posted by Kwan's 2010. 7. 12. 12:58

1. 사이트 !!

큐x텔 : http://www.cxxxxtel.com/html

보안xx : http://www.bxxx.com

세x즌 : http://www.cxxxzen.com

한국 x xxx 협회 : http://www.x-xxxrts.or.kr

게xx임 : http://www.gaxxxxme.co.kr/main.asp

플xx 3x5 : http://fxxxx3x5.korea.com

메xx서울 : http://www.mxxxxseoul.co.kr

2. 유포지 !!

큐x텔 : http://1xx.4x.1x9.2xx/css/Lib.asp

보안xx : http://58xxx.com/js.js
            http://58xxx.com/ad.htm
            http://58xxx.com/top.jpg ~> 최종파일 다운 !!
            http://58xxx.com/cook.jpg
            http://58xxx.com/cook1.jpg
            http://58xxx.com/root.jpg

세x즌 : http://study.xxxx.or.kr/comm/hong/x.jpg
          http://study.xxxx.or.kr/comm/hong/a.jpg ~> 최종파일 다운 !!
          http://study.xxxx.or.kr/comm/hong/b.jpg
          http://study.xxxx.or.kr/comm/hong/c.jpg
          http://study.xxxx.or.kr/comm/hong/d.jpg
          http://study.xxxx.or.kr/comm/hong/i7.htm ~> 최종파일 다운 !!

한국 x xxx 협회 : http://1xx.4x.1x0.1xx/poll/k.asp

게xx임 : http://37xxx.com/0709.htm

플xx 3x5 : http://image.cixxxx.com/cixx21/xxxicle/2xxx/1231/K0000002_iel48406.html?컵켱 ~> 최종파일 다운 !!
              http://image.cixxxx.com/cixx21/xxxicle/2004/1231/K0000002_cul48407.html?耭쯩딩 ~> 최종파일 다운 !!

메xx서울 : http://ac.gexxxr.com/x/time.asp

3. 기타 사이트 !!

1. http://gft54577.xxxx.org:xx77/m/index.html ~>  http://gft54577.3xx2.org:6677/x/index.html 변조!!

2. http://cxx2.xxxx.org:88/xo/xi05.htm ~> http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK

4. 최종파일 !!

Lip.asp , k.asp :  http://61.1X0.1.XX/css/isa.exe 

top.jpg : http://58XXX.com/tt.exe 

a.jpg , i7.htm : http://www.gXXXc.or.kr/html/gg.exe

0709.htm : http://XXXc1.com/0709.exe ~> XOR 변형 필요 !!

K0000002_iel48406.html?컵켱 : http://2X2.2XX.XX.243/db/update/update.exe ~> XOR 변형 필요 !!

timp.asp : http://www.roXXX1X4.com/cXXX/hXXp/box.exe

index.html : http://XXsifyanfka700.XXXX.org:6677/m/mtv.mdb

xi05.htm : http://XXX.ses99s.cn:XX/x5.exe

5. 바이러스 토탈 결과 !!

Lip.asp , k.asp : http://www.virustotal.com/ko/analisis/1d373a0cd0b239795370655695fb7db3138ab1aa1a4cb4df676f72150d82a7b9-1278904755

ad.htm : http://www.virustotal.com/ko/analisis/6f4fc46e4dfd66395a4409854deca6226171a11cb6aae462339cab8574dcad75-1278904740

top.jpg : http://www.virustotal.com/ko/analisis/a8e7a5591fc7214c80975a9cfd174891e7b96611d4da26fde330301417528fc8-1278905008

cook.jpg : http://www.virustotal.com/ko/analisis/4f6408d2b48a2ba706c6cbe16c8c849c3d296d199f9eaf3a851cf819912b13f0-1278904996

cook1.jpg : http://www.virustotal.com/ko/analisis/13ce3060a82619b76c430af3251d2b138eea57e84737da8f824cc365526625b3-1278904999

root.jpg : http://www.virustotal.com/ko/analisis/25e775d8df15348f9ddb19ef609dc890f1e88ed12f04731cd4d8120371d66128-1278905144

a.jpg : http://www.virustotal.com/ko/analisis/a0a69a87e30528c203f8382fbbc751426c31e22ebadf66e9b93dab94e0f0b79d-1278905114

i7.htm : http://www.virustotal.com/ko/analisis/85488952cfa5042ab6a4b6f06802dfaae9ae2632ad0c485104133211f0645629-1278905148

