에 전송하고 있습니다 !

여름은 무사히 잘 보내고 계시지요?? 이번주는 금요일 밖에 볼 시간이 없어서 3개로 간략히 합니다. 벌써 개학이고 수업이 진행 되고 있네요.
이번주에는 태풍이 하나 온다고 하네요 . 모두 비조심 하시고 무서운 여름감기 조심하세요~

[최근글]

2010/08/31 - [security/악성코드 유포] - 아스키 코드를 이용한 악성코드 !!
2010/08/16 - [security/악성코드 유포] - 지난주 국내 및 중국 유포 사이트 17곳 및 네이트온 악성코드 유포지 !!
2010/08/15 - [security/보안 뉴스] - [카스퍼스키] 2010년 7월 악성 프로그램 통계

댓글을 달아 주세요

posted by Kwan's 2010. 7. 19. 19:57

1. 사이트 !!

리XX타 : http://www.revxxxxxar.net
한국 X 스X츠 협회 : http://www.x-sxxxts.or.kr
씨X통 : http://www.cixxxxng.com
SSO XXX : http://sso.xxx.co.kr
씨X마 XXX : http://cixxma.xxx.co.kr

2. 유포지 !!

리XX타 : 파일이 많은 관계로 최종파일 받는곳만 씁니다 !!

http://www.cnxxxseed.xxx/templates/weentrue/root/ah1.js ~> 최종파일 다운 !!http://www.cnxxxseed.xxx/templates/weentrue/root/AHHS3.js ~> 최종파일 다운 !!http://www.cnxxxseed.xxx/templates/weentrue/root/n93.jpg ~> 최종파일 다운 !!

한국 X 스X츠 협회 , 씨X통 : http://www.kxxx.info/mm.asp

SSO XXX : http://1x4.2xx.87.1xx/Login.asp

씨X마 XXX : http://imxxxx.xxx.co.kr/editor/uploads/popup.html
                  http://imxxxx.xxx.co.kr/editor/uploads/aad.js ~> 최종파일 다운 !!
                  http://imxxxx.xxx.co.kr/editor/uploads/aac.js
                  http://imxxxx.xxx.co.kr/editor/uploads/aab.js

 3. 최종파일

ah1.js , AHHS3.js , n93.jpg :  http://www.mixxxxxx.com/cxs/kr.exe

mm.asp : http://lxxxollxxxion.net/mxxl/coxx/poxxx/f.exe

Login.asp : http://1x1.xx.2x8.x1/xxp/ad.exe

aad.js : http://jxnggoxxxxxx.nexxxcient.co.kr/test0.exe 

4. 바이러스 토탈 결과

ah1.js : http://www.virustotal.com/ko/analisis/3fc867de6d6d2e89cd5a870ca3f07570e9e10e22dfdf7cc6aa1febab5e4e75fe-1279535517

AHHS3.js : http://www.virustotal.com/ko/analisis/fa8f0e17e7e227cb79bae713dbd1665a1df3116f3ca15a9b190d9a14c16d0e8f-1279535521

n93.jpg : http://www.virustotal.com/ko/analisis/150935ca052ba838e462250fdfde8746817e82bb5e0f7339f0f8a4126d2c7740-1279535524

mm.asp : http://www.virustotal.com/ko/analisis/7917b30c7f56ccc9c194d17976d6e3ce0735e3007331401fd4bbd600622b6200-1279535697

Login.asp : http://www.virustotal.com/ko/analisis/2d2f9ce4c151f7db6627aafc18ec53dcfaa1622b9c934dbf5f4f7aeb75e33b54-1279535710

popup.html : http://www.virustotal.com/ko/analisis/90f2178be9c22ee2298ed4bbb57c6d5f6a9a1a84a9589dbd1c223cae6a58ff7d-1279535701

aad.js : http://www.virustotal.com/ko/analisis/c9477ac8c925f5417e8acc7901977cb39ce42271a55e0fd8221aed8a3c63a8ba-1279535789

aac.js : http://www.virustotal.com/ko/analisis/431413212a9208744e7acc90561aef3613b15755f64f57c07300ca8f0e381d3f-1279535795

aab.js : http://www.virustotal.com/ko/analisis/2815c9c001eb7eef52e81811035bb08d8034bbeb7700ee7e44f46e8119ae2aaf-1279535813

kr.exe : http://www.virustotal.com/ko/analisis/148ae041d940ef84b026eda6639890b5ed1ebe458c8dfb7798353ae666d71e1a-1279535905

 f.exe : http://www.virustotal.com/ko/analisis/c379db3ce819b6916c9d78711d6250368fd6a96456904e2bb904be2d8a52cfa6-1279535913

ad.exe : http://www.virustotal.com/ko/analisis/bb0478fe1cdc4a04644adf57129d40af3aecc82588652e7e06ec87c98f6fdeaa-1279535946

test0.exe : http://www.virustotal.com/ko/analisis/9891cae8f95c95ab83b9b2ade292a36ed6c6ee24c771ba256f6abb07f1bb0306-1279536063

5. 국내 신고업체 진단 !!

[이스트 소프트]

샘플 업데이트 완료 및 일부 샘플 분석중 !!

[안철수연구소]

1 AHHS3.js ~> 악성
2 xi.htm ~> V3 : JS/Agent(추가 : 2010.07.16.00)
3 a7.htm ~> V3 : JS/Agent(추가 : 2010.07.16.00)
4 xf.htm ~> V3 : JS/Agent(추가 : 2010.07.16.00)
5 nivea2.htm ~> V3 : JS/Zapchast(추가 : 2010.07.16.00)
6 nivea.htm ~> V3 : JS/Exploit(추가 : 2010.07.16.00)
7 n99.jpg ~> V3 : JS/Agent(추가 : 2010.07.16.00)
8 n97.jpg ~> V3 : JS/Agent(추가 : 2010.07.16.00)
9 n95.jpg ~> V3 : JS/Agent(추가 : 2010.07.16.00)
10 n93.jpg ~> V3 : JS/Agent(추가 : 2010.07.16.00)
11 ah1.js ~> V3 : JS/Exploit(추가 : 2010.07.16.00)
12 ah2.js ~> V3 : JS/Zapchast(추가 : 2010.07.16.00)
13 ah3.js ~> V3 : JS/Zapchast(추가 : 2010.07.16.00)
14 AHHS.js ~> V3 : JS/Agent(추가 : 2010.07.16.00)
15 AHHS2.js ~> V3 : JS/Agent(추가 : 2010.07.16.00)
16 f0.htm ~> V3 : JS/Agent(추가 : 2010.07.16.00)
17 ff.html ~> V3 : JS/Agent(추가 : 2010.07.16.00)
18 ff.js ~> V3 : JS/Agent(추가 : 2010.07.16.00)
19 ie.html ~> V3 : JS/Agent(추가 : 2010.07.16.00)
20 ie.js ~> V3 : JS/Agent(추가 : 2010.07.16.00)
21 kr.exe ~> V3 : Dropper/Muldrop.49944(추가 : 2010.07.16.00)
22 n90.jpg ~> V3 : JS/Exploit(추가 : 2010.07.16.00)
23 a6.htm ~> V3 : JS/Agent(추가 : 2010.07.07.00)
24 fice.htm ~> V3 : JS/Agent(추가 : 2010.07.07.00)
25 ah0.js ~> V3 : JS/Exploit(추가 : 2010.07.06.02)
26 ecfl.htm ~> 정상
27 top.html ~> 정상
28 max.gif ~> 정상
29 swfobject.js ~> 정상
30 snow.htm ~> 정상
31 ad.exe ~> 분석중
32 test0.exe ~> V3 : Win-Trojan/Injection.5748(추가 : 2010.07.19.01)
33 aad.js ~> V3 : JS/Exploit(추가 : 2010.07.19.00)
34 Login.asp ~> V3 : JS/Exploit(추가 : 2010.07.19.00)
35 mm.asp ~> V3 : JS/Exploit(추가 : 2010.07.19.00)
36 popup.html ~> V3 : JS/Exploit(추가 : 2010.07.19.00)
37 aac.js ~> V3 : JS/Exploit(추가 : 2010.07.19.00)
38 aab.js ~> V3 : JS/Exploit(추가 : 2010.07.19.00)
39 f.exe ~> V3 : Win-Trojan/Onlinegamehack.109247(추가 : 2010.07.19.00)

기타 사항 : aad.js , aac.js 는 안랩만 현재 진단중 !!

