블로그 이미지
쿠들릭
전자기기 사용기와 함께 악성코드 관련글과 일상을 업로드 하는 블로그 입니다.^^

calendar

      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

Notice

'악성코드분석'에 해당되는 글 48

  1. 2014.08.05 스팸메일 악성코드 Payment.doc(2)
  2. 2014.01.19 피파온라인3 이적시장 매크로를 사칭한 악성코드 주의!!(1)
  3. 2013.07.16 m.v9.com 사이트가 계속 접속될 경우 해결법(Android)
  4. 2012.07.27 소비자가 만드는 신문 배포중...
  5. 2012.01.07 안드로이드 마켓 악성 앱 유포!! (New Year Live Wallpaper-5.apk)
  6. 2011.11.13 개소문 닷컴 유포중...(2)
  7. 2011.10.05 iPhone5 중계를 가장한 Daum팟 플레이어 위장 악성코드 (rfmon.exe)(3)
  8. 2011.09.12 팔레보웜 [P2P-Worm.Win32.Palevo.doqc]
  9. 2011.08.29 VBS 바이러스 메모장 코드 복사 테스트
  10. 2011.08.27 옐로우 캡 택배 유포중
  11. 2011.08.20 여러 웹하드,뉴스,게임사이트에서 배포중...
  12. 2011.08.06 주말 웹하드 악성코드의 conf.gif 변종!(6)
  13. 2011.08.06 Q다운 웹하드 유포중
  14. 2011.07.29 네이트 해킹 악성코드 분석...
  15. 2011.07.22 K디스크 파일유포(5)
  16. 2011.07.17 씨네X울 배포중!
  17. 2011.07.09 네이트온 악성코드 bsid.css 유포중!(2)
  18. 2011.07.02 오X기 P.exe 배포중! (2011.7.2)
  19. 2011.06.26 네이트온 악성코드 유포중 Dropper/Win32.OnlineGameHack (xzasd.css) 2011.6.26
  20. 2011.06.25 주말 유포지 E.exe 주의! (2011.6.25)
  21. 2011.06.19 주말유포지 H.exe 주의! (Dropper/Win32.OnlineGameHack)
  22. 2011.06.12 여러 웹하드 및 각종 유포지 scvhost.exe 주의!(2)
  23. 2011.06.08 Trojan-Dropper.Win32.Agent.exkk 外 4종
  24. 2011.06.05 네이트온 악성코드 (2011.6.5) naie.css 배포중!
  25. 2011.05.14 네이트온 악성코드 krbbb.exe (2011.5.14)
  26. 2011.05.14 현재 많은 뉴스사이트와 웹하드 사이트에서 취약점을 노린 악성코드 유포중...
  27. 2011.05.09 네이트온 악성코드 2011.5.9 (gasoe.exe)(2)
  28. 2011.05.07 판X라 TV 유포中
  29. 2011.05.03 폴X뉴스 유포중...
  30. 2011.04.25 올림X스 유포 (2011.4.25)
2014. 8. 5. 02:18 악성코드분석

오래간만에 웬일로 악성코드 스팸메일이 왔더군요. 악성코드의 이름은 Payment.doc

Microsoft Office Word의 자동매크로 실행 취약점을 통한 개인과 중소기업을 노린 전형적인 스팸 메일 악성코드 입니다.

매크로로 감염되는 악성코드여서 직접 클릭만 안하신다면 괜찮습니다.


자세한 전문은 http://myonlinesecurity.co.uk/irs-notification-fiscal-activity-71363-word-doc-malware/ 을 확인하세요.


원본 doc(Payment.doc) 파일의 바이러스 토탈 검사 결과는

https://www.virustotal.com/ko/file/356f98b0a0487c4c67262b669383e3509eb1097f22566840bae5cd2659797b2e/analysis/1407169608/


최종 실행 파일(u.exe)의 바이러스 토탈 검사 결과는 

https://www.virustotal.com/ko/file/f8f8d2f942894e06935bec27d20fe20c9646d69920ccb97cfcca4402c0aafb3b/analysis/1407170985/

입니다. 


해당 악성코드는 국내 백신으로는 V3,알약으로 치료할수 있고 해외 백신으로는 Avira, 카스퍼스키, 비트디펜더등으로 치료 가능합니다.



해당 악성코드는 계정정보가 바뀌어 그에 대한 정보를 읽으라는 말이 적혀있어 궁금증을 유발시켜

 보다시피 위의 Payment.doc이란 파일을

유저들이 직접 실행시키게 하는 방식입니다.  




내부 문서를 직접 실행 시켜보면 

"On the Edit menu, click Select ALL (or press Ctrl+A), and then the complete the formatting of this document." 

라는 내용이 적혀 있습니다. 


해당 doc파일은 단순히 txt로 확장자명만 바꾸어 열어도 해당 악성코드 접속링크가 보이더군요.


최종 파일은 zbot 실행파일인 u.exe로 해당 파일에 감염되실경우 국내 백신으로도 충분히 치료 가능합니다.


위와 같은 메세지로 첨부파일에 관한 궁금증으로 현혹시키는 악성코드가 상당히 많으니 유의하시길 바랍니다.


posted by 쿠들릭

댓글을 달아 주세요

  1. 잘 보고 갑니다. 오늘도 활기찬 하루 되시길요. ^^

2014. 1. 19. 02:29 악성코드분석

최근 인기가 높아진 게임, 피파 온라인3에 관하여 부득이한 방법으로 이득을 취하기 위해 생겨진 

매크로를 이용하는 사용자가 많이 늘었는데 이를 이용하여 각 커뮤니티나 카페에서 

정상파일이 아닌 악성파일을 끼워넣어 원격 조종을 이용한 계정 탈취를 노린 악성코드가 발생하였습니다.


완성된 날짜는 14.01.19. PM 3시쯤으로 만들어진지 별로 안된 파일입니다.


해당 샘플에 관한 현재 백신 탐지율은 31/48로 대다수 백신에서 탐지하고 있는 실정입니다.


https://www.virustotal.com/ko/file/e8602f2db95a1746c20c572d13ab87da27809dbb0e0f0fea7b058e36eb08aba3/analysis/ <해당 악성코드 탐지 현황 링크>


※우리나라에 잘 알려진 백신으로는 V3, 알약, Avast, Avira, 카스퍼스키, nProtect으로 탐지및 치료 가능합니다.


해당파일을 실행시 netsh.exe라는 파일을 외부로부터 불러와 svhost.exe라는 이름을 가진 파일을 프로세스상에 상주시킵니다.

svhost.exe라는 파일은 MD5값이 be43ed7d7767f6a1b4174728f3e114ee 으로 원본실행파일과 값이 같고 단지 이름만 다르게 바뀌기만 할뿐입니다. 


