블로그 이미지
쿠들릭
전자기기 사용기와 함께 악성코드 관련글과 일상을 업로드 하는 블로그 입니다.^^

calendar

      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

Notice


현재 아직까지 www.padknvc.com에서 플래쉬 취약점및 b.html에서 CVE-0806 취약점을 통해 최종파일을 다운로드하고 있습니다.
직접 b.html의 var함수값을 지운뒤 돌려서 나온 최종파일 bsid.css 바토결과입니다.
http://www.virustotal.com/file-scan/report.html?id=42c3c6fe78ae557d872e36d55459e71560c332028d1527d6f8a9a28629967e33-1310144028
최초발견날이 7월4일이군요. 알약,V3,네이버백신을 건드리고 킬하는 능력이 있습니다.
또한 세개의 파일을 다운로드합니다.

ppo1.exe  서버O 
ppo2.exe  서버O
3.exe 서버X

posted by 쿠들릭

댓글을 달아 주세요

  1. 철이 2011.07.09 14:41  Addr Edit/Del Reply

    수고하십니다..ㅋㅋ;
    네이트온을 근..1년 켜본적이없어 수집은 못하고있네요 허허;; 요즘 웹공격이 더 심한것 같아서요 ㅎ;


현재 네이트온 쪽지로 www.qjopdng.com 에서 선정성인 사진과 함께 플래쉬 취약점과 CVE-0806 취약점을 통해 감염되고 있습니다.
최종파일 xzasd.css의 바토 결과는  http://www.virustotal.com/file-scan/report.html?id=69e004c48c67d325ccabb15a69d98f5fa500ad71c5ce6f47657548a4b7ac8ea9-1309021269 
Comodo CAMAS Analysis
http://camas.comodo.com/cgi-bin/submit?file=69e004c48c67d325ccabb15a69d98f5fa500ad71c5ce6f47657548a4b7ac8ea9

현시점, V3 ,Avira ,알약 2.0 으로 치료가능합니다.
posted by 쿠들릭

댓글을 달아 주세요


hxxp://www.edfevcfr.com
에서 배포중입니다. 역시 선정적인 사진을 배포하는군요. 배포자가 변태 같습니다;; 선정적인 사진으로 사람 놀래키게 만드는데 하나 하는군요.ㅎㅎㅎ;;
해당쪽지가 왔을때 절대 열어보지 마시고 폐기후 감염된 지인에게 감염사실을 알려주시면 됩니다.
최종파일은 말질라 분석기에서는 2.html에서 CVE-0806취약점후 XOR(bd) 연산을 거쳐 나온 파일입니다.
최종파일 naie.css 바토결과:
http://www.virustotal.com/file-scan/report.html?id=ad3495e5fa53a7fea5311d16f9517519c2114d5b5db467c7d9754333cf607061-1307374284
보안패치만 잘되어 있어도 감염이 되지 않습니다.
감염될 경우 무료백신으로 Avira나 ,AVG, V3 Lite 알약2.0로 치료하시면 됩니다.
posted by 쿠들릭

댓글을 달아 주세요


hxxp://www.nahyegt.com 최종파일은 각종 계정정보 유출합니다.
에서 선정성있는 hxxp://www.nahyegt.com/images/747_1000.jpg 사진을 출력하고
취약점을 통해 배포됩니다. 2.html에서 CVE-0806 취약점을 이용해
krbbb.exe를 다운로드 합니다. 감염되시면 2011.5.15.00일 버젼 업데이트된 V3 Lite나 Avira로 검색하시면 됩니다.
http://www.virustotal.com/file-scan/report.html?id=c76d27bfaf680090c94507e2dad30e64c26fe530854d3178dd448006fd7cb73d-1305380898 
 
http://camas.comodo.com/cgi-bin/submit?file=c76d27bfaf680090c94507e2dad30e64c26fe530854d3178dd448006fd7cb73d
http://valkyrie.comodo.com/Result.aspx?sha1=5241B404D422090FD1A498A1D5BD626B1E05B487&&query=0&&filename=krbbb.exe
생성된 파일정보 5가지 (1가지는 용량초과로 업로드하지 못하였습니다.)
http://www.virustotal.com/file-scan/report.html?id=22febda5182e8e3e1bb0af53ce69c6c064bd4129872ad35f1b9368d41b786ca9-1305381291 
http://www.virustotal.com/file-scan/report.html?id=1fce1e00f13a3e459326f4b6e71dc0df334ef39d3a0d1fdb4023a8691aec0b12-1305381301
http://www.virustotal.com/file-scan/report.html?id=b3e8da8f6ed76e7ba0d23da9faa40118abf5000b19c36d5e2b1fd783e36dc203-1305381309
http://www.virustotal.com/file-scan/report.html?id=b64b8c239c0cdd8cf5d747969e9fd9207d20939e5ea903950aa80c2b62c28d10-1305352091
posted by 쿠들릭