오늘이 벌써 초복이네요 !! 다들 닭은 뜯으셨는지요??ㅋ 전 아침에 삼계탕에 한그릇을 뚝딱했습니다!
이번주에는 5곳 밖에 발견을 하지 못했네요. 이제는 점점 또 줄어들고 있는거 같습니다.
뭐 아무튼 무더위에 카페여러분 모두 조심하시고 즐거운 하루 보내세요!!
추후 진단 사항은 댓글을 참조 해주세요 !!

댓글을 달아 주세요

posted by Kwan's 2010. 7. 12. 12:58

1. 사이트 !!

큐x텔 : http://www.cxxxxtel.com/html

보안xx : http://www.bxxx.com

세x즌 : http://www.cxxxzen.com

한국 x xxx 협회 : http://www.x-xxxrts.or.kr

게xx임 : http://www.gaxxxxme.co.kr/main.asp

플xx 3x5 : http://fxxxx3x5.korea.com

메xx서울 : http://www.mxxxxseoul.co.kr

2. 유포지 !!

큐x텔 : http://1xx.4x.1x9.2xx/css/Lib.asp

보안xx : http://58xxx.com/js.js
            http://58xxx.com/ad.htm
            http://58xxx.com/top.jpg ~> 최종파일 다운 !!
            http://58xxx.com/cook.jpg
            http://58xxx.com/cook1.jpg
            http://58xxx.com/root.jpg

세x즌 : http://study.xxxx.or.kr/comm/hong/x.jpg
          http://study.xxxx.or.kr/comm/hong/a.jpg ~> 최종파일 다운 !!
          http://study.xxxx.or.kr/comm/hong/b.jpg
          http://study.xxxx.or.kr/comm/hong/c.jpg
          http://study.xxxx.or.kr/comm/hong/d.jpg
          http://study.xxxx.or.kr/comm/hong/i7.htm ~> 최종파일 다운 !!

한국 x xxx 협회 : http://1xx.4x.1x0.1xx/poll/k.asp

게xx임 : http://37xxx.com/0709.htm

플xx 3x5 : http://image.cixxxx.com/cixx21/xxxicle/2xxx/1231/K0000002_iel48406.html?컵켱 ~> 최종파일 다운 !!
              http://image.cixxxx.com/cixx21/xxxicle/2004/1231/K0000002_cul48407.html?耭쯩딩 ~> 최종파일 다운 !!

메xx서울 : http://ac.gexxxr.com/x/time.asp

3. 기타 사이트 !!

1. http://gft54577.xxxx.org:xx77/m/index.html ~>  http://gft54577.3xx2.org:6677/x/index.html 변조!!

2. http://cxx2.xxxx.org:88/xo/xi05.htm ~> http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK

4. 최종파일 !!

Lip.asp , k.asp :  http://61.1X0.1.XX/css/isa.exe 

top.jpg : http://58XXX.com/tt.exe 

a.jpg , i7.htm : http://www.gXXXc.or.kr/html/gg.exe

0709.htm : http://XXXc1.com/0709.exe ~> XOR 변형 필요 !!

K0000002_iel48406.html?컵켱 : http://2X2.2XX.XX.243/db/update/update.exe ~> XOR 변형 필요 !!

timp.asp : http://www.roXXX1X4.com/cXXX/hXXp/box.exe

index.html : http://XXsifyanfka700.XXXX.org:6677/m/mtv.mdb

xi05.htm : http://XXX.ses99s.cn:XX/x5.exe

5. 바이러스 토탈 결과 !!

Lip.asp , k.asp : http://www.virustotal.com/ko/analisis/1d373a0cd0b239795370655695fb7db3138ab1aa1a4cb4df676f72150d82a7b9-1278904755

ad.htm : http://www.virustotal.com/ko/analisis/6f4fc46e4dfd66395a4409854deca6226171a11cb6aae462339cab8574dcad75-1278904740

top.jpg : http://www.virustotal.com/ko/analisis/a8e7a5591fc7214c80975a9cfd174891e7b96611d4da26fde330301417528fc8-1278905008

cook.jpg : http://www.virustotal.com/ko/analisis/4f6408d2b48a2ba706c6cbe16c8c849c3d296d199f9eaf3a851cf819912b13f0-1278904996

cook1.jpg : http://www.virustotal.com/ko/analisis/13ce3060a82619b76c430af3251d2b138eea57e84737da8f824cc365526625b3-1278904999

root.jpg : http://www.virustotal.com/ko/analisis/25e775d8df15348f9ddb19ef609dc890f1e88ed12f04731cd4d8120371d66128-1278905144

a.jpg : http://www.virustotal.com/ko/analisis/a0a69a87e30528c203f8382fbbc751426c31e22ebadf66e9b93dab94e0f0b79d-1278905114

i7.htm : http://www.virustotal.com/ko/analisis/85488952cfa5042ab6a4b6f06802dfaae9ae2632ad0c485104133211f0645629-1278905148

0709.htm : http://www.virustotal.com/ko/analisis/f339328556c643365d11206bd198f19193db8ecee8cc22d6a647bd013a4f0595-1278905215

K0000002_iel48406.html : http://www.virustotal.com/ko/analisis/daff099b6b326c61521be93fa3727057fed1b080ce088ca3e7a24cbed27ef7a4-1278905223

xi05.htm : http://www.virustotal.com/ko/analisis/ed4989eda720d6fef0536965de85aa27498773f7c3f5827f13583c64e987c868-1278905452

isa.exe : http://www.virustotal.com/ko/analisis/4a683f1f89684278d25be8ed9531400755fc057cb69b07c9fcdca82b928abb29-1278905459

tt.exe : http://www.virustotal.com/ko/analisis/d1c6030f80ad761f316b999eac1b6eff801124f37b2ba352daf97bb752e051f9-1278905516

0709.exe : http://www.virustotal.com/ko/analisis/05d8b59bc57cf452cb5d6713d254876c3f2e147e47f27aa3bef472a1a91e82f6-1278905551

update.exe : http://www.virustotal.com/ko/analisis/9bb63dbcc20b0611760e47b0d10399a05f0c91cb9cfd0d8b99c5c59040b50283-1278905560

box.exe : http://www.virustotal.com/ko/analisis/6d71ea5053c11ebdb76591175c3eeb92209bf20afbe146305ddeb806f9061a18-1278905591

mtv.mdb : http://www.virustotal.com/ko/analisis/962febb5db8cc602bd11890c47ed1ec102996d0339a440ef1e97e7d797dd098f-1278905742

x5.exe : http://www.virustotal.com/ko/analisis/6932cc1719b7c871feda078417349b39514a680dabe8409ddf59f07bac2e135c-1278905747

샘플신고 : 이스트 소프트 , 안철수연구소

[이스트 소프트]

샘플 전송 완료 , 빠른 시일내에 업데이트 !!