좀 더 자세히 분석하기 위해 직접 실행해보았습니다.





위와 같이 svhost.exe라는 이름으로 실행되는데 

대부분의 악성코드가 사용하는 교묘한 이름쓰기 수법을 이용하여 

svchost.exe라는 정상파일을 위장하여 만든 악성코드임을 알 수 있습니다.




해당 파일에 관한 정보입니다. 

주 드라이브에 ProgramData라는 폴더 안에 생성됩니다.

특별히 적혀있는 Build, Version이나 Company명이 없는것으로 보아


단순 아마추어 개인제작자가 만든 것 또는 

마치 예를 들자면 Zeus Tool같은 악성코드 생성기를 이용하여 만든 악성코드일 가능성이 높습니다.






네트워크 쪽을 보시면 아시겠지만 Send Bytes, Send 시도 횟수를 보아

외부로 개인정보를 유출하는 악성코드임을 확실히 알 수 있습니다.





마지막으로 해당 악성코드의 데이터가 도착되는 중계지 IP주소입니다. 

[221.158.46.232:1212] 위 아이피는 통신사 서버와 연결되어 있기만 할 뿐, 

직접적인 거주지 같은건 전혀 알 수가 없습니다.



항상 주의하실점은 인터넷에서 검증받지 않은 파일은 반드시 백신으로 검사하시고

실행하는 것이 안전합니다. 





posted by 쿠들릭

댓글을 달아 주세요

  1. C:\Programdata\이라.... 참 꼼꼼하게 숨겨놨네요

2013. 7. 16. 02:18 악성코드분석

최근 안드로이드폰 사용자 중 

시작페이지가 m.v9.com으로 고정되는 현상이 빈번하게 일어나고 있습니다.


윈도우OS에서는 알다시피 시작페이지를 레지스트리를 강제로 수정하여 고정화시키는 Adware/Win32.Startpage같은

악성코드 수법을 사용하고 있습니다.


 이는 exe같은 실행파일이나 툴바를 잘못 설치하게 되면서 시작페이지가 고정되는 애드웨어 종류 이므로 마찬가지로 폰에서도 악성코드 apk같은 파일을 통하여 설치된것 이기 때문에 해당 어플을 직접 찾아 삭제하시면 그 증상은 사라집니다.( 직접 악성 어플을 찾기 번거로우시다면 마켓에서 직접 avast나 Dr.Web 같은 무료 모바일 백신을 돌려보십시오.)


현재까지 m.v9.com를 고정 시키는 어플로 알려져 있는 것은 런처8 어플이 존재합니다. 해당 어플이 존재하실경우 삭제하신다면 해결 되는것으로 직접 테스트 해보았습니다.

 (혹시 더 m.v9.com를 고정시키는 어플에 대해 정보를 알고 계신다면 덧글 부탁드립니다.)


그러나 굳이 런처8를 계속 사용하고 싶으시다면 런처8의 자체 런처의 인터넷 아이콘을 삭제후 다시 인터넷 아이콘을 재설치하여 배경에 옮겨 놓으면 m.v9.com 시작페이지 고정증상이 없어지기도 합니다.



<시작 페이지 재설정 및 찌꺼기 제거>

※ 혹시 어플 문제가 아니다 싶으면 해당 방법도 따라해보십시오.

    평상시에도 한번 실행해주시는게 찌꺼기를 제거하는데 큰 도움이 됩니다.




<기기는 갤럭시노트2 기준입니다. 각 회사 폰마다 설정이 다를수도 있습니다.>

posted by 쿠들릭

댓글을 달아 주세요



Java 취약점과  CVE-2010-0806 취약점을 이용합니다.
오랜만에 분석을 해서 그런지 감염경로가 확실한지는 장담못합니다만
위에 두 취약점을 사용하는 건 맞는것 같네요.
※ IE9로 Java 취약점을 통해 Java 실행창이 떠 실행할 경우 감염되는것을 확인했습니다. 

NliKum.jpg

온라인 게임 핵 파일 목록

0e442966.sys
esetepo.dll
wshtcpip.dll

posted by 쿠들릭

댓글을 달아 주세요

2012. 1. 7. 15:39 악성코드분석
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
New Year Live Wallpaper-5.apk0
Submission date:
2012-01-07 06:27:56 (UTC)
Current status:

VT Community

not reviewed
 Safety score: - 
AntivirusVersionLast UpdateResult
AhnLab-V3 2012.01.06.00 2012.01.06 -
AntiVir 7.11.20.194 2012.01.06 -
Antiy-AVL 2.0.3.7 2012.01.07 -
Avast 6.0.1289.0 2012.01.06 -
AVG 10.0.0.1190 2012.01.06 -
BitDefender 7.2 2012.01.07 -
ByteHero 1.0.0.1 2011.12.31 -
CAT-QuickHeal 12.00 2012.01.06 -
ClamAV 0.97.3.0 2012.01.06 -
Commtouch 5.3.2.6 2012.01.06 -
Comodo 11205 2012.01.07 UnclassifiedMalware
DrWeb 5.0.2.03300 2012.01.07 -
Emsisoft 5.1.0.11 2012.01.07 -
eSafe 7.0.17.0 2012.01.03 -
eTrust-Vet 37.0.9668 2012.01.06 -
F-Prot 4.6.5.141 2012.01.06 -
F-Secure 9.0.16440.0 2012.01.07 Trojan:Android/Nyearleak.A!mfb
Fortinet 4.3.388.0 2012.01.07 -
GData 22 2012.01.07 -
Ikarus T3.1.1.109.0 2012.01.07 -
Jiangmin 13.0.900 2012.01.06 -
K7AntiVirus 9.123.5881 2012.01.06 -
Kaspersky 9.0.0.837 2012.01.07 -
McAfee 5.400.0.1158 2012.01.07 -
McAfee-GW-Edition 2010.1E 2012.01.07 -
Microsoft 1.7903 2012.01.07 -
NOD32 6773 2012.01.07 a variant of Android/Plankton.A
Norman 6.07.13 2012.01.06 -
nProtect 2012-01-06.01 2012.01.06 -
Panda 10.0.3.5 2012.01.06 -
PCTools 8.0.0.5 2012.01.07 -
Prevx 3.0 2012.01.07 -
Rising 23.91.04.02 2012.01.06 -
Sophos 4.73.0 2012.01.07 -
SUPERAntiSpyware 4.40.0.1006 2012.01.07 -
Symantec 20111.2.0.82 2012.01.07 -
TheHacker 6.7.0.1.373 2012.01.06 -
TrendMicro 9.500.0.1008 2012.01.07 -
TrendMicro-HouseCall 9.500.0.1008 2012.01.07 -
VBA32 3.12.16.4 2012.01.06 -
VIPRE 11363 2012.01.07 -
ViRobot 2012.1.7.4868 2012.01.07 -
VirusBuster 14.1.154.0 2012.01.06 -
Additional information
MD5   : c4ac2500cba52d9ca85a60d8cd89ed96
SHA1  : 197a0c9d9ac22f89caececc41b89ea8d5c0f212a
SHA256: 2bac4f7dd6eb50182ae3429f792bf403b60f31c920cf28c9abdd58812f1f4331