댓글을 달아 주세요


후끈후끈한 배포소식입니다. 현재 네이트온 쪽지로 www.dezxcnmg.com라는 주소가 오시면 절대로 클릭하시지 마시길 바랍니다.
다행히 2.html에서 CVE-0806 취약점을 통해 최종파일이 다운로드 되기때문에 최신업뎃하시면 안전하다만 그래도 위험합니다
감염이 되셨다면 V3 Lite 알약2.0(소포스엔진사용시) Avira나 avast, AVG, Comodo등으로 검사하시면 됩니다. 실제론 F-Secure는 시그니쳐진단은 하지않고 Deepguard로 행동 탐지 합니다. 
http://camas.comodo.com/cgi-bin/submit?file=f23b980046cba7290dd2293617ad99ca7082b30382bce756c4cfa1934c30a93c
생성된파일들의 진단 (Yuku.exe 제외)
http://www.virustotal.com/file-scan/report.html?id=f23b980046cba7290dd2293617ad99ca7082b30382bce756c4cfa1934c30a93c-1304868421
 
 
http://www.virustotal.com/file-scan/report.html?id=6f2c31eeef9608113e41d65c6ebd1c9c9c34276e7e46e9db2005d7ca55e12273-1304869124
http://www.virustotal.com/file-scan/report.html?id=b5527478b081b82b33a496e3edad968c692e7b37a49c60469db9b4e9b5f15c4c-1304869128
 http://www.virustotal.com/file-scan/report.html?id=6ed70722ba908a0b497a5877256ad61b35797f2bdaffe2297dbeadfec16f3781-1304869131
 
http://www.virustotal.com/file-scan/report.html?id=ed8fdf37784a5340a86c910d55f2159fa400fd9ffaabdf313d6526c239b1a2da-1304868741
http://www.virustotal.com/file-scan/report.html?id=6ed70722ba908a0b497a5877256ad61b35797f2bdaffe2297dbeadfec16f3781-1304868744 
posted by 쿠들릭

댓글을 달아 주세요

  1. 감자 2011.05.09 12:52  Addr Edit/Del Reply

    저도 이쪽지 받았습니다.
    Must www.dezxcnmg.com
    이라고 오더군요

    아이팟이라 그냥 눌러봣엇는데
    4windows exploit이라 다행이군요 ....



정확히 일주일 만에 배포하는군요. 일부 가립니다.
IE 취약점을 통해 감염되기때문에 보안패치만 잘 되있어도 감염되지 않을겁니다.
hxxp://www.hsgdhguj.com/ ->hxxp://wxw.hsgdxxxx.com/images/747_1000.jpg 매우 선정적인 이미지 배포
hxxp://www.hsgdhguj.com/1.html
hxxp://www.hsgdhguj.com/k.js
hxxp://www.hsgdhguj.com/yangfd/adjku.exe
를 통해 최종파일을 배포합니다.
첫 화면은 굉장히 선정적인 이미지를 출력하여 하여금 혐오감을 줍니다...
그리고 취약점을 통해 
최종파일 adjku.exe을 배포합니다. 그만 좀 배포했으면 하네요.
만약 감염되었다면 V3 Lite 알약2.0(소포스엔진사용시) AviraavastMSE로 치료하시면 됩니다.
adjku.exe 정보
바이러스 토탈 http://www.virustotal.com/file-scan/report.html?id=2654cfdcb01eb5cddd08565ba0c988fc8177e14bc0ea199c8d61afdd79efdb5c-1303044599
코모도 CAMAS분석기 http://camas.comodo.com/cgi-bin/submit?file=2654cfdcb01eb5cddd08565ba0c988fc8177e14bc0ea199c8d61afdd79efdb5c
코모도 가상실행 분석기 http://valkyrie.comodo.com/Result.aspx?sha1=8E6BB0A898BC6CAEB726DA3F105FDCF93D87E449&&query=0&&filename=adjku.exe