[안철수연구소]

1. 0709.exe ~> 분석중
2. 0709.htm ~> 분석중
3. update.exe ~> 분석중
4. tt.exe ~> 악성
5. top.jpg ~> 악성
6. root.jpg ~> 악성
7. 3964750.js ~> 악성
8. a.jpg ~> 분석중
9. ad.htm ~> 악성
10. cc.jpg ~> 분석중
11. cook.jpg ~> 악성
12. cook1.jpg ~> 악성
13. gg.exe ~> 분석중
14. i7.htm ~> 분석중
15. isa.exe ~> 분석중
16. K0000002_iel48406.html ~> 분석중
17. x5.exe ~> V3 : Packed/Upack
18. box.exe ~> V3 : Win-Trojan/Magania.55296.N(추가 : 2010.07.09.05)
19. xi05.htm ~> V3 : HTML/Agent(추가 : 2010.07.09.00)
20. mtv.mdb ~> V3 : Win-Trojan/Downloader.43388(추가 : 2010.07.08.00)
21. k.asp ~> V3 : JS/Downloader(추가 : 2010.04.23.02)
 

이번주는 약간의 모니터한 보람이 있네요. 이제는 거의 제가 모아놓은 유포지 메모장이 있으니 대부분
쉽게 찾을수 있네요 !! 아직까지 그렇게 많이 찾은것은 아니지만 !! 나중에 군대가기전에 공유를 하고 가야겠어요!검색할필요도 없고 나름 저에게는 편한거 같네요!!그래도 많이 부족하니 많은 도움을 주세요!!!이번 한주도 즐겁고 편안하게 보내세요!!!

이번주 도와 주신분 : 없음 !!

[ 이전글 ]

[security/악성코드 유포] - 보안xx 현재 악성코드 유포중 !!
[security/악성코드 유포] - 휴대폰 통신사 큐x텔 악성 스크립트 삽입 !!
[security/악성코드 유포] - http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK
[security/악성코드 유포] - http://gft54577.3xx2.org:6677/x/index.html 변조!!
[security/악성코드 유포] - TR/Bagle.trash (AntiVir) !!
[security/악성코드 유포] - http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK

댓글을 달아 주세요

  1. Kwan's 2010.07.12 17:58 신고  Addr  Edit/Del  Reply

    1 x5.exe ~> V3 : Packed/Upack
    2 update.exexx ~> V3 : Win-Trojan/Onlinegamehack.55296.I(추가 : 2010.07.12.00)
    3 0709.exexx ~> V3 : Win-Trojan/Buzus.81920.DT(추가 : 2010.07.12.00)
    4 tt.exe ~> V3 : Win-Trojan/Onlinegamehack.81920.AZ(추가 : 2010.07.12.00)
    5 top.jpg ~> V3 : JS/Exploit(추가 : 2010.07.12.00)
    6 root.jpg ~> V3 : JS/Agent(추가 : 2010.07.12.00)
    7 K0000002_iel48406.html ~> V3 : JS/Exploit(추가 : 2010.07.12.00)
    8 isa.exe ~> V3 : Win-Trojan/Agent.55296.IE(추가 : 2010.07.12.00)
    9 gg.exe ~> V3 : Win-Trojan/Buzus.120320.Y(추가 : 2010.07.12.00)
    10 3964750.js ~> V3 : JS/Downloader(추가 : 2010.07.12.00)
    11 a.jpg ~> V3 : JS/Agent(추가 : 2010.07.12.00)
    12 ad.htm ~> V3 : JS/Exploit(추가 : 2010.07.12.00)
    13 cook.jpg ~> V3 : JS/Agent(추가 : 2010.07.12.00)
    14 cook1.jpg ~> V3 : JS/Agent(추가 : 2010.07.12.00)
    15 box.exe ~> V3 : Win-Trojan/Magania.55296.N(추가 : 2010.07.09.05)
    16 xi05.htm ~> V3 : HTML/Agent(추가 : 2010.07.09.00)
    17 mtv.mdb ~> V3 : Win-Trojan/Downloader.43388(추가 : 2010.07.08.00)
    18 k.asp ~> V3 : JS/Downloader(추가 : 2010.04.23.02)
    19 cc.jpg ~> 정상
    20 i7.htm ~> 정상
    21 0709.htm ~> 정상

posted by Kwan's 2010. 7. 7. 11:46

http://gft54577.3xx2.org:6677/x/index.html 이것이 변조 된것을 오늘 찾았다.
따로 출력하는 문구가 필요없이 누구나 툴로 이용한다면 쉽게 나올수 있는 코드였다.

사이트에서 연결되는 곳은

http://gft54577.3xx2.org:6677/x/http://js.tongji.xxnezing.com/1759886/tongji.js
http://gft54577.3xx2.org:6677/x/http://www.xxnezing.com
http://gft54577.3xx2.org:6677/x/http://img.tongji.xxnezing.com/1759886/tongji.gif
http://gft54577.3xx2.org:6677/x/pps.js

이렇게 연결 되지만 별달리 찾을 점은 존재하지 않았다 !!

%u5858%u5858%u10EB%u4B5B%uC'+'933%uB96'+'6%u03B8%u34'+'80%uBD0B%uFA'+'E2%u05E'+'B%uEBE8%uFFFF%u54FF (중략) %u8adc%u8d8d%u8e93%u8f8e%u938f%ucfd2%u87da%u8b8b%u8a8a%ud092%ud092%ucbc9%ud093%udfd9%ubdbd%uEAEA%uEAEA%uEAEA%uEAEA

이런식으로 되어 있으며 '+' 만 제거한다면 간단히 최종파일 까지 나올수 있다.

최종위치 : http://adsifyanfka700.3xx2.org:6677/x/mtv.mdb
파일명만 mdb인거 같고 하는건 exe 인거 같다 !!

[바이러스 토탈]

검사 파일: mtv.mdb 전송 시각: 2010.07.07 08:25:52 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.07 Packed.Win32.Klone!IK
AhnLab-V3 2010.07.07.00 2010.07.06 -
AntiVir 8.2.4.10 2010.07.07 HEUR/Crypted
Antiy-AVL 2.0.3.7 2010.07.07 -
Authentium 5.2.0.5 2010.07.07 W32/OnlineGames!Generic
Avast 4.8.1351.0 2010.07.06 -
Avast5 5.0.332.0 2010.07.06 -
AVG 9.0.0.836 2010.07.06 Win32/Heur
BitDefender 7.2 2010.07.07 Trojan.Generic.4378362
CAT-QuickHeal 11.00 2010.06.30 Win32.PWS.Frethog.AJ.3
ClamAV 0.96.0.3-git 2010.07.07 -
Comodo 5346 2010.07.07 Heur.Pck.NsPacK
DrWeb 5.0.2.03300 2010.07.07 -
eSafe 7.0.17.0 2010.07.06 Suspicious File
eTrust-Vet 36.1.7690 2010.07.07 -
F-Prot 4.6.1.107 2010.07.07 W32/OnlineGames!Generic
F-Secure 9.0.15370.0 2010.07.07 Suspicious:W32/Malware!Gemini
Fortinet 4.1.133.0 2010.07.04 -
GData 21 2010.07.07 Trojan.Generic.4378362
Ikarus T3.1.1.84.0 2010.07.07 Packed.Win32.Klone
Jiangmin 13.0.900 2010.07.07 Trojan/Generic.adej
Kaspersky 7.0.0.125 2010.07.07 Trojan-Downloader.Win32.Geral.vps
McAfee 5.400.0.1158 2010.07.07 New Malware.u
McAfee-GW-Edition 2010.1 2010.07.05 Heuristic.LooksLike.Win32.Suspicious.C
Microsoft 1.5902 2010.07.06 VirTool:WinNT/Rootkitdrv.LH
NOD32 5258 2010.07.07 -
Norman 6.05.11 2010.07.06 W32/Packed_NsPack.I
nProtect 2010-07-06.01 2010.07.07 -
Panda 10.0.2.7 2010.07.06 Suspicious file
PCTools 7.0.3.5 2010.07.07 HeurEngine.ZeroDayThreat
Prevx 3.0 2010.07.07 Medium Risk Malware
Rising 22.55.02.04 2010.07.07 Trojan.Win32.Generic.521CB05F
Sophos 4.54.0 2010.07.07 Mal/Packer
Sunbelt 6554 2010.07.07 Packer.NSAnti.Gen (v)
Symantec 20101.1.0.89 2010.07.07 Suspicious.Graybird.1
TheHacker 6.5.2.1.309 2010.07.06 W32/Behav-Heuristic-067
TrendMicro 9.120.0.1004 2010.07.07 PAK_Generic.005
TrendMicro-HouseCall 9.120.0.1004 2010.07.07 -
VBA32 3.12.12.5 2010.07.05 -
ViRobot 2010.6.29.3912 2010.07.07 Trojan.Win32.Amvo.Gen
VirusBuster 5.0.27.0 2010.07.06 Packed/NSPack
 