안드로이드의 개방성의 어두운 점을 잘 보여주는 군요.  
지금은 마켓에서 삭제되었습니다. 
posted by 쿠들릭

댓글을 달아 주세요


IE 취약점과  Adobe Flash 취약점을 통해 유포중입니다.
마지막으로 배포되는 lolo.css 최종파일은 실제로는 exe파일이며 온라인게임핵 역할을 합니다. (Malware/Win32.Generic)해당 사이트는 매주 유포하므로 주말에는 안들어가시는게 좋습니다. 
※오랜만에 유포글 써보네요...
posted by 쿠들릭

댓글을 달아 주세요

  1. Kwan 2012.01.29 16:44  Addr Edit/Del Reply

    잘 보고 갑니다 : )
    역쉬 능력자 !

http://www.enxxxast.com/apple/appletv.htm
현재 아이폰5를 중계하는 사이트에서 Daum팟를 위장한 ActiveX 악성코드를 배포하고 있습니다.
많은 백신에서 미탐지이고 차후에 해당 악성코드가 웹에서 새로운 악성코드를 다운로드를 할수 있으므로 해당사이트에 어쩔수 없이 들어갈때는 ActiveX를 절대 설치하시면 안됩니다.
※경로는 C:\WINDOWS\system32\rfmon.exe 입니다.  
PS.저도 지금 설치했다가 피봤네요;
posted by 쿠들릭

댓글을 달아 주세요

  1. 철이 2011.10.05 16:47  Addr Edit/Del Reply

    이거 유포당시 ASD에서 잡고있었나요 ^^;

  2. 철이 2011.10.06 16:41  Addr Edit/Del Reply

    놀랍군요 하우리가 선제진단을 하고 있었다니요 ㅎ;

2011. 9. 12. 02:33 악성코드분석
오랜만에 글을 써보네요.^^;
해당 악성코드는 facebook-pic00049232016.exe 로 페이스북과 관련있는척 하는 팔레보 웜입니다.

http://camas.comodo.com/cgi-bin/submit?file=8840a31dceb0b7eb3b2a9b84ebc57216a9416f97116aec9357f48a78b5ed364d
한눈에 척 봐도 악성코드가 하는짓 이라는것을 알수가 있습니다.
원본파일 http://www.virustotal.com/file-scan/report.html?id=8840a31dceb0b7eb3b2a9b84ebc57216a9416f97116aec9357f48a78b5ed364d-1315761380

생성파일 http://www.virustotal.com/file-scan/report.html?id=e94c6ab4c3cddc905fc9f36205422eddff9e24badd0e200f6789a40862603a64-1315761629
PS.카스퍼스키의 빠른 업데이트 선방과 안랩의 ASD의 능력이 돋보이네요;;
아무쪼록 추석 잘보내시기 바랍니다~! 
posted by 쿠들릭

댓글을 달아 주세요

2011. 8. 29. 01:50 악성코드분석
우연찮게 발견한 사실입니다. 단지 단순히 코드를 메모장으로 복사해 MD5값만 달라졌을뿐인데 V3와 Comodo에서는 미진단 됩니다. 아마 다른백신은 메모장에 있는 코드를 분석하는 반면 안랩같은 경우 1:1 방식의 파일 자체 진단으로 잡아내는것 같습니다.
코드를 진단할수 있는 새로운 Generic진단을 추가해야할듯 싶네요.
원본
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
.vbs
Submission date:
2011-08-28 16:28:42 (UTC)
Current status:

VT Community

not reviewed
 Safety score: - 
AntivirusVersionLast UpdateResult
AhnLab-V3 2011.08.27.01 2011.08.28 VBS/Radier
AntiVir 7.11.14.0 2011.08.26 VBS/Autorun.AL
Antiy-AVL 2.0.3.7 2011.08.28 -
Avast 4.8.1351.0 2011.08.28 VBS:Agent-BD [Trj]
Avast5 5.0.677.0 2011.08.28 VBS:Agent-BD [Trj]
AVG 10.0.0.1190 2011.08.28 VBS/Worm.G
BitDefender 7.2 2011.08.28 VBS.Worm.Runauto.D
ByteHero 1.0.0.1 2011.08.22 -
CAT-QuickHeal 11.00 2011.08.28 VBS/Autorun.S
ClamAV 0.97.0.0 2011.08.28 VBS.Autorun-21
Commtouch 5.3.2.6 2011.08.27 VBS/Agent.F
Comodo 9901 2011.08.28 UnclassifiedMalware
DrWeb 5.0.2.03300 2011.08.28 VBS.Siggen.7356
Emsisoft 5.1.0.10 2011.08.28 Virus.VBS.Agent.ah!IK
eSafe 7.0.17.0 2011.08.28 -
eTrust-Vet 36.1.8525 2011.08.26 -
F-Prot 4.6.2.117 2011.08.27 VBS/Agent.F
F-Secure 9.0.16440.0 2011.08.28 VBS.Worm.Runauto.D
Fortinet 4.2.257.0 2011.08.27 -
GData 22 2011.08.28 VBS.Worm.Runauto.D
Ikarus T3.1.1.107.0 2011.08.28 Virus.VBS.Agent.ah
Jiangmin 13.0.900 2011.08.28 I-Worm/VBS.Solow.h
K7AntiVirus 9.111.5060 2011.08.26 Trojan
Kaspersky 9.0.0.837 2011.08.28 Trojan.VBS.Agent.go
McAfee 5.400.0.1158 2011.08.28 VBS/Autorun.worm.k
McAfee-GW-Edition 2010.1D 2011.08.28 VBS/Autorun.worm.k
Microsoft 1.7604 2011.08.28 Worm:VBS/Radier.B
NOD32 6418 2011.08.28 VBS/Naiad.L
Norman 6.07.10 2011.08.27 VBS/AutoRun.G
nProtect 2011-08-28.01 2011.08.28 VBS.Worm.Runauto.D
Panda 10.0.3.5 2011.08.28 VBS/Autorun.KNS
PCTools 8.0.0.5 2011.08.28 Malware.VBS-Runauto!rem
Prevx 3.0 2011.08.28 -
Rising 23.72.04.03 2011.08.26 Worm.Script.VBS.Agent.aa
Sophos 4.68.0 2011.08.28 VBS/Autorun-AO
SUPERAntiSpyware 4.40.0.1006 2011.08.27 -
Symantec 20111.2.0.82 2011.08.28 VBS.Runauto
TheHacker 6.7.0.1.286 2011.08.28 -
TrendMicro 9.500.0.1008 2011.08.25 -
TrendMicro-HouseCall 9.500.0.1008 2011.08.28 -
VBA32 3.12.16.4 2011.08.26 -
VIPRE 10297 2011.08.28 Trojan.VBS.Generic (v)
ViRobot 2011.8.27.4643 2011.08.28 VBS.Autorun.55694
VirusBuster 14.0.189.0 2011.08.28 -
Additional information
MD5   : 9a28db16a3111fdffa518528395afe41
SHA1  : d72f9e9c73f27a6caee06b38a9f8138fc80f7757
SHA256: e04fc5bbf23af038e84d8f065bfea5d2b4aa17406d9c6f615c3fc97e23399837