0709.htm : http://www.virustotal.com/ko/analisis/f339328556c643365d11206bd198f19193db8ecee8cc22d6a647bd013a4f0595-1278905215

K0000002_iel48406.html : http://www.virustotal.com/ko/analisis/daff099b6b326c61521be93fa3727057fed1b080ce088ca3e7a24cbed27ef7a4-1278905223

xi05.htm : http://www.virustotal.com/ko/analisis/ed4989eda720d6fef0536965de85aa27498773f7c3f5827f13583c64e987c868-1278905452

isa.exe : http://www.virustotal.com/ko/analisis/4a683f1f89684278d25be8ed9531400755fc057cb69b07c9fcdca82b928abb29-1278905459

tt.exe : http://www.virustotal.com/ko/analisis/d1c6030f80ad761f316b999eac1b6eff801124f37b2ba352daf97bb752e051f9-1278905516

0709.exe : http://www.virustotal.com/ko/analisis/05d8b59bc57cf452cb5d6713d254876c3f2e147e47f27aa3bef472a1a91e82f6-1278905551

update.exe : http://www.virustotal.com/ko/analisis/9bb63dbcc20b0611760e47b0d10399a05f0c91cb9cfd0d8b99c5c59040b50283-1278905560

box.exe : http://www.virustotal.com/ko/analisis/6d71ea5053c11ebdb76591175c3eeb92209bf20afbe146305ddeb806f9061a18-1278905591

mtv.mdb : http://www.virustotal.com/ko/analisis/962febb5db8cc602bd11890c47ed1ec102996d0339a440ef1e97e7d797dd098f-1278905742

x5.exe : http://www.virustotal.com/ko/analisis/6932cc1719b7c871feda078417349b39514a680dabe8409ddf59f07bac2e135c-1278905747

샘플신고 : 이스트 소프트 , 안철수연구소

[이스트 소프트]

샘플 전송 완료 , 빠른 시일내에 업데이트 !!

[안철수연구소]

1. 0709.exe ~> 분석중
2. 0709.htm ~> 분석중
3. update.exe ~> 분석중
4. tt.exe ~> 악성
5. top.jpg ~> 악성
6. root.jpg ~> 악성
7. 3964750.js ~> 악성
8. a.jpg ~> 분석중
9. ad.htm ~> 악성
10. cc.jpg ~> 분석중
11. cook.jpg ~> 악성
12. cook1.jpg ~> 악성
13. gg.exe ~> 분석중
14. i7.htm ~> 분석중
15. isa.exe ~> 분석중
16. K0000002_iel48406.html ~> 분석중
17. x5.exe ~> V3 : Packed/Upack
18. box.exe ~> V3 : Win-Trojan/Magania.55296.N(추가 : 2010.07.09.05)
19. xi05.htm ~> V3 : HTML/Agent(추가 : 2010.07.09.00)
20. mtv.mdb ~> V3 : Win-Trojan/Downloader.43388(추가 : 2010.07.08.00)
21. k.asp ~> V3 : JS/Downloader(추가 : 2010.04.23.02)
 

이번주는 약간의 모니터한 보람이 있네요. 이제는 거의 제가 모아놓은 유포지 메모장이 있으니 대부분
쉽게 찾을수 있네요 !! 아직까지 그렇게 많이 찾은것은 아니지만 !! 나중에 군대가기전에 공유를 하고 가야겠어요!검색할필요도 없고 나름 저에게는 편한거 같네요!!그래도 많이 부족하니 많은 도움을 주세요!!!이번 한주도 즐겁고 편안하게 보내세요!!!

이번주 도와 주신분 : 없음 !!

[ 이전글 ]

[security/악성코드 유포] - 보안xx 현재 악성코드 유포중 !!
[security/악성코드 유포] - 휴대폰 통신사 큐x텔 악성 스크립트 삽입 !!
[security/악성코드 유포] - http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK
[security/악성코드 유포] - http://gft54577.3xx2.org:6677/x/index.html 변조!!
[security/악성코드 유포] - TR/Bagle.trash (AntiVir) !!
[security/악성코드 유포] - http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK

댓글을 달아 주세요

  1. Kwan's 2010.07.12 17:58 신고  Addr  Edit/Del  Reply

    1 x5.exe ~> V3 : Packed/Upack
    2 update.exexx ~> V3 : Win-Trojan/Onlinegamehack.55296.I(추가 : 2010.07.12.00)
    3 0709.exexx ~> V3 : Win-Trojan/Buzus.81920.DT(추가 : 2010.07.12.00)
    4 tt.exe ~> V3 : Win-Trojan/Onlinegamehack.81920.AZ(추가 : 2010.07.12.00)
    5 top.jpg ~> V3 : JS/Exploit(추가 : 2010.07.12.00)
    6 root.jpg ~> V3 : JS/Agent(추가 : 2010.07.12.00)
    7 K0000002_iel48406.html ~> V3 : JS/Exploit(추가 : 2010.07.12.00)
    8 isa.exe ~> V3 : Win-Trojan/Agent.55296.IE(추가 : 2010.07.12.00)
    9 gg.exe ~> V3 : Win-Trojan/Buzus.120320.Y(추가 : 2010.07.12.00)
    10 3964750.js ~> V3 : JS/Downloader(추가 : 2010.07.12.00)
    11 a.jpg ~> V3 : JS/Agent(추가 : 2010.07.12.00)
    12 ad.htm ~> V3 : JS/Exploit(추가 : 2010.07.12.00)
    13 cook.jpg ~> V3 : JS/Agent(추가 : 2010.07.12.00)
    14 cook1.jpg ~> V3 : JS/Agent(추가 : 2010.07.12.00)
    15 box.exe ~> V3 : Win-Trojan/Magania.55296.N(추가 : 2010.07.09.05)
    16 xi05.htm ~> V3 : HTML/Agent(추가 : 2010.07.09.00)
    17 mtv.mdb ~> V3 : Win-Trojan/Downloader.43388(추가 : 2010.07.08.00)
    18 k.asp ~> V3 : JS/Downloader(추가 : 2010.04.23.02)
    19 cc.jpg ~> 정상
    20 i7.htm ~> 정상
    21 0709.htm ~> 정상

posted by Kwan's 2010. 7. 7. 11:46

http://gft54577.3xx2.org:6677/x/index.html 이것이 변조 된것을 오늘 찾았다.
따로 출력하는 문구가 필요없이 누구나 툴로 이용한다면 쉽게 나올수 있는 코드였다.

사이트에서 연결되는 곳은

http://gft54577.3xx2.org:6677/x/http://js.tongji.xxnezing.com/1759886/tongji.js
http://gft54577.3xx2.org:6677/x/http://www.xxnezing.com
http://gft54577.3xx2.org:6677/x/http://img.tongji.xxnezing.com/1759886/tongji.gif
http://gft54577.3xx2.org:6677/x/pps.js

이렇게 연결 되지만 별달리 찾을 점은 존재하지 않았다 !!

%u5858%u5858%u10EB%u4B5B%uC'+'933%uB96'+'6%u03B8%u34'+'80%uBD0B%uFA'+'E2%u05E'+'B%uEBE8%uFFFF%u54FF (중략) %u8adc%u8d8d%u8e93%u8f8e%u938f%ucfd2%u87da%u8b8b%u8a8a%ud092%ud092%ucbc9%ud093%udfd9%ubdbd%uEAEA%uEAEA%uEAEA%uEAEA

이런식으로 되어 있으며 '+' 만 제거한다면 간단히 최종파일 까지 나올수 있다.

최종위치 : http://adsifyanfka700.3xx2.org:6677/x/mtv.mdb
파일명만 mdb인거 같고 하는건 exe 인거 같다 !!

[바이러스 토탈]