추가 정보
File size: 43388 bytes
MD5...: 0adddb768a57f486dffb78b038a07146
SHA1..: 9cbf15b8e31040ca4ff8f25bd4a9056965aa9162
SHA256: 962febb5db8cc602bd11890c47ed1ec102996d0339a440ef1e97e7d797dd098f
ssdeep: 768:HQ2lS8lybE5DlWgP2uZ41LuL4YY1P2RKrrSBKSqsnJeKFi9QR5zx4+Ds:w2f
Q45D0uZ4dOEP2RK6BiiL4N
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x23207
timedatestamp.....: 0x4c332196 (Tue Jul 06 12:29:10 2010)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.nsp0 0x1000 0x22000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.nsp1 0x23000 0xb000 0xa57c 7.98 b2b2f5849d1bf7e253a99d64ed83a57d
.nsp2 0x2e000 0x8d4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 4 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> USER32.DLL: ShowWindow
> ADVAPI32.DLL: LookupPrivilegeValueA
> SETUPAPI.DLL: SetupDiGetINFClassA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=150CFE0D7C959B6FA9DA00AB3F2EE5008975D27C' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=150CFE0D7C959B6FA9DA00AB3F2EE5008975D27C</a>
packers (F-Prot): NSPack, PE_Patch
packers (Authentium): NSPack, PE_Patch

댓글을 달아 주세요

  1. 안녕하세요. 2012.02.12 21:41  Addr  Edit/Del  Reply

    %u5858%u5858%u10EB%u4B5B%uC933%uB966%u03B8 .... 이 소스에서
    어떻게 http://adsifyanfka700.3xx2.org:6667/x/mtv.mdb 가 나왔는지 궁금합니다. 어떤 툴이나 작업을 하셨는지 조언 부탁 드릴께요. 저도 malzilla 를 이용해서 분석 할려고 하는데 어떤 특정 주소가 나오지 않네요. 분석할때 '+'는 제거 하고 돌렸습니다. 간단한 답변이라도 부탁드리겠습니다.

posted by Kwan's 2010. 7. 5. 13:20

1. 사이트

씨x통 : http://www.cxxxtong.com

Z-xxack : http://www.zxxxck.org

프x시안 , 롤x볼 外 5곳 : http://www.prxxxxan.com 

주xx 닷컴 : http://xuxunxx.joins.com

2. 유포지

씨x통 : http://dXXXbucapXXal.co.kr/css/mm.asp ~> 유포 호스트 !!
          http://dXXXbucapXXal.co.kr/css/index.htm ~> 최종파일 다운 !!
          http://dXXXbucapXXal.co.kr/css/fop.htm ~> SWF 로 연결 !!
          http://dXXXbucapXXal.co.kr/css/poc.swf
          http://dXXXbucapXXal.co.kr/css/top.txt ~> 최종파일 다운 !!

 

Z-xxxxk : http://www.zXXXXk.org/birdman/CXE-2010-1297/ankey.html ~> SWF 로 연결 !! 및 최종파일 다운 !!
              http://www.zXXXXk.org/birdman/CXE-2010-1297/anhey.swf

 

프x시안 , 롤x볼 外 5곳 : http://22XXX.com/XX/y.js ~> 유포 호스트 !!
                                  http://22XXX.com/XX/ad.html
                                  http://22XXX.com/XX/ie.html
                                  http://22XXX.com/XX/a.gif ~> 최종파일 다운 !!
                                  http://22XXX.com/XX/XIGUA.GIF

 

주xx 닷컴 : http://junXXoXXnia.nefficient.co.kr/2.js
                http://XXXX.geXXir.com/XXXX_inc/Quiz_news.asp

 

3. 기타 사항

http://junXXoXXnia.neXXicient.co.kr/cookie.js

4. 최종 파일 !!

index.htm , top.txt : http://xx.74.xx6.x4/axxxn/H.exe

ankey.html : http://2xxx.in/log.exe

a.gif : http://22XXX.com/XX/s.exe

Quiz_news.asp , cookie.js : http://junXXoXXnia.neXXicient.co.kr/test0.exe

5. 바이러스 토탈

mm.asp : http://www.virustotal.com/ko/analisis/617063be17a4e3a98ed498e263e20631d73e58f5297f533f2a837ed9ae8805e0-1278299215 

index.htm : http://www.virustotal.com/ko/analisis/e7ecd7c13e7e16d88db64eff66d741ecef0b6042b1c0d9a1040addfe8a233561-1278299220

fop.htm : http://www.virustotal.com/ko/analisis/400d0f573100c9e24d84be4242920651f8b096d7fb40b814e9618f2a7a9a3799-1278299227 

poc.swf : http://www.virustotal.com/ko/analisis/7beb540f2e4eba936423f864df729bf6743057e78d9c6db0028de48c1b96accf-1278299248

top.txt : http://www.virustotal.com/ko/analisis/d47b751351eb72e7ac6468382705065ae7f24710dbf3daf5e2f127282210a179-1278299488

ankey.html : http://www.virustotal.com/ko/analisis/7d0ff099a5b7781064638a1a8f569736ddd8b6f20c17b90055e1bd79f83dcb1c-1278299511

anhey.swf : http://www.virustotal.com/ko/analisis/725f0cc85e34151e7e6af81a4f221b47a6825944cbaf68a4b5daf4023e5143e4-1278299518

y.js : http://www.virustotal.com/ko/analisis/e4d46c8276469b7706a2a6282a12d29a9cd6e348dcf313cb930148bd0c7ec65c-1278299624

ad.html : http://www.virustotal.com/ko/analisis/11194104c1dfdfd0d3a3297e8a7445288fcf97b1579b58d2cd7df84747c7a139-1278299631

a.gif : http://www.virustotal.com/ko/analisis/89bc7d0e3b8de3aeb755e6c3819251c6875c35146c885ab5470d6eebaeb69385-1278299651

Quiz_news.asp :  http://www.virustotal.com/ko/analisis/950bf1a4c7f7135a2dd78a58b5ac786dad9e09ff0b7b478a6da0f6a9f2e039ca-1278299818

H.exe : http://www.virustotal.com/ko/analisis/d22218c9b579f11e8061dea85986ee0b7d9d84e059ee098bb423bfc284d19555-1278299976

s.exe : http://www.virustotal.com/ko/analisis/dd2c070bda1d1df3ebb6dd4b7f37c212c2b643b521d09fc295f3a71442860f7b-1278300039

test0.exe : http://www.virustotal.com/ko/analisis/ae24b900a8a67799a5878cbb793d7f9ade0141fc67fa1dde0c6d492ac2608e7e-1278300045

[이스트 소프트]

모든 샘플 업데이트 완료 !!

[안철수연구소]

1. y.js ~> 분석중
2. top.txt ~> 분석중
3. ankey.html ~> 분석중
4. poc.swf ~> 분석중
5. index.htm ~> 분석중
6. ad.html ~> V3 : JS/CVE-2010-0249
7. s.exe ~> V3 : Dropper/Malware.6144.H(추가 : 2010.07.05.00)
8. Quiz_news.asp ~> V3 : JS/Agent(추가 : 2010.07.01.04)
9. test0.exe ~> V3 : Win-Trojan/Injector.55296.J(추가 : 2010.07.01.04)
10. a.gif ~> V3 : JS/Exploit-shellcode(추가 : 2010.07.01.04)
11. mm.asp ~> V3 : JS/Exploit-cve(추가 : 2010.06.24.05)
12. fop.htm ~> V3 : JS/Agent(추가 : 2010.06.24.05)
13. H.exe ~> V3 : Win-Trojan/Downloader.108399(추가 : 2010.06.21.02)
14. anhey.swf ~> V3 : Win-Trojan/Swf-exploit(추가 : 2010.06.14.02)

* 추후 샘플진단사항은 댓글로 달겠습니다 !!