메모장에 코드 복사 후...
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
b.vbs
Submission date:
2011-08-28 16:38:50 (UTC)
Current status:

VT Community

not reviewed
 Safety score: - 
AntivirusVersionLast UpdateResult
AhnLab-V3 2011.08.27.01 2011.08.28 -
AntiVir 7.11.14.0 2011.08.26 VBS/Autorun.AL
Antiy-AVL 2.0.3.7 2011.08.28 -
Avast 4.8.1351.0 2011.08.28 VBS:Agent-BD [Trj]
Avast5 5.0.677.0 2011.08.28 VBS:Agent-BD [Trj]
AVG 10.0.0.1190 2011.08.28 VBS/Worm.G
BitDefender 7.2 2011.08.28 VBS.Worm.Runauto.D
ByteHero 1.0.0.1 2011.08.22 -
CAT-QuickHeal 11.00 2011.08.28 VBS/Autorun.S
ClamAV 0.97.0.0 2011.08.28 VBS.Autorun-21
Commtouch 5.3.2.6 2011.08.27 VBS/Agent.F
Comodo 9901 2011.08.28 -
DrWeb 5.0.2.03300 2011.08.28 VBS.Siggen.7356
Emsisoft 5.1.0.10 2011.08.28 Virus.VBS.Agent.ah!IK
eSafe 7.0.17.0 2011.08.28 -
eTrust-Vet 36.1.8525 2011.08.26 -
F-Prot 4.6.2.117 2011.08.27 VBS/Agent.F
F-Secure 9.0.16440.0 2011.08.28 VBS.Worm.Runauto.D
Fortinet 4.2.257.0 2011.08.27 -
GData 22 2011.08.28 VBS.Worm.Runauto.D
Ikarus T3.1.1.107.0 2011.08.28 Virus.VBS.Agent.ah
Jiangmin 13.0.900 2011.08.28 I-Worm/VBS.Solow.h
K7AntiVirus 9.111.5060 2011.08.26 Trojan
Kaspersky 9.0.0.837 2011.08.28 Trojan.VBS.Agent.go
McAfee 5.400.0.1158 2011.08.28 VBS/Autorun.worm.k
McAfee-GW-Edition 2010.1D 2011.08.28 VBS/Autorun.worm.k
Microsoft 1.7604 2011.08.28 Worm:VBS/Radier.B
NOD32 6418 2011.08.28 VBS/Naiad.L
Norman 6.07.10 2011.08.27 VBS/AutoRun.G
nProtect 2011-08-28.01 2011.08.28 VBS.Worm.Runauto.D
Panda 10.0.3.5 2011.08.28 VBS/Autorun.KNS
PCTools 8.0.0.5 2011.08.28 Malware.VBS-Runauto!rem
Prevx 3.0 2011.08.28 -
Rising 23.72.04.03 2011.08.26 Worm.Script.VBS.Agent.aa
Sophos 4.68.0 2011.08.28 VBS/Autorun-AO
SUPERAntiSpyware 4.40.0.1006 2011.08.27 -
Symantec 20111.2.0.82 2011.08.28 VBS.Runauto
TheHacker 6.7.0.1.286 2011.08.28 -
TrendMicro 9.500.0.1008 2011.08.25 -
TrendMicro-HouseCall 9.500.0.1008 2011.08.28 -
VBA32 3.12.16.4 2011.08.26 -
VIPRE 10297 2011.08.28 Trojan.VBS.Generic (v)
ViRobot 2011.8.27.4643 2011.08.28 VBS.Autorun.55694
VirusBuster 14.0.189.0 2011.08.28 -
Additional information
MD5   : 072ebed7e11bf49df2b40127357567b3
SHA1  : 32a66c228ac1dca2c41dccd01aa6f579765005fa
SHA256: d375a8184d474a4c1ac9a4ec9c073095dbff1d2936cead8fa008496046c84385
posted by 쿠들릭

댓글을 달아 주세요

현재 CVE-0806취약점과 Adobe Flash취약점을 노리고 있습니다.

http://www.virustotal.com/file-scan/report.html?id=63439053ba869316fce5930c5f601173200be992bf5fe98d0dca15a8144a9ea3-1314405759
http://camas.comodo.com/cgi-bin/submit?file=63439053ba869316fce5930c5f601173200be992bf5fe98d0dca15a8144a9ea3 
친숙한 이름이 보이네요. 
 ws3help.dll ws2help.dll  
 감염시 http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3_gamehackkill.exe에서 치료바랍니다.
posted by 쿠들릭

댓글을 달아 주세요

이중에서 xxxMSN사이트에서 배포하는 sh819.css에 대해서만 알아보겠습니다.
http://www.virustotal.com/file-scan/report.html?id=a62b785f5421d27399a134c4bf98e3a5cbb5104f522c0c3ea81acb06abfb5a99-1313767743
http://camas.comodo.com/cgi-bin/submit?file=a62b785f5421d27399a134c4bf98e3a5cbb5104f522c0c3ea81acb06abfb5a99
imm32.dll패치와 함께 전형적인 게임핵 형태를 보이고 있습니다.
항상 보안패치후 백신 실시간감시를 최신으로 돌려주시기 바랍니다...
posted by 쿠들릭

댓글을 달아 주세요

현재 웹하드에서 유포중인 최종파일 conf.gif가 하루사이에 MD5값이 다른 변종이 같은 서버를 통해 배포되고 있습니다.
http://www.virustotal.com/file-scan/report.html?id=75708d59b776c9b482c1965c3fd6db819f1f04858cb3efa1929d4ad8d5b3b8ae-1312639801
물론 최신상태의 백신을 유지시키고 보안업데이트를 챙겨주면 감염되지 않습니다.
posted by 쿠들릭