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
adjku.exe
Submission date:
2011-04-17 12:49:59 (UTC)
Current status:
finished
Result:
20 /42 (47.6%)
VT Community

not reviewed
 Safety score: - 
AntivirusVersionLast UpdateResult
AhnLab-V3 2011.04.18.00 2011.04.17 Dropper/Win32.Infostealer
AntiVir 7.11.6.143 2011.04.15 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2011.04.17 -
Avast 4.8.1351.0 2011.04.17 -
Avast5 5.0.677.0 2011.04.17 Win32:Dogrobot
AVG 10.0.0.1190 2011.04.17 -
BitDefender 7.2 2011.04.17 -
CAT-QuickHeal 11.00 2011.04.16 Win32.Packed.Krap.b.3
ClamAV 0.97.0.0 2011.04.17 -
Commtouch 5.2.11.5 2011.04.16 W32/Troj_Obfusc.P.gen!Eldorado
Comodo 8373 2011.04.17 Packed.Win32.MUPX.Gen
DrWeb 5.0.2.03300 2011.04.17 Trojan.Packed.551
Emsisoft 5.1.0.5 2011.04.17 Virus.Win32.Gamona!IK
eSafe 7.0.17.0 2011.04.15 -
eTrust-Vet None 2011.04.15 -
F-Prot 4.6.2.117 2011.04.16 W32/Troj_Obfusc.P.gen!Eldorado
F-Secure 9.0.16440.0 2011.04.17 -
Fortinet 4.2.257.0 2011.04.17 -
GData 22 2011.04.17 -
Ikarus T3.1.1.103.0 2011.04.17 Virus.Win32.Gamona
Jiangmin 13.0.900 2011.04.16 -
K7AntiVirus 9.96.4404 2011.04.16 Riskware
Kaspersky 7.0.0.125 2011.04.17 -
McAfee 5.400.0.1158 2011.04.17 -
McAfee-GW-Edition 2010.1D 2011.04.16 -
Microsoft 1.6702 2011.04.17 VirTool:Win32/Obfuscator.GE
NOD32 6049 2011.04.17 a variant of Win32/Kryptik.NX
Norman 6.07.07 2011.04.16 W32/Obfuscated.R
Panda 10.0.3.5 2011.04.17 Suspicious file
PCTools 7.0.3.5 2011.04.17 HeurEngine.MaliciousPacker
Prevx 3.0 2011.04.17 -
Rising 23.53.05.03 2011.04.16 -
Sophos 4.64.0 2011.04.17 Mal/Behav-066
SUPERAntiSpyware 4.40.0.1006 2011.04.16 -
Symantec 20101.3.2.89 2011.04.17 Suspicious.MH690.A
TheHacker 6.7.0.1.175 2011.04.17 -
TrendMicro 9.200.0.1012 2011.04.17 -
TrendMicro-HouseCall 9.200.0.1012 2011.04.17 -
VBA32 3.12.16.0 2011.04.15 suspected of Trojan.Waledac
VIPRE 9039 2011.04.17 -
ViRobot 2011.4.16.4414 2011.04.17 -
VirusBuster 13.6.308.0 2011.04.16 Trojan.Hupigon.Gen!Pac.6
Additional information
MD5   : 71ebd5a5491720c079bb0a86dfc43c56
SHA1  : 8e6bb0a898bc6caeb726da3f105fdcf93d87e449
SHA256: 2654cfdcb01eb5cddd08565ba0c988fc8177e14bc0ea199c8d61afdd79efdb5c
posted by 쿠들릭

댓글을 달아 주세요


오랜만에 네이트온 악성코드를 만나는군요.
hxxp://www.xindpkz.com에서 hxxp:// www.xindpkz.com/images/747_1000.jpg의 여성사진을 ,스크린후
CVE-0806취약점사용해 g123.exe를 다운받고 여러가지 정보를 유출합니다. 네이트온 쪽지로 이상하게 올경우 절대로 클릭 하시지 마시길 부탁해드립니다.
감염되었으면 
무료백신으로 V3 Lite 알약2.0(소포스엔진사용시) AviraMSE로 치료하시면 됩니다.
 