이번주는 놀러갔다오는 바람에 별로 찾은게 없네요!!ㅠ
조금씩 부족해 지고 있지만 이해해 주세요!
날씨도 매우 더운데 더위 조심하시고 이번주도 즐거운 하루 보내세요!

이번주 도와 주신분 : JK님 바이쭌님 처리님 네오님 감사합니다 !!

댓글을 달아 주세요

posted by Kwan's 2010. 5. 13. 18:36

내가 발견한 시각은 오늘 아침 9시경이었다. 예전에도 유포했다 월요일에 없어졌던 서버였지만 오늘 다시 보니 time out 위장되어 있는 사이트였다. 프루나라는 메인 페이지에서는 이 링크를 볼수없다. 여담이지만 이렇게 프루나에 꼭꼭 숨겨놓아서 어떤 사용자를 감염 시킨다는지 이해가 가지 않았다.
사진과 같이 프루나 메인페이지에서는 젼혀 search_list3.asp 가 보이지 않으므로 정상 접속에는 이상이 없다.


이 접속 경로는 http://vxd.prxxa.com/search/search_list3.asp 이쪽으로 되어있으며 이것 또한 익스플로러로 접속시 time out 이라는 문구만 보일뿐 세부 코드는 보이지 않는다!
하지만 도구를 통해서 본다면 세부 코드가 나오는 것으로 볼수있다.
이것 또한 처음에는 제대로 변환 할수 없다 .. 이사이트에 소스중 window.document.write(x); ~> window.alert(x); 로 바꾼다면 제대로 디코더가 된 코드를 볼수있다. 이 코드를 변환한다면 비로서 최종파일이 보인다.
디코더 결과 이 프루나 search_list3.asp는 
최종파일 :  http://file.ygfamily.com/php/i./c.exe0  연결 되는것을 볼수있다.
그동안 코드와는 달리 ygfamily 로 연결이 되고 있었다.
현재 이 악성코드들은 전부 V3 에서 잡을수 있으며 모두 업데이트가 완료가 되었다.
또한 악성코드들은 이스트 소프트 와 안철수연구소로 신고하였다.


정리를 하자면
http://vod.pxxna.com/search/search_list3.asp0 에서 유포중이며
최종파일 : http://file.xxfamily.com/php/i./c.exe0 받는다.

[안철수연구소]
1 search_list3.0sp ~> V3 : JS/Downloader(추가 : 2010.05.13.03)
2 c.exe ~> V3 : Win-Trojan/Injector.53248.Z(추가 : 2010.05.12.00)

[이스트 소프트] = 알약
오늘 DB 에서 업데이트!

검사 파일: search_list3.0sp 전송 시각: 2010.05.13 00:12:59 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.13.00 2010.05.12 -
AntiVir 8.2.1.242 2010.05.12 JS/Drop.A.5851
Antiy-AVL 2.0.3.7 2010.05.12 -
Authentium 5.2.0.5 2010.05.13 -
Avast 4.8.1351.0 2010.05.12 JS:Downloader-QJ
Avast5 5.0.332.0 2010.05.12 JS:Downloader-QJ
AVG 9.0.0.787 2010.05.13 Script/Exploit
BitDefender 7.2 2010.05.13 -
CAT-QuickHeal 10.00 2010.05.12 -
ClamAV 0.96.0.3-git 2010.05.12 -
Comodo 4829 2010.05.12 -
DrWeb 5.0.2.03300 2010.05.13 -
eSafe 7.0.17.0 2010.05.11 -
eTrust-Vet None 2010.05.12 -
F-Prot 4.5.1.85 2010.05.12 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.05.13 -
Fortinet 4.1.133.0 2010.05.12 -
GData 21 2010.05.13 JS:Downloader-QJ
Ikarus T3.1.1.84.0 2010.05.12 -
Jiangmin 13.0.900 2010.05.12 -
Kaspersky 7.0.0.125 2010.05.13 Trojan-Downloader.JS.Agent.fhk
McAfee 5.400.0.1158 2010.05.13 -
McAfee-GW-Edition 2010.1 2010.05.13 Heuristic.BehavesLike.JS.Exploit.A
Microsoft 1.5703 2010.05.12 -
NOD32 5110 2010.05.12 -
Norman 6.04.12 2010.05.12 -
nProtect 2010-05-12.01 2010.05.12 -
Panda 10.0.2.7 2010.05.12 -
PCTools 7.0.3.5 2010.05.12 -
Rising 22.47.02.04 2010.05.12 Trojan.DL.Script.JS.Agent.qx
Sophos 4.53.0 2010.05.13 -
Sunbelt 6296 2010.05.13 -
Symantec 20101.1.0.89 2010.05.13 -
TheHacker 6.5.2.0.279 2010.05.11 -
TrendMicro 9.120.0.1004 2010.05.12 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.13 -
VBA32 3.12.12.4 2010.05.12 -
ViRobot 2010.5.12.2312 2010.05.12 -
VirusBuster 5.0.27.0 2010.05.12 -
 
추가 정보
File size: 5777 bytes
MD5   : a485b05d5035a168bb7fc3fd38220500
SHA1  : 3685084e053db302445caae2bfd63762ebf3b97b
SHA256: 58c9bbeb8f83242d054b71c3863fe87aba222142409d3b6f5f19e3705ca67bc4
검사 파일: c.0xe 전송 시각: 2010.05.13 00:13:04 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.10 Trojan.Peed!IK
AhnLab-V3 2010.05.13.00 2010.05.12 Win-Trojan/Injector.53248.Z
AntiVir 8.2.1.242 2010.05.12 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.12 Trojan/Win32.Pincav.gen
Authentium 5.2.0.5 2010.05.13 -
Avast 4.8.1351.0 2010.05.12 Win32:Malware-gen
Avast5 5.0.332.0 2010.05.12 Win32:Malware-gen
AVG 9.0.0.787 2010.05.13 -
BitDefender 7.2 2010.05.13 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.12 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.05.12 -
Comodo 4829 2010.05.12 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.13 -
eSafe 7.0.17.0 2010.05.11 -
eTrust-Vet 35.2.7484 2010.05.12 -
F-Prot 4.5.1.85 2010.05.12 -
F-Secure 9.0.15370.0 2010.05.13 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.12 -
GData 21 2010.05.13 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.12 Trojan.Peed
Jiangmin 13.0.900 2010.05.12 -
Kaspersky 7.0.0.125 2010.05.13 Trojan.Win32.Pincav.zrz
McAfee 5.400.0.1158 2010.05.13 Generic.dx!sra
McAfee-GW-Edition 2010.1 2010.05.13 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.12 Trojan:Win32/Malagent
NOD32 5110 2010.05.12 a variant of Win32/Kryptik.DXI
Norman 6.04.12 2010.05.12 -
nProtect 2010-05-12.01 2010.05.12 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.12 Generic Trojan
PCTools 7.0.3.5 2010.05.12 -
Prevx 3.0 2010.05.13 High Risk Cloaked Malware
Rising 22.47.02.04 2010.05.12 Packer.Win32.UnkPacker.b
Sophos 4.53.0 2010.05.13 Sus/UnkPack-C
Sunbelt 6296 2010.05.13 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.05.13 -
TheHacker 6.5.2.0.279 2010.05.11 Trojan/Pincav.zrz
TrendMicro 9.120.0.1004 2010.05.12 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.05.13 -
VBA32 3.12.12.4 2010.05.12 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.12.2312 2010.05.12 -
VirusBuster 5.0.27.0 2010.05.12 -
 
추가 정보
File size: 53248 bytes
MD5   : 7dc283909f9af5493de63aae1453a807
SHA1  : 0b9d820a6563bce957c04f60545b467c1d029d3f
SHA256: c3c7dc6df3a5b802d71834046b6f87e655bb29cf9030f879f8375c9e65363e7e

댓글을 달아 주세요

posted by Kwan's 2010. 5. 12. 18:20
3주전 발견했던 CJ 엔터 테인먼트가 현재 까지도 악성코드를 가지고 있어서 이렇게 글을 올린다.
프로그램으로 본 결과 악성 코드인 lib.asp 를 삽입되어 있는 모습을 이와 같이 볼수있다.