댓글을 달아 주세요

  1. 철이 2011.08.07 17:06  Addr Edit/Del Reply

    tuser.net 에서 배포중인 setup.gif 는 ASD.Prevention으로 차단하더군요 안랩은 asd 역할이 큰 것 같아요 ㅎㅎ;

  2. 철이 2011.08.08 12:19  Addr Edit/Del Reply

    주목 할만한게 가상화, 행위기반 사전방역, 네트워크 웹방역..이런것이 투입되니 정말 기대가 많이되는것 같아요
    이전에 가상화 기사 나왔을대도 부왁 했는데 이젠 기대이상의 것들도.. 점점 외국백신 부럽지 않을 날들이 다가오는것 같아요 ㅎㅎ;

    • 쿠들릭 2011.08.08 12:43 신고  Addr Edit/Del

      행복해지는군요.ㅋㅋ
      그나저나 ASD서버에 한번 접속해보고 싶은 생각이 드네요.
      어떤구조로 되어있는지ㅋㅋ;

    • 철이 2011.08.08 15:09  Addr Edit/Del

      ㅋㅋㅋ JK 님께 요청해보세요 ㅋㅋ
      아니면 안랩 기습방문공격!

    • 쿠들릭 2011.08.08 16:01 신고  Addr Edit/Del

      기밀사항이라 하면서 안보여줄것 같습니다.ㅋㅋ

현재 Q다운에서 CVE-0806 취약점을 통한 악성코드 유포가 되고 있으니
참조하시기 바랍니다. 
http://www.virustotal.com/file-scan/report.html?id=2dd2b58a6f3df17ae2adc6d74584f7c15dbebe830b4b1286efab87ad7648853b-1312548480 
posted by 쿠들릭

댓글을 달아 주세요

2011. 7. 29. 17:23 악성코드분석
이번에 국내 대형 포탈 nate에서 한건 제대로 터졌습니다. 
대한민국 국민 계정이 다 털렸다고 해도 무방할정도로...
그 해킹의 주범인 Nateon.exe을 간단히 파악만 해보겠습니다.
해당 악성코드의 바토 결과는 밑에 올렸습니다.
국내업체에서는 다행히 모두 잡습니다.
현재 다운로드되는 서버가 끊겨 악성코드가 다운로드 되고 있지 않습니다.
기업에서 보안관리를 말로만 하지않고 행동으로 지켜나갔으면 하네요.
감염이 되셨으면 http://download.boho.or.kr/vacc_care/vacc_board_view.jsp?vac_id=VAC20110728002
에서 치료하시면 됩니다. 감사합니다.
posted by 쿠들릭

댓글을 달아 주세요


현재 K디스크에서 Adobe Flash 취약점과 IE 취약점 CVE-0806을 통해 h.exe가 최종파일로 배포되고 있습니다.
그런데 해당파일 바토 결과가 좀 충격적입니다.
http://www.virustotal.com/file-scan/report.html?id=13555b59936d43884b086c1f78e5c156ad79fe118d30fc0cbc45456d34e5bd99-1311333256
외제 백신인 SUPERAntiSpyware를 제외한 다른 백신업체에서는 전혀 탐지를 못하고 있습니다.
백신만을 믿으면 안되겠죠^^; 물론 보안패치가 다 된경우 최종파일이 다운로드 되지는 않으므로 꼭 주말에는 보안업데이트후
백신은 최신상태 실시간감시 ON후 웹서핑을 하시면 안전할겁니다.
posted by 쿠들릭

댓글을 달아 주세요

  1. 항상 잘 보고 있습니다. ^^
    그나저나 h.exe는 xor변환 같은 걸 해야 동작할 것 같은데요?? 변환하면 진단이 늘어나지 않을까 생각됩니다.

    • 쿠들릭 2011.07.23 01:30 신고  Addr Edit/Del

      예, 해당파일은 Web의 형태이기 때문에 Xor과정을 거쳐야 하는데 저는 익스플로잇 함수 코드 변환만 했지 exe xor변환은 처음 해보는일이라서 어렵네요^^;; 해당 분석 자료도 그리 많지 않고...

  2. 철이 2011.07.23 00:07  Addr Edit/Del Reply

    안랩의 경우 xor 변환하면 OnlinegameHack.gen 으로 진단합니다.

  3. 철이 2011.07.24 16:02  Addr Edit/Del Reply

    제가 한게 아니라 고갱센터에 답변 입니다^^


씨XX울에서 Flash취약점과 CVE-0806취약점을 이용해 P.css을 배포합니다.
온라인 게임핵역할을 합니다. 대다수의 백신에서 미탐지이므로 조심하시기 바랍니다.
http://www.virustotal.com/file-scan/report.html?id=fa47c6833b47fd5e666ae19556ca4901f91957c45859edceab656aa508265238-1310909847
 
posted by 쿠들릭

댓글을 달아 주세요


현재 아직까지 www.padknvc.com에서 플래쉬 취약점및 b.html에서 CVE-0806 취약점을 통해 최종파일을 다운로드하고 있습니다.
직접 b.html의 var함수값을 지운뒤 돌려서 나온 최종파일 bsid.css 바토결과입니다.
http://www.virustotal.com/file-scan/report.html?id=42c3c6fe78ae557d872e36d55459e71560c332028d1527d6f8a9a28629967e33-1310144028
최초발견날이 7월4일이군요. 알약,V3,네이버백신을 건드리고 킬하는 능력이 있습니다.
또한 세개의 파일을 다운로드합니다.

ppo1.exe  서버O 
ppo2.exe  서버O
3.exe 서버X

posted by 쿠들릭

댓글을 달아 주세요

  1. 철이 2011.07.09 14:41  Addr Edit/Del Reply

    수고하십니다..ㅋㅋ;
    네이트온을 근..1년 켜본적이없어 수집은 못하고있네요 허허;; 요즘 웹공격이 더 심한것 같아서요 ㅎ;


K.jpg에서 CVE-0806취약점 코드 삽입후 pk.js를 분석하면 P.exe가 나옵니다.
해당 파일은 백도어 이므로 이전과는 다른것 같습니다.
http://www.virustotal.com/file-scan/report.html?id=a378af84390d3b0cd70fb738d06f2c0c2fb307333440b91919a95fa9eb294b6a-1309538299 
posted by 쿠들릭

댓글을 달아 주세요


현재 네이트온 쪽지로 www.qjopdng.com 에서 선정성인 사진과 함께 플래쉬 취약점과 CVE-0806 취약점을 통해 감염되고 있습니다.
최종파일 xzasd.css의 바토 결과는  http://www.virustotal.com/file-scan/report.html?id=69e004c48c67d325ccabb15a69d98f5fa500ad71c5ce6f47657548a4b7ac8ea9-1309021269 
Comodo CAMAS Analysis
http://camas.comodo.com/cgi-bin/submit?file=69e004c48c67d325ccabb15a69d98f5fa500ad71c5ce6f47657548a4b7ac8ea9