검사 파일: mtv.mdb 전송 시각: 2010.07.07 08:25:52 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.31 2010.07.07 Packed.Win32.Klone!IK
AhnLab-V3 2010.07.07.00 2010.07.06 -
AntiVir 8.2.4.10 2010.07.07 HEUR/Crypted
Antiy-AVL 2.0.3.7 2010.07.07 -
Authentium 5.2.0.5 2010.07.07 W32/OnlineGames!Generic
Avast 4.8.1351.0 2010.07.06 -
Avast5 5.0.332.0 2010.07.06 -
AVG 9.0.0.836 2010.07.06 Win32/Heur
BitDefender 7.2 2010.07.07 Trojan.Generic.4378362
CAT-QuickHeal 11.00 2010.06.30 Win32.PWS.Frethog.AJ.3
ClamAV 0.96.0.3-git 2010.07.07 -
Comodo 5346 2010.07.07 Heur.Pck.NsPacK
DrWeb 5.0.2.03300 2010.07.07 -
eSafe 7.0.17.0 2010.07.06 Suspicious File
eTrust-Vet 36.1.7690 2010.07.07 -
F-Prot 4.6.1.107 2010.07.07 W32/OnlineGames!Generic
F-Secure 9.0.15370.0 2010.07.07 Suspicious:W32/Malware!Gemini
Fortinet 4.1.133.0 2010.07.04 -
GData 21 2010.07.07 Trojan.Generic.4378362
Ikarus T3.1.1.84.0 2010.07.07 Packed.Win32.Klone
Jiangmin 13.0.900 2010.07.07 Trojan/Generic.adej
Kaspersky 7.0.0.125 2010.07.07 Trojan-Downloader.Win32.Geral.vps
McAfee 5.400.0.1158 2010.07.07 New Malware.u
McAfee-GW-Edition 2010.1 2010.07.05 Heuristic.LooksLike.Win32.Suspicious.C
Microsoft 1.5902 2010.07.06 VirTool:WinNT/Rootkitdrv.LH
NOD32 5258 2010.07.07 -
Norman 6.05.11 2010.07.06 W32/Packed_NsPack.I
nProtect 2010-07-06.01 2010.07.07 -
Panda 10.0.2.7 2010.07.06 Suspicious file
PCTools 7.0.3.5 2010.07.07 HeurEngine.ZeroDayThreat
Prevx 3.0 2010.07.07 Medium Risk Malware
Rising 22.55.02.04 2010.07.07 Trojan.Win32.Generic.521CB05F
Sophos 4.54.0 2010.07.07 Mal/Packer
Sunbelt 6554 2010.07.07 Packer.NSAnti.Gen (v)
Symantec 20101.1.0.89 2010.07.07 Suspicious.Graybird.1
TheHacker 6.5.2.1.309 2010.07.06 W32/Behav-Heuristic-067
TrendMicro 9.120.0.1004 2010.07.07 PAK_Generic.005
TrendMicro-HouseCall 9.120.0.1004 2010.07.07 -
VBA32 3.12.12.5 2010.07.05 -
ViRobot 2010.6.29.3912 2010.07.07 Trojan.Win32.Amvo.Gen
VirusBuster 5.0.27.0 2010.07.06 Packed/NSPack
 
추가 정보
File size: 43388 bytes
MD5...: 0adddb768a57f486dffb78b038a07146
SHA1..: 9cbf15b8e31040ca4ff8f25bd4a9056965aa9162
SHA256: 962febb5db8cc602bd11890c47ed1ec102996d0339a440ef1e97e7d797dd098f
ssdeep: 768:HQ2lS8lybE5DlWgP2uZ41LuL4YY1P2RKrrSBKSqsnJeKFi9QR5zx4+Ds:w2f
Q45D0uZ4dOEP2RK6BiiL4N
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x23207
timedatestamp.....: 0x4c332196 (Tue Jul 06 12:29:10 2010)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.nsp0 0x1000 0x22000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.nsp1 0x23000 0xb000 0xa57c 7.98 b2b2f5849d1bf7e253a99d64ed83a57d
.nsp2 0x2e000 0x8d4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 4 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> USER32.DLL: ShowWindow
> ADVAPI32.DLL: LookupPrivilegeValueA
> SETUPAPI.DLL: SetupDiGetINFClassA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=150CFE0D7C959B6FA9DA00AB3F2EE5008975D27C' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=150CFE0D7C959B6FA9DA00AB3F2EE5008975D27C</a>
packers (F-Prot): NSPack, PE_Patch
packers (Authentium): NSPack, PE_Patch

댓글을 달아 주세요

  1. 안녕하세요. 2012.02.12 21:41  Addr  Edit/Del  Reply

    %u5858%u5858%u10EB%u4B5B%uC933%uB966%u03B8 .... 이 소스에서
    어떻게 http://adsifyanfka700.3xx2.org:6667/x/mtv.mdb 가 나왔는지 궁금합니다. 어떤 툴이나 작업을 하셨는지 조언 부탁 드릴께요. 저도 malzilla 를 이용해서 분석 할려고 하는데 어떤 특정 주소가 나오지 않네요. 분석할때 '+'는 제거 하고 돌렸습니다. 간단한 답변이라도 부탁드리겠습니다.