JS 파일 안에 lib.asp 라는 파일을 확인을 할 수가 있을것이다. 이것은 역시 익스플로러로 들어갈시에 time out 이라는 문구를 보내며 위장하고 있는 사실을 볼 수 가 있다.
이 파일을 다시 복호화 과청을 걸친다면 최종 파일인 exe 가 볼수있다.
이글을 쓰는 지금 이시각도 유포중에 있으며 이 사이트를 매우 조심해야 할 필요가있다.

현재 최종파일도 받는 서버가 살아 있으므로 이 곳을 매우 조심해야한다.

lib.asp : http://61.100.7.171/cxx/lib.asp0
최종파일 : http://61.100.1.93/cxx/isa.exe0

현재도 다운을 받을 수 있으며 마지막으로 이 사이트에 대해서는 조심하자!

검사 파일: lib.asp 전송 시각: 2010.05.10 00:38:59 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 Virus.JS.Downloader.QJ!IK
AhnLab-V3 2010.05.09.00 2010.05.08 JS/Downloader
AntiVir 8.2.1.236 2010.05.09 JS/Drop.A.5851
Antiy-AVL 2.0.3.7 2010.05.07 -
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 JS:Downloader-QJ
Avast5 5.0.332.0 2010.05.09 JS:Downloader-QJ
AVG 9.0.0.787 2010.05.09 Script/Exploit
BitDefender 7.2 2010.05.10 Trojan.Script.407264
CAT-QuickHeal 10.00 2010.05.08 -
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 -
DrWeb 5.0.2.03300 2010.05.10 -
eSafe 7.0.17.0 2010.05.09 -
eTrust-Vet None 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.05.10 Trojan.Script.407264
Fortinet 4.1.133.0 2010.05.09 -
GData 21 2010.05.10 Trojan.Script.407264
Ikarus T3.1.1.84.0 2010.05.09 Virus.JS.Downloader.QJ
Jiangmin 13.0.900 2010.05.09 -
Kaspersky 7.0.0.125 2010.05.09 Trojan-Downloader.JS.Agent.fhk
McAfee 5.400.0.1158 2010.05.09 -
McAfee-GW-Edition 2010.1 2010.05.09 Heuristic.BehavesLike.JS.Exploit.A
Microsoft 1.5703 2010.05.09 -
NOD32 5099 2010.05.10 -
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 Trojan.Script.407264
Panda 10.0.2.7 2010.05.09 -
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 -
Rising 22.46.06.04 2010.05.09 Trojan.DL.Script.JS.Agent.qx
Sophos 4.53.0 2010.05.09 JS/Agent-MZX
Sunbelt 6283 2010.05.10 -
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.09 -
TrendMicro 9.120.0.1004 2010.05.09 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 -
VBA32 3.12.12.4 2010.05.06 -
ViRobot 2010.5.8.2306 2010.05.09 JS.S.Agent.5851
VirusBuster 5.0.27.0 2010.05.09 -
 
추가 정보
File size: 5851 bytes
MD5   : 51e7b5fe2fa7ef45de3b3671ba91b011
SHA1  : e6e7dd63b6de5b8b24c5a91d001d23a01de8186b
SHA256: 1d373a0cd0b239795370655695fb7db3138ab1aa1a4cb4df676f72150d82a7b9
검사 파일: isa.exe 전송 시각: 2010.05.10 00:46:48 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 Trojan.Peed!IK
AhnLab-V3 2010.05.09.00 2010.05.08 Win-Trojan/Pincav.54784.U
AntiVir 8.2.1.236 2010.05.09 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.07 Trojan/Win32.Pincav.gen
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 Win32:Malware-gen
Avast5 5.0.332.0 2010.05.09 Win32:Malware-gen
AVG 9.0.0.787 2010.05.09 Generic17.BKEJ
BitDefender 7.2 2010.05.10 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.08 Trojan.Pincav.ywu
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.10 Trojan.Siggen1.24430
eSafe 7.0.17.0 2010.05.09 Win32.PWS.Mmorpg
eTrust-Vet 35.2.7474 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 -
F-Secure 9.0.15370.0 2010.05.10 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.09 W32/Pincav.YWU!tr
GData 21 2010.05.10 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.10 Trojan.Peed
Jiangmin 13.0.900 2010.05.09 Trojan/Pincav.eta
Kaspersky 7.0.0.125 2010.05.09 Trojan.Win32.Pincav.ywu
McAfee 5.400.0.1158 2010.05.09 PWS-Mmorpg!oq
McAfee-GW-Edition 2010.1 2010.05.09 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.09 Trojan:Win32/Malagent
NOD32 5099 2010.05.10 Win32/PSW.Gamania.NCP
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.09 Generic Trojan
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 High Risk Cloaked Malware
Rising 22.46.06.04 2010.05.09 Trojan.Win32.Generic.5202C6D7
Sophos 4.53.0 2010.05.09 Troj/Dload-HL
Sunbelt 6283 2010.05.10 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.10 Trojan/Pincav.ywu
TrendMicro 9.120.0.1004 2010.05.09 TSPY_MAGANIA.KI
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 TSPY_MAGANIA.KI
VBA32 3.12.12.4 2010.05.06 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.8.2306 2010.05.09 Trojan.Win32.Pincav.54784.C
VirusBuster 5.0.27.0 2010.05.09 Trojan.PWS.Gamania.BBV
 
추가 정보
File size: 54784 bytes
MD5...: a19b540af7132a86e866be1152256f07
SHA1..: 77715cc29b8911598f5f43bb0b17687267ea75f5
SHA256: 1d109b0ebfebc3d3c960bb7e4ef2917d64c4fef515ab031f1f15d522f0aa7fde

box.exe ~> V3 : Win-Trojan/Magania.53248.AA(추가 : 2010.05.07.07)
isa.exe ~> V3 : Win-Trojan/Pincav.54784.U(추가 : 2010.05.01.00)

이와 같이 현재는 대부분의 신고로 모두 백신이 잡는다는 것을 볼수있다.
이런 사이트는 안전한 상태가 아니면 피하는것이 좋다고 볼수있다.
호기심에 실행시켜서 얻는 불이익은 모두 실행시킨분의 책임입니다.


댓글을 달아 주세요

posted by Kwan's 2010. 5. 11. 22:22

1. 사이트

한국 E 스포츠 협회 : http://www.e-sports.or.kr
대명 리조트 :
http://www.daemyungresort.com/asp/main.asp
프루나 :
http://www.pruna.com
CJ 엔터테인먼트 :
http://www.cjent.co.kr
KBS :
http://sso.kbs.co.kr
조아라 : http://www.joara.com/main.html

주전자 닷컴 :
http://zuzunza.joins.com

2. 유포 사이트

1. 한국 E 스포츠 협회
http://211.218.126.144/css/top.asp ~> 서버 죽음! (V3 : JS/Downloader 추가 : 2010.04.23.02)
http://61.100.7.171/css/lib.asp ~> 서버 죽음!  (V3 : JS/Downloader 추가 : 2010.04.23.02)

 2. 대명 리조트
http://61.100.7.171/css/lib.asp ~> 서버 죽음!
(V3 : JS/Downloader 추가 : 2010.04.23.02)

3. 프루나
http://ac.gemmir.com/t/time.js ~> 서버 죽음!
http://ac.gemmir.com/t/time.asp ~> 서버 죽음!(V3 : JS/Agent 추가 : 2010.04.19.02)

4. CJ 엔터테인먼트
http://61.100.7.171/css/lib.asp ~> 서버 죽음! (V3 : JS/Downloader 추가 : 2010.04.23.02)

5. KBS
http://202.133.245.100/exam.asp ~> 서버 죽음! (V3 : 분석중)

6. 조아라
http://www.gamejil.com/data/css.htm ~> 서버 살아있음! (V3 : 분석중)