현시점, V3 ,Avira ,알약 2.0 으로 치료가능합니다.
posted by 쿠들릭

댓글을 달아 주세요


피곤한관계로 짧게 써봅니다^^;;
현재 버디버ㄷㅣ사이트 등 다른 유포지에서도 같은 파일을 배포합니다.
물론 취약점을 통한 것 이므로 보안패치 되있으면 안전합니다.
악성파일 ws2help.dll과 6549302827346110393.exe을 생성합니다!
E.exe
http://www.virustotal.com/file-scan/report.html?id=fa80ed9a81a6a52ff041b7fca77763da158f6f51d79ac0fa61e00e4f3cd63c5b-1308928471
 
ws2help.dll
http://www.virustotal.com/file-scan/report.html?id=a33b6c94ecb5c0be7e93fb12c7d02c899037db257ffb63a7393a77db7e2f0a89-1308929375
6549302827346110393.exe
http://www.virustotal.com/file-scan/report.html?id=3fb0fd32e6fb21eaa1e8aa3d7f74438e95dfe50fdbb1ba8116a503fdfc23339b-1308928999
또한 현재 원본파일은  avast  , AVG , Kaspersky ,MSE,V3 등에서만 잡습니다.
감염되었으면 해당 백신으로 치료 바랍니다.
posted by 쿠들릭

댓글을 달아 주세요


여러 배포지에서 배포하는 최종파일 악성 H.exe파일 및 6549302827346110393.exe, ws2help.dll 정상파일 ws3help.dll입니다. 上은 악성코드이고 下는 정상파일입니다.
전에 scvhost.exe를 배포한자가 새로운 방식을 사용한것으로 보입니다...
http://www.virustotal.com/file-scan/report.html?id=7850c529816e3ee9558fa3b0df214859d432a201643be94339d38b432166a31e-1308485997
http://www.virustotal.com/file-scan/report.html?id=d0a68d4c9b8c6762f37ad7c37dcf436cc6181e3f65449497e1dba981a4294c1b-1308485885
http://www.virustotal.com/file-scan/report.html?id=b61edfbb1f71601abacf271eff4f1f63e6dec75ea3defa4468edcca95c46b587-1308486172
최신 어도비 플레이어 업데이트및 IE취약점 패치가 되어 있으면 감염 안됩니다. 물론 타브라우저 크롬이나 파이어폭스도 감염되지 않습니다.
현재 완벽하게 3파일 탐지가능한 백신은 중국백신 RIsing밖에 없습니다. 그나마 국내 사용자가 있는 V3와 카스퍼스키는 2파일 탐지 가능합니다. 하지만 익스플로잇만 탐지해도 감염되지 않습니다.
http://www.virustotal.com/file-scan/report.html?id=f8554a8ad76d6138a7414b26cdee4d862090710a5fcb502ad8f4a88d3fc24047-1308481358
http://www.virustotal.com/file-scan/report.html?id=8d592113d251be2f3d2a96c53373df1b5c1d23e00397d295b60d809208ad3ab5-1308481744 
주말에는 웬만해서 웹하드 사이트와 언론사이트는 가지 않는게 좋겠습니다... 쿨럭;;
posted by 쿠들릭

댓글을 달아 주세요

어제 유포하길래 쓸까말까 고민 했는데 의외로 감염자 수가 많아 포스팅 해봅니다.
해당 파일은 svchost.exe 윈도우 정상파일명으로 위장한 온라인 게임핵입니다.
각종 정보에 의하면 많은 웹하드 사이트가 털리고 Adobe 제로데이 취약점으로 IE에서는 자동 다운로드합니다.
scvhost.exe를  파해쳐봅니다! 참고로 노턴의 인사이트와 소나도 통과합니다!
생성하는 파일

http://www.virustotal.com/file-scan/report.html?id=80a715c3b34069edc388f7de827663d8c75f403cff005cbcecd482730c195445-1307879873 
http://www.threatexpert.com/report.aspx?md5=92a8a413f2597e737920db00f20768c0 
이 파일은 악성파일인 lpk.dll,6549302827346110393.exe 정상파일인 lpk32.dll과 감염된시간.dll 파일을 만듭니다.
http://camas.comodo.com/cgi-bin/submit?file=80a715c3b34069edc388f7de827663d8c75f403cff005cbcecd482730c195445 
자동 분석기도 같은 결과를 보여줍니다.
lpk.dll: http://www.virustotal.com/file-scan/report.html?id=44030d5e7df325d6d42365c3d47483748f89dd33fc1e10ddaacfee38b2a3eb6f-1307879982
6549302827346110393.exe : http://www.virustotal.com/file-scan/report.html?id=131602da80074be60f9edff3aeee80738cf6214c41ededa0fb4ea21bb90bd7f3-1307879986
안철수연구소를 제외한 국내백신은 완벽한 탐지가 불가능합니다.
생각해 보니 http://cacavirus.tistory.com/46 과 같은 형태인것 같습니다.
전용백신은 http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=101
감염되신 경우 현재는 V3 Lite밖에 해결책이 없는것 같네요. 

현재7/9의 scvhost.exe 변종파일입니다.
http://www.virustotal.com/file-scan/report.html?id=8ab6b830c2f58298c4a7978c39b249858e3288b96db00c781706722b96572a29-1310207324


 
posted by 쿠들릭

댓글을 달아 주세요

  1. kthoon 2011.06.15 20:39  Addr Edit/Del Reply

    알약 2.0 잡아내었습니다.

    • 쿠들릭 2011.06.15 21:01 신고  Addr Edit/Del

      저 당시에는 미탐지 였으나 바로 긴급으로 업데이트 되더군요.^^;
      방문해주셔서 감사합니다.

2011. 6. 8. 00:43 악성코드분석
오늘 샘플 3개를 입수 및 분석을 해보았다.
12345.exe http://www.virustotal.com/file-scan/report.html?id=9eb38771c01d7e4a041b7e7c53f38f93fe2e1c57625a63ce612949f30dcb4c78-1307458891
 온라인 게임핵 생성 lpk.dll26533220999.exe 시간 체크 하기 위한 파일 생성 온라인 게임핵 생성된 시각.dll 정상파일 생성  lpk32.dll
 
11188.exe http://www.virustotal.com/file-scan/report.html?id=9eb38771c01d7e4a041b7e7c53f38f93fe2e1c57625a63ce612949f30dcb4c78-1311317092
스스로 계정 탈취 목표 백도어 역할을 함 

amd.dll http://www.virustotal.com/file-scan/report.html?id=4bdf59553cb855c0e3541df73f0eec5c6d49b246b8db99f2c83594345e754a3c-1307459164 
다운로더 현재 다운로더 서버 끊김

  lpk.dll은 온라인게임핵을 목표로 해 한국에서 많이 쓰이는 악성코드 이다. imm32.dll과 유명한 놈 lpk.dll은 지독하다. 변종이 자주 출현해 최신 상태의 백신만으로 안심할수 없다. 그러므로 사용자가 경각심을 가지고 컴퓨터를 사용하는 수 밖에 없다.
미진단 샘플은 각 보안밴더에 신고하기로 하겠다.  