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 1 VT Community user(s) with a total of 1 reputation credit(s) say(s) this sample is malware.
File name:
g123.exe0
Submission date:
2011-04-10 12:36:10 (UTC)
Current status:

VT Community

malware
 Safety score: 0.0% 
AntivirusVersionLast UpdateResult
AhnLab-V3 2011.04.10.01 2011.04.10 Dropper/Infostealer.77377(추가 : 2011.04.11.01) 
AntiVir 7.11.6.19 2011.04.08 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2011.04.10 -
Avast 4.8.1351.0 2011.04.10 -
Avast5 5.0.677.0 2011.04.10 -
AVG 10.0.0.1190 2011.04.10 -
BitDefender 7.2 2011.04.10 -
CAT-QuickHeal 11.00 2011.04.10 (Suspicious) - DNAScan
ClamAV 0.97.0.0 2011.04.10 -
Commtouch 5.2.11.5 2011.04.06 W32/Troj_Obfusc.P.gen!Eldorado
Comodo 8289 2011.04.10 Packed.Win32.MUPX.Gen
DrWeb 5.0.2.03300 2011.04.10 Trojan.Packed.551
Emsisoft 5.1.0.5 2011.04.10 Virus.Win32.Gamona!IK
eSafe 7.0.17.0 2011.04.10 -
eTrust-Vet 36.1.8261 2011.04.08 -
F-Prot 4.6.2.117 2011.04.10 W32/Troj_Obfusc.P.gen!Eldorado
F-Secure 9.0.16440.0 2011.04.10 -
Fortinet 4.2.254.0 2011.04.09 -
GData 22 2011.04.10 -
Ikarus T3.1.1.103.0 2011.04.10 Virus.Win32.Gamona
Jiangmin 13.0.900 2011.04.09 -
K7AntiVirus 9.96.4347 2011.04.09 Riskware
Kaspersky 7.0.0.125 2011.04.10 -
McAfee 5.400.0.1158 2011.04.10 -
McAfee-GW-Edition 2010.1C 2011.04.10 -
Microsoft 1.6702 2011.04.10 VirTool:Win32/Obfuscator.GE
NOD32 6030 2011.04.10 a variant of Win32/Kryptik.NX
Norman 6.07.07 2011.04.10 W32/Obfuscated.R
Panda 10.0.3.5 2011.04.10 Suspicious file
PCTools 7.0.3.5 2011.04.07 HeurEngine.MaliciousPacker
Prevx 3.0 2011.04.10 -
Rising 23.52.06.03 2011.04.10 -
Sophos 4.64.0 2011.04.10 Mal/EncPk-CK
SUPERAntiSpyware 4.40.0.1006 2011.04.10 -
Symantec 20101.3.2.89 2011.04.10 Suspicious.MH690.A
TheHacker 6.7.0.1.171 2011.04.10 -
TrendMicro 9.200.0.1012 2011.04.10 PAK_Generic.012
TrendMicro-HouseCall 9.200.0.1012 2011.04.10 PAK_Generic.012
VBA32 3.12.14.3 2011.04.08 suspected of Trojan.Waledac
VIPRE 8976 2011.04.10 -
ViRobot 2011.4.9.4402 2011.04.10 -
VirusBuster 13.6.296.2 2011.04.09 Trojan.Hupigon.Gen!Pac.6
Additional information
MD5   : 40a06d5f441d4cd5c48fcceccadcaadb
SHA1  : b3a50b77f6e545d099cbd29efb4d598701a497ca
SHA256: e2e8a80721be108220b26ec7ff44a6b3af0ec4cfe2b23a46c88b2db4b2d64d40
posted by 쿠들릭

댓글을 달아 주세요

새벽이라 짧게 씁니다.
최근 네이트온 악성코드가 배포되었습니다.
해당파일의 바이러스토탈 결과
8.jpg ->Dropper/Win32.Infostealer (AhnLab-V3)
ajax.js -> JS/Agent (AhnLab-V3)
ff10.htm ->JS.S.Iframe.2452 (ViRobot)
in.js ->Script-JS/W32.Agent.BHU (nProtect)
index.html ->JS/Iframe (AhnLab-V3)
kr1.html ->JS/Cve-2010-0806 (AhnLab-V3)
kr2.html  ->JS/Cve-2009-0075 (AhnLab-V3)
main.html -> HTML/IFrame.zae (AntiVir)
swfobject.js ->Script/Agent (AhnLab-V3)
보안업체 탐지 현황까지 써보았습니다.

그래서인지 안철수연구소 보안통계를 보니 Script/Agent가 탐지순위에 첫번째에 올라가 있습니다.
시간이 갈수록 올라가고 있네요.