7. 주전자 닷컴
http://211.234.118.207/main.html ~> 서버 살아있음 (V3 : 분석중)
http://211.234.118.207/rl.jpg ~> 서버 살아있음 (V3 : 분석중)
http://211.234.118.207/ytl.jpg ~> 서버 살아있음 (V3 : 분석중)
http://211.234.118.207/yt1.jpg ~> 서버 살아있음 (V3 : 분석중)

최종파일 :
top.asp , lib.asp : http://61.100.1.93/css/isa.exe ~> 서버 살아있음 !
(
V3 : Win-Trojan/Pincav.54784.U(추가 : 2010.05.01.00)

time.asp :
http://www.robot114.com/cafe/help/box.exe ~> 서버 죽음 !  (V3 : Win-Trojan/Magania.53248.AA(추가 : 2010.05.07.07)

exam.asp : http://211.76.154.8/vipasp/logo/57.exe ~> 서버 살아있음 !   (V3 : Win-Trojan/Pincav.53248.AZ 추가 : 2010.05.09.00)

css.htm : http://www.gamejil.com/data/data.exe ~> 서버 살아있음 !
                                                          (V3 : 분석중) : XOR 변형이 필요합니다!

main.html ~> yt1.jpg  http://junggomania.nefficient.co.kr/test.exe ~> 서버 살아있음 ! (V3 : 분석중) 

[바이러스 토탈] 

검사 파일: isa.exe 전송 시각: 2010.05.10 00:46:48 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 Trojan.Peed!IK
AhnLab-V3 2010.05.09.00 2010.05.08 Win-Trojan/Pincav.54784.U
AntiVir 8.2.1.236 2010.05.09 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.07 Trojan/Win32.Pincav.gen
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 Win32:Malware-gen
Avast5 5.0.332.0 2010.05.09 Win32:Malware-gen
AVG 9.0.0.787 2010.05.09 Generic17.BKEJ
BitDefender 7.2 2010.05.10 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.08 Trojan.Pincav.ywu
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.10 Trojan.Siggen1.24430
eSafe 7.0.17.0 2010.05.09 Win32.PWS.Mmorpg
eTrust-Vet 35.2.7474 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 -
F-Secure 9.0.15370.0 2010.05.10 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.09 W32/Pincav.YWU!tr
GData 21 2010.05.10 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.10 Trojan.Peed
Jiangmin 13.0.900 2010.05.09 Trojan/Pincav.eta
Kaspersky 7.0.0.125 2010.05.09 Trojan.Win32.Pincav.ywu
McAfee 5.400.0.1158 2010.05.09 PWS-Mmorpg!oq
McAfee-GW-Edition 2010.1 2010.05.09 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.09 Trojan:Win32/Malagent
NOD32 5099 2010.05.10 Win32/PSW.Gamania.NCP
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.09 Generic Trojan
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 High Risk Cloaked Malware
Rising 22.46.06.04 2010.05.09 Trojan.Win32.Generic.5202C6D7
Sophos 4.53.0 2010.05.09 Troj/Dload-HL
Sunbelt 6283 2010.05.10 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.10 Trojan/Pincav.ywu
TrendMicro 9.120.0.1004 2010.05.09 TSPY_MAGANIA.KI
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 TSPY_MAGANIA.KI
VBA32 3.12.12.4 2010.05.06 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.8.2306 2010.05.09 Trojan.Win32.Pincav.54784.C
VirusBuster 5.0.27.0 2010.05.09 Trojan.PWS.Gamania.BBV
 
추가 정보
File size: 54784 bytes
MD5...: a19b540af7132a86e866be1152256f07
SHA1..: 77715cc29b8911598f5f43bb0b17687267ea75f5
SHA256: 1d109b0ebfebc3d3c960bb7e4ef2917d64c4fef515ab031f1f15d522f0aa7fde
검사 파일: box.exe 전송 시각: 2010.05.10 00:46:56 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 Trojan.Win32.Pincav!IK
AhnLab-V3 2010.05.09.00 2010.05.08 Win-Trojan/Magania.53248.AA
AntiVir 8.2.1.236 2010.05.09 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.07 -
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 Win32:Rootkit-gen
Avast5 5.0.332.0 2010.05.09 Win32:Rootkit-gen
AVG 9.0.0.787 2010.05.09 -
BitDefender 7.2 2010.05.10 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.08 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.10 Trojan.Siggen1.28028
eSafe 7.0.17.0 2010.05.09 -
eTrust-Vet 35.2.7474 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 -
F-Secure 9.0.15370.0 2010.05.10 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.09 -
GData 21 2010.05.10 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.10 Trojan.Win32.Pincav
Jiangmin 13.0.900 2010.05.09 Trojan/Pincav.ewu
Kaspersky 7.0.0.125 2010.05.09 Trojan.Win32.Pincav.zor
McAfee 5.400.0.1158 2010.05.09 PWS-Mmorpg!pa
McAfee-GW-Edition 2010.1 2010.05.09 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.09 Trojan:Win32/Malagent
NOD32 5099 2010.05.10 a variant of Win32/Kryptik.DXI
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.09 Trj/CI.A
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 High Risk Cloaked Malware
Rising 22.46.06.04 2010.05.09 Trojan.Win32.Generic.5203053E
Sophos 4.53.0 2010.05.09 Sus/UnkPack-C
Sunbelt 6283 2010.05.10 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.10 Trojan/Kryptik.dxi
TrendMicro 9.120.0.1004 2010.05.09 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 -
VBA32 3.12.12.4 2010.05.06 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.8.2306 2010.05.09 Trojan.Win32.Pincav.53248.U
VirusBuster 5.0.27.0 2010.05.09 -
 
추가 정보
File size: 53248 bytes
MD5...: ef0a929469019e21809bf2b3ca1a9be8
SHA1..: 6581aa9311056612a1a42de323e8b1d0478b4a96
SHA256: ad8a92588c3b10d0191cc8c6b1a7a979c9927f872756a6c5e2e39286741e80fd
검사 파일: 57.exe 전송 시각: 2010.05.10 00:47:04 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 Trojan.Peed!IK
AhnLab-V3 2010.05.09.00 2010.05.08 Win-Trojan/Pincav.53248.AZ
AntiVir 8.2.1.236 2010.05.09 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.07 -
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 Win32:Malware-gen
Avast5 5.0.332.0 2010.05.09 Win32:Malware-gen
AVG 9.0.0.787 2010.05.09 Generic17.BVCK
BitDefender 7.2 2010.05.10 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.08 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.10 -
eSafe 7.0.17.0 2010.05.09 -
eTrust-Vet 35.2.7474 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 -
F-Secure 9.0.15370.0 2010.05.10 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.09 -
GData 21 2010.05.10 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.10 Trojan.Peed
Jiangmin 13.0.900 2010.05.09 Trojan/Pincav.ewu
Kaspersky 7.0.0.125 2010.05.09 Trojan.Win32.Pincav.zph
McAfee 5.400.0.1158 2010.05.09 PWS-Mmorpg!pa
McAfee-GW-Edition 2010.1 2010.05.09 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.09 Trojan:Win32/Malagent
NOD32 5099 2010.05.10 a variant of Win32/Kryptik.DXI
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.09 Trj/CI.A
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 High Risk Cloaked Malware
Rising 22.46.06.04 2010.05.09 Trojan.Win32.Generic.520303BB
Sophos 4.53.0 2010.05.09 Sus/UnkPack-C
Sunbelt 6283 2010.05.10 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.10 -
TrendMicro 9.120.0.1004 2010.05.09 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 -
VBA32 3.12.12.4 2010.05.06 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.8.2306 2010.05.09 Trojan.Win32.Pincav.53248.W
VirusBuster 5.0.27.0 2010.05.09 -
 