'악성코드분석' 카테고리의 다른 글

VBS 바이러스 메모장 코드 복사 테스트  (0) 2011.08.29
네이트 해킹 악성코드 분석...  (0) 2011.07.29
Trojan-Dropper.Win32.Agent.exkk 外 4종  (0) 2011.06.08
거의 못잡는 위험적인 파일  (2) 2009.08.11
DDoS조심!  (0) 2009.07.10
안랩이 왠일...  (2) 2009.06.27
posted by 쿠들릭

댓글을 달아 주세요


hxxp://www.edfevcfr.com
에서 배포중입니다. 역시 선정적인 사진을 배포하는군요. 배포자가 변태 같습니다;; 선정적인 사진으로 사람 놀래키게 만드는데 하나 하는군요.ㅎㅎㅎ;;
해당쪽지가 왔을때 절대 열어보지 마시고 폐기후 감염된 지인에게 감염사실을 알려주시면 됩니다.
최종파일은 말질라 분석기에서는 2.html에서 CVE-0806취약점후 XOR(bd) 연산을 거쳐 나온 파일입니다.
최종파일 naie.css 바토결과:
http://www.virustotal.com/file-scan/report.html?id=ad3495e5fa53a7fea5311d16f9517519c2114d5b5db467c7d9754333cf607061-1307374284
보안패치만 잘되어 있어도 감염이 되지 않습니다.
감염될 경우 무료백신으로 Avira나 ,AVG, V3 Lite 알약2.0로 치료하시면 됩니다.
posted by 쿠들릭

댓글을 달아 주세요


hxxp://www.nahyegt.com 최종파일은 각종 계정정보 유출합니다.
에서 선정성있는 hxxp://www.nahyegt.com/images/747_1000.jpg 사진을 출력하고
취약점을 통해 배포됩니다. 2.html에서 CVE-0806 취약점을 이용해
krbbb.exe를 다운로드 합니다. 감염되시면 2011.5.15.00일 버젼 업데이트된 V3 Lite나 Avira로 검색하시면 됩니다.
http://www.virustotal.com/file-scan/report.html?id=c76d27bfaf680090c94507e2dad30e64c26fe530854d3178dd448006fd7cb73d-1305380898 
 
http://camas.comodo.com/cgi-bin/submit?file=c76d27bfaf680090c94507e2dad30e64c26fe530854d3178dd448006fd7cb73d
http://valkyrie.comodo.com/Result.aspx?sha1=5241B404D422090FD1A498A1D5BD626B1E05B487&&query=0&&filename=krbbb.exe
생성된 파일정보 5가지 (1가지는 용량초과로 업로드하지 못하였습니다.)
http://www.virustotal.com/file-scan/report.html?id=22febda5182e8e3e1bb0af53ce69c6c064bd4129872ad35f1b9368d41b786ca9-1305381291 
http://www.virustotal.com/file-scan/report.html?id=1fce1e00f13a3e459326f4b6e71dc0df334ef39d3a0d1fdb4023a8691aec0b12-1305381301
http://www.virustotal.com/file-scan/report.html?id=b3e8da8f6ed76e7ba0d23da9faa40118abf5000b19c36d5e2b1fd783e36dc203-1305381309
http://www.virustotal.com/file-scan/report.html?id=b64b8c239c0cdd8cf5d747969e9fd9207d20939e5ea903950aa80c2b62c28d10-1305352091
posted by 쿠들릭

댓글을 달아 주세요

최종파일및 생성된 악성파일입니다.
http://www.virustotal.com/file-scan/report.html?id=aea92881d3a247f1f6bb00bdc4628eb92494c99abd82204748896e6c7618d820-1305350821
http://www.virustotal.com/file-scan/report.html?id=3324f903cd498e3cc707f9fdb6dbb2e6ddc8d573441eab2d2142d1b7fd2ad949-1305350824
http://www.virustotal.com/file-scan/report.html?id=18650b69832c5df136f8ca6353330040c23a7dd8e3783df8a19b5b8acebb846f-1305350831
http://www.virustotal.com/file-scan/report.html?id=54494188cdc8684d57e1b9be63f401cdb79c360af1680796f2b3ef374a3e37e8-1305350834
http://www.virustotal.com/file-scan/report.html?id=31d56b5d6e5ebeee36696f9e7cfa6c71318e7bef4e7806654f78e884da17d8d6-1305350838
http://www.virustotal.com/file-scan/report.html?id=ca2aadbb3fab894db4e04e35fe3518c902304aa807b41911e378d89ecdafbba4-1305350847
http://www.virustotal.com/file-scan/report.html?id=f0b80bd457a8864a790bd45ca3d5a9d4b7c07d1d2e6d7a9d517f5ef4b5a097b6-1305350849
http://www.virustotal.com/file-scan/report.html?id=c76d27bfaf680090c94507e2dad30e64c26fe530854d3178dd448006fd7cb73d-1305360376

많은수의 악성코드가 주로 CVE-0806 취약점을 이용해 배포중입니다.
최신 보안업데이트를 유지하고 업데이트한 백신의 실시간 감시를 ON으로 해주시기 바랍니다.
유포중인 사이트는 http://seohyun_must.blog.me/60126429939  이곳에서 확인후 차단바랍니다.
posted by 쿠들릭