악성코드를 다운받으면 나오는 파일입니다.


안랩 V3의 진단현황입니다. 



취약점을 통하여 감염되는 악성코드 입니다.
주로 네이트온 쪽지로 감염시키는 주소가 오니 쪽지로 온 이상한 주소는 클릭하지 마시고 
그 쪽지가 배포된 지인에게 해당 사실을 알려 백신으로 정밀검사를 한뒤 패스워드를 변경해야 해야 합니다.
자신이 감염되어도 마찬가지 입니다.
해당 악성코드는 변종이 자주 발생하니 주의 바랍니다.
posted by 쿠들릭

댓글을 달아 주세요

www.goldxxlass.com에서 배포합니다.
늘 하던대로 계정유출입니다. 오랜만에 보네요.
AntivirusVersionLast updateResult
AhnLab-V3 2010.10.31.00 2010.10.30 Malware/Win32.Xed
AntiVir 7.10.13.74 2010.10.29 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.10.31 -
Authentium 5.2.0.5 2010.10.31 W32/SuspPack.AJ.gen!Eldorado
Avast 4.8.1351.0 2010.10.30 -
Avast5 5.0.594.0 2010.10.30 -
AVG 9.0.0.851 2010.10.30 -
BitDefender 7.2 2010.10.31 -
CAT-QuickHeal 11.00 2010.10.26 (Suspicious) - DNAScan
ClamAV 0.96.2.0-git 2010.10.31 Suspect.Trojan.Generic.FD-4
DrWeb 5.0.2.03300 2010.10.30 -
Emsisoft 5.0.0.50 2010.10.31 Backdoor.Generic!IK
eTrust-Vet 36.1.7943 2010.10.29 -
F-Prot 4.6.2.117 2010.10.30 W32/SuspPack.AJ.gen!Eldorado
F-Secure 9.0.16160.0 2010.10.31 -
Fortinet 4.2.249.0 2010.10.31 -
GData 21 2010.10.31 -
Ikarus T3.1.1.90.0 2010.10.31 Backdoor.Generic
Jiangmin 13.0.900 2010.10.31 -
K7AntiVirus 9.67.2865 2010.10.29 Riskware
Kaspersky 7.0.0.125 2010.10.31 -
McAfee 5.400.0.1158 2010.10.31 Generic Obfuscated.g
McAfee-GW-Edition 2010.1C 2010.10.30 -
Microsoft 1.6301 2010.10.31 -
NOD32 5577 2010.10.31 -
Norman 6.06.10 2010.10.30 -
nProtect 2010-10-31.01 2010.10.31 -
Panda 10.0.2.7 2010.10.30 Suspicious file
PCTools 7.0.3.5 2010.10.31 -
Prevx 3.0 2010.10.31 -
Rising 22.71.03.02 2010.10.29 Packer.Win32.Agent.bb
Sophos 4.59.0 2010.10.31 -
SUPERAntiSpyware 4.40.0.1006 2010.10.31 -
TheHacker 6.7.0.1.074 2010.10.30 -
TrendMicro 9.120.0.1004 2010.10.31 Mal_Xed-3
TrendMicro-HouseCall 9.120.0.1004 2010.10.31 Mal_Xed-3
VBA32 3.12.14.1 2010.10.29 -
ViRobot 2010.10.30.4121 2010.10.30 -
VirusBuster 12.70.13.0 2010.10.30 -
MD5: 04239a7b57e0ac54a56884011a20cfa4
SHA1: d934bec91f8ca39f368eeab5197c7ad4d6f761a5
SHA256: 084dd59f0712886398c1986563234d01b3161b2c14f0db1efb633ab166eff42c
File size: 50688 bytes
Scan date: 2010-10-31 08:19:23 (UTC)
 
카스퍼스키에서는 행동기반으로 탐지합니다. 단 개인이 알아서 지워야 합니다.
그 파일을 까는경우 V3lght.dll을 생성합니다. 계정 유출파일입니다. 카스퍼스키 휴리스틱 최고 단계에서 진단하고요. 
안랩에서도 진단할겁니다. 
posted by 쿠들릭

댓글을 달아 주세요

  1. http://www.threatexpert.com/report.aspx?md5=04239a7b57e0ac54a56884011a20cfa4
    분석결과

  2. Chobo백신 2010.11.04 20:03  Addr Edit/Del Reply

    계정유출... 흐미... 중국발 바이러스인가보네요...

prev 1 next