추가 정보
File size: 53248 bytes
MD5...: 03cf9da736a31756cca52595788a4396
SHA1..: 496889dcca7e74de7a936b7287dd3d60ad9d6c8d
SHA256: 675ecc107bf056e259f9585236fdbbc7e9ed3d05e9873405e571599c5f66c425
검사 파일: data.exe 전송 시각: 2010.05.10 00:49:34 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 -
AhnLab-V3 2010.05.09.00 2010.05.08 -
AntiVir 8.2.1.236 2010.05.09 -
Antiy-AVL 2.0.3.7 2010.05.07 -
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 -
Avast5 5.0.332.0 2010.05.09 -
AVG 9.0.0.787 2010.05.09 -
BitDefender 7.2 2010.05.10 -
CAT-QuickHeal 10.00 2010.05.08 -
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 -
DrWeb 5.0.2.03300 2010.05.10 -
eSafe 7.0.17.0 2010.05.09 -
eTrust-Vet 35.2.7474 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 -
F-Secure 9.0.15370.0 2010.05.10 -
Fortinet 4.1.133.0 2010.05.09 -
GData 21 2010.05.10 -
Ikarus T3.1.1.84.0 2010.05.10 -
Jiangmin 13.0.900 2010.05.09 -
Kaspersky 7.0.0.125 2010.05.09 -
McAfee 5.400.0.1158 2010.05.09 -
McAfee-GW-Edition 2010.1 2010.05.09 -
Microsoft 1.5703 2010.05.09 -
NOD32 5099 2010.05.10 -
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 -
Panda 10.0.2.7 2010.05.09 -
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 -
Rising 22.46.06.04 2010.05.09 -
Sophos 4.53.0 2010.05.09 -
Sunbelt 6283 2010.05.10 -
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.10 -
TrendMicro 9.120.0.1004 2010.05.09 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 -
VBA32 3.12.12.4 2010.05.06 -
ViRobot 2010.5.8.2306 2010.05.09 -
VirusBuster 5.0.27.0 2010.05.09 -
 
추가 정보
File size: 20992 bytes
MD5...: 81b9fb99a58f0e41f1d6c8784dc04397
SHA1..: cd7e5e3b06bdc35e139e307eed89a9f755105997
SHA256: 9df598a6cac3057c277f27e1f02b25b11c4ca648257ab1d182f8266f15a82bf6
검사 파일: DATA.EXE_xor 전송 시각: 2010.05.10 00:50:26 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 -
AhnLab-V3 2010.05.09.00 2010.05.08 ASD.Prevention
AntiVir 8.2.1.236 2010.05.09 TR/Vilsel.acwl.7
Antiy-AVL 2.0.3.7 2010.05.07 -
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 Win32:Rootkit-gen
Avast5 5.0.332.0 2010.05.09 Win32:Rootkit-gen
AVG 9.0.0.787 2010.05.09 Win32/PEPatch.BM
BitDefender 7.2 2010.05.10 Generic.Malware.FBg.E55EA39E
CAT-QuickHeal 10.00 2010.05.08 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.10 Trojan.PWS.Wsgame.origin
eSafe 7.0.17.0 2010.05.09 Suspicious File
eTrust-Vet None 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 -
F-Secure 9.0.15370.0 2010.05.10 Generic.Malware.FBg.E55EA39E
Fortinet 4.1.133.0 2010.05.09 W32/Vilsel.ACWL!tr
GData 21 2010.05.10 Win32:Rootkit-gen
Ikarus T3.1.1.84.0 2010.05.10 -
Jiangmin 13.0.900 2010.05.09 Trojan/Vilsel.gqc
Kaspersky 7.0.0.125 2010.05.09 Trojan.Win32.Vilsel.acwl
McAfee 5.400.0.1158 2010.05.09 Suspect-02!3EA6444D45E6
McAfee-GW-Edition 2010.1 2010.05.09 Artemis!3EA6444D45E6
Microsoft 1.5703 2010.05.09 Trojan:Win32/Meredrop
NOD32 5099 2010.05.10 probably a variant of Win32/PSW.OnLineGames.OUF
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 -
Panda 10.0.2.7 2010.05.09 W32/Spamta.QO.worm
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 -
Rising 22.46.06.04 2010.05.09 -
Sophos 4.53.0 2010.05.09 -
Sunbelt 6283 2010.05.10 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.10 -
TrendMicro 9.120.0.1004 2010.05.09 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 -
VBA32 3.12.12.4 2010.05.06 Malware-Cryptor.Win32.Krap
ViRobot 2010.5.8.2306 2010.05.09 -
VirusBuster 5.0.27.0 2010.05.09 -
 
추가 정보
File size: 20992 bytes
MD5...: 3ea6444d45e625c2c03887850257a54b
SHA1..: c273744e80632b3f7133a0dca417e99c7bca9f4e
SHA256: c9481aee4d3a87634284f2af34728dab5737b71a1f518dd1aea0a282e2f3d1ef
검사 파일: test.exe 전송 시각: 2010.05.10 00:49:41 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 Trojan.Peed!IK
AhnLab-V3 2010.05.09.00 2010.05.08 Malware/Win32.Heur.h4
AntiVir 8.2.1.236 2010.05.09 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.07 -
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 -
Avast5 5.0.332.0 2010.05.09 -
AVG 9.0.0.787 2010.05.09 -
BitDefender 7.2 2010.05.10 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.08 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 -
DrWeb 5.0.2.03300 2010.05.10 Trojan.Siggen1.28134
eSafe 7.0.17.0 2010.05.09 -
eTrust-Vet 35.2.7474 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 -
F-Secure 9.0.15370.0 2010.05.10 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.09 -
GData 21 2010.05.10 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.10 Trojan.Peed
Jiangmin 13.0.900 2010.05.09 -
Kaspersky 7.0.0.125 2010.05.09 Trojan.Win32.Pincav.zqo
McAfee 5.400.0.1158 2010.05.09 -
McAfee-GW-Edition 2010.1 2010.05.09 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.09 Trojan:Win32/Malagent
NOD32 5099 2010.05.10 a variant of Win32/Kryptik.DXI
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.09 Trj/CI.A
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 High Risk Cloaked Malware
Rising 22.46.06.04 2010.05.09 Trojan.Win32.Generic.52031ABB
Sophos 4.53.0 2010.05.09 Sus/UnkPack-C
Sunbelt 6283 2010.05.10 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.10 -
TrendMicro 9.120.0.1004 2010.05.09 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 -
VBA32 3.12.12.4 2010.05.06 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.8.2306 2010.05.09 -
VirusBuster 5.0.27.0 2010.05.09 -
 
추가 정보
File size: 52736 bytes
MD5...: 59fa3bd14812eeb10fb978a16d01614b
SHA1..: cd60891c7b11534c264a1378d4ac5d660b732b82
SHA256: 73e0a9a30910bb47e5c9b44964fc6b73a3f5688c54a4ef0e03020721dbafea61

 

모든샘플은 안철수연구소와 이스트 소프트에 신고합니다.

 

[안철수연구소]

1 rl.jpg ~> 분석중
2 exam.asp ~> 분석중
3 ytl.jpg ~> 분석중
4 yt1.jpg ~> 분석중
5 data.exe ~> 분석중 
6 css.htm ~> 분석중
7 time.js ~> 분석중
8 test.exe ~> 분석중
9 NACookieManage.aspx ~> 분석중
10 57.exe ~> V3 : Win-Trojan/Pincav.53248.AZ(추가 : 2010.05.09.00)
11 box.exe ~>V3 : Win-Trojan/Magania.53248.AA(추가 : 2010.05.07.07) 
12 isa.exe ~> V3 : Win-Trojan/Pincav.54784.U(추가 : 2010.05.01.00)
13 lib.asp ~> V3 : JS/Downloader(추가 : 2010.04.23.02)
14 time.asp ~> V3 : JS/Agent(추가 : 2010.04.19.02)

 [이스트 소프트]

오늘 DB에 추가 할 예정!

자세한정보 : http://cafe.naver.com/malzero/56184

댓글을 달아 주세요