댓글을 달아 주세요


후끈후끈한 배포소식입니다. 현재 네이트온 쪽지로 www.dezxcnmg.com라는 주소가 오시면 절대로 클릭하시지 마시길 바랍니다.
다행히 2.html에서 CVE-0806 취약점을 통해 최종파일이 다운로드 되기때문에 최신업뎃하시면 안전하다만 그래도 위험합니다
감염이 되셨다면 V3 Lite 알약2.0(소포스엔진사용시) Avira나 avast, AVG, Comodo등으로 검사하시면 됩니다. 실제론 F-Secure는 시그니쳐진단은 하지않고 Deepguard로 행동 탐지 합니다. 
http://camas.comodo.com/cgi-bin/submit?file=f23b980046cba7290dd2293617ad99ca7082b30382bce756c4cfa1934c30a93c
생성된파일들의 진단 (Yuku.exe 제외)
http://www.virustotal.com/file-scan/report.html?id=f23b980046cba7290dd2293617ad99ca7082b30382bce756c4cfa1934c30a93c-1304868421
 
 
http://www.virustotal.com/file-scan/report.html?id=6f2c31eeef9608113e41d65c6ebd1c9c9c34276e7e46e9db2005d7ca55e12273-1304869124
http://www.virustotal.com/file-scan/report.html?id=b5527478b081b82b33a496e3edad968c692e7b37a49c60469db9b4e9b5f15c4c-1304869128
 http://www.virustotal.com/file-scan/report.html?id=6ed70722ba908a0b497a5877256ad61b35797f2bdaffe2297dbeadfec16f3781-1304869131
 
http://www.virustotal.com/file-scan/report.html?id=ed8fdf37784a5340a86c910d55f2159fa400fd9ffaabdf313d6526c239b1a2da-1304868741
http://www.virustotal.com/file-scan/report.html?id=6ed70722ba908a0b497a5877256ad61b35797f2bdaffe2297dbeadfec16f3781-1304868744 
posted by 쿠들릭

댓글을 달아 주세요

  1. 감자 2011.05.09 12:52  Addr Edit/Del Reply

    저도 이쪽지 받았습니다.
    Must www.dezxcnmg.com
    이라고 오더군요

    아이팟이라 그냥 눌러봣엇는데
    4windows exploit이라 다행이군요 ....


CVE-2010-0806 취약점사용합니다. 최신보안패치가 되어있으면 감염되지 않습니다.
http://www.virustotal.com/file-scan/report.html?id=2c623fd2593dbd46a24a9cb7b64e3204f383bdd8f50b03c476640e23e6a77da4-1304738146 
 
http://camas.comodo.com/cgi-bin/submit?file=2c623fd2593dbd46a24a9cb7b64e3204f383bdd8f50b03c476640e23e6a77da4
 
http://valkyrie.comodo.com/Result.aspx?sha1=C0B714AFFB9F6C0527C9E1943CCA379BC31A6B52&&&query=0&filename=w.exe 
posted by 쿠들릭

댓글을 달아 주세요

간단히 분석해보았습니다.
hxxp://70.39.99.114/2/2.html >referer->
hxxp://70.39.99.114/x.exe
 
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
x.exe
Submission date:
2011-05-03 14:09:33 (UTC)
Current status:

VT Community

not reviewed
 Safety score: - 
AntivirusVersionLast UpdateResult
AhnLab-V3 2011.05.03.01 2011.05.03 -
AntiVir 7.11.7.120 2011.05.03 TR/Obfuscate.GE.15
Antiy-AVL 2.0.3.7 2011.05.03 -
Avast 4.8.1351.0 2011.05.03 -
Avast5 5.0.677.0 2011.05.03 -
AVG 10.0.0.1190 2011.05.03 Win32/NSAnti
BitDefender 7.2 2011.05.03 -
CAT-QuickHeal 11.00 2011.05.03 -
ClamAV 0.97.0.0 2011.05.03 -
Commtouch 5.3.2.6 2011.05.03 W32/SuspPack.AC.gen!Eldorado
Comodo 8567 2011.05.03 -
DrWeb 5.0.2.03300 2011.05.03 -
Emsisoft 5.1.0.5 2011.05.03 AdvHeur!IK
eSafe 7.0.17.0 2011.05.02 -
eTrust-Vet 36.1.8304 2011.05.03 -
F-Prot 4.6.2.117 2011.05.02 W32/SuspPack.AC.gen!Eldorado
F-Secure 9.0.16440.0 2011.05.03 -
Fortinet 4.2.257.0 2011.05.03 -
GData 22 2011.05.03 -
Ikarus T3.1.1.103.0 2011.05.03 AdvHeur
Jiangmin 13.0.900 2011.05.03 -
K7AntiVirus 9.98.4541 2011.05.02 Riskware
Kaspersky 9.0.0.837 2011.05.03 -
McAfee 5.400.0.1158 2011.05.03 Artemis!0C9B505B2FEB
McAfee-GW-Edition 2010.1D 2011.05.03 Artemis!0C9B505B2FEB
Microsoft 1.6802 2011.05.03 VirTool:Win32/Obfuscator.GE
NOD32 6090 2011.05.03 -
Norman 6.07.07 2011.05.03 -
Panda 10.0.3.5 2011.05.03 -
PCTools 7.0.3.5 2011.05.03 -
Prevx 3.0 2011.05.03 Medium Risk Malware
Rising 23.56.01.06 2011.05.03 -
Sophos 4.64.0 2011.05.03 -
SUPERAntiSpyware 4.40.0.1006 2011.05.03 -
Symantec 20101.3.2.89 2011.05.03 -
TheHacker 6.7.0.1.187 2011.05.03 -
TrendMicro 9.200.0.1012 2011.05.03 PAK_Generic.012
TrendMicro-HouseCall 9.200.0.1012 2011.05.03 PAK_Generic.012
VBA32 3.12.16.0 2011.05.02 -
VIPRE 9185 2011.05.03 -
ViRobot 2011.5.3.4443 2011.05.03 Trojan.Win32.Obfuscator.85005
VirusBuster 13.6.333.0 2011.05.03 Trojan.Hupigon.Gen!Pac.6
Additional information
MD5   : 0c9b505b2feb828da723d22e7a8cf736
SHA1  : f47b19bbdab3389cbc935237f842db51c6625226
SHA256: c4ea3d8f1f610bff770dfca3ace0b757260bc78384cab13296cb483be743458d
posted by 쿠들릭

댓글을 달아 주세요


h**p://www.olympus.co.kr/
 h**p://qh888ddd.info/l1.htm 
  h**p://qh888ddd.info/1.html 
   h**p://qh888ddd.info/3.html 
   h**p://qh888ddd.info/nb.swf 
  h**p://qh888ddd.info/2.html ->  CVE-2010-0806 취약점 사용!
   h**p://qh888ddd.info/w.exe->http://www.virustotal.com/file-scan/report.html?id=5fb2e20908887b5aab649426880eb6dc4a7b0761d19ed209f60d3bcf76b3a90c-1303660424

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

판X라 TV 유포中  (0) 2011.05.07
폴X뉴스 유포중...  (0) 2011.05.03
올림X스 유포 (2011.4.25)  (0) 2011.04.25
행정안전부 어린이XXX  (0) 2011.04.10
애XX스 유포...(2011.04.09)  (0) 2011.04.09
개XX닷컴 유포중...(2011.04.09)  (2) 2011.04.09
posted by 쿠들릭

댓글을 달아 주세요

prev 1 2 next