블로그 이미지
쿠들릭
전자기기 사용기와 함께 악성코드 관련글과 일상을 업로드 하는 블로그 입니다.^^

calendar

      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

Notice



Java 취약점과  CVE-2010-0806 취약점을 이용합니다.
오랜만에 분석을 해서 그런지 감염경로가 확실한지는 장담못합니다만
위에 두 취약점을 사용하는 건 맞는것 같네요.
※ IE9로 Java 취약점을 통해 Java 실행창이 떠 실행할 경우 감염되는것을 확인했습니다. 

NliKum.jpg

온라인 게임 핵 파일 목록

0e442966.sys
esetepo.dll
wshtcpip.dll

posted by 쿠들릭

댓글을 달아 주세요


IE 취약점과  Adobe Flash 취약점을 통해 유포중입니다.
마지막으로 배포되는 lolo.css 최종파일은 실제로는 exe파일이며 온라인게임핵 역할을 합니다. (Malware/Win32.Generic)해당 사이트는 매주 유포하므로 주말에는 안들어가시는게 좋습니다. 
※오랜만에 유포글 써보네요...
posted by 쿠들릭

댓글을 달아 주세요

  1. Kwan 2012.01.29 16:44  Addr Edit/Del Reply

    잘 보고 갑니다 : )
    역쉬 능력자 !

http://www.enxxxast.com/apple/appletv.htm
현재 아이폰5를 중계하는 사이트에서 Daum팟를 위장한 ActiveX 악성코드를 배포하고 있습니다.
많은 백신에서 미탐지이고 차후에 해당 악성코드가 웹에서 새로운 악성코드를 다운로드를 할수 있으므로 해당사이트에 어쩔수 없이 들어갈때는 ActiveX를 절대 설치하시면 안됩니다.
※경로는 C:\WINDOWS\system32\rfmon.exe 입니다.  
PS.저도 지금 설치했다가 피봤네요;
posted by 쿠들릭

댓글을 달아 주세요

  1. 철이 2011.10.05 16:47  Addr Edit/Del Reply

    이거 유포당시 ASD에서 잡고있었나요 ^^;

  2. 철이 2011.10.06 16:41  Addr Edit/Del Reply

    놀랍군요 하우리가 선제진단을 하고 있었다니요 ㅎ;

현재 CVE-0806취약점과 Adobe Flash취약점을 노리고 있습니다.

http://www.virustotal.com/file-scan/report.html?id=63439053ba869316fce5930c5f601173200be992bf5fe98d0dca15a8144a9ea3-1314405759
http://camas.comodo.com/cgi-bin/submit?file=63439053ba869316fce5930c5f601173200be992bf5fe98d0dca15a8144a9ea3 
친숙한 이름이 보이네요. 
 ws3help.dll ws2help.dll  
 감염시 http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3_gamehackkill.exe에서 치료바랍니다.
posted by 쿠들릭

댓글을 달아 주세요

이중에서 xxxMSN사이트에서 배포하는 sh819.css에 대해서만 알아보겠습니다.
http://www.virustotal.com/file-scan/report.html?id=a62b785f5421d27399a134c4bf98e3a5cbb5104f522c0c3ea81acb06abfb5a99-1313767743
http://camas.comodo.com/cgi-bin/submit?file=a62b785f5421d27399a134c4bf98e3a5cbb5104f522c0c3ea81acb06abfb5a99
imm32.dll패치와 함께 전형적인 게임핵 형태를 보이고 있습니다.
항상 보안패치후 백신 실시간감시를 최신으로 돌려주시기 바랍니다...
posted by 쿠들릭

댓글을 달아 주세요

현재 웹하드에서 유포중인 최종파일 conf.gif가 하루사이에 MD5값이 다른 변종이 같은 서버를 통해 배포되고 있습니다.
http://www.virustotal.com/file-scan/report.html?id=75708d59b776c9b482c1965c3fd6db819f1f04858cb3efa1929d4ad8d5b3b8ae-1312639801
물론 최신상태의 백신을 유지시키고 보안업데이트를 챙겨주면 감염되지 않습니다.
posted by 쿠들릭

댓글을 달아 주세요

  1. 철이 2011.08.07 17:06  Addr Edit/Del Reply

    tuser.net 에서 배포중인 setup.gif 는 ASD.Prevention으로 차단하더군요 안랩은 asd 역할이 큰 것 같아요 ㅎㅎ;

  2. 철이 2011.08.08 12:19  Addr Edit/Del Reply

    주목 할만한게 가상화, 행위기반 사전방역, 네트워크 웹방역..이런것이 투입되니 정말 기대가 많이되는것 같아요
    이전에 가상화 기사 나왔을대도 부왁 했는데 이젠 기대이상의 것들도.. 점점 외국백신 부럽지 않을 날들이 다가오는것 같아요 ㅎㅎ;

    • 쿠들릭 2011.08.08 12:43 신고  Addr Edit/Del

      행복해지는군요.ㅋㅋ
      그나저나 ASD서버에 한번 접속해보고 싶은 생각이 드네요.
      어떤구조로 되어있는지ㅋㅋ;

    • 철이 2011.08.08 15:09  Addr Edit/Del

      ㅋㅋㅋ JK 님께 요청해보세요 ㅋㅋ
      아니면 안랩 기습방문공격!

    • 쿠들릭 2011.08.08 16:01 신고  Addr Edit/Del

      기밀사항이라 하면서 안보여줄것 같습니다.ㅋㅋ

현재 Q다운에서 CVE-0806 취약점을 통한 악성코드 유포가 되고 있으니
참조하시기 바랍니다. 
http://www.virustotal.com/file-scan/report.html?id=2dd2b58a6f3df17ae2adc6d74584f7c15dbebe830b4b1286efab87ad7648853b-1312548480 
posted by 쿠들릭

댓글을 달아 주세요


현재 K디스크에서 Adobe Flash 취약점과 IE 취약점 CVE-0806을 통해 h.exe가 최종파일로 배포되고 있습니다.
그런데 해당파일 바토 결과가 좀 충격적입니다.
http://www.virustotal.com/file-scan/report.html?id=13555b59936d43884b086c1f78e5c156ad79fe118d30fc0cbc45456d34e5bd99-1311333256
외제 백신인 SUPERAntiSpyware를 제외한 다른 백신업체에서는 전혀 탐지를 못하고 있습니다.
백신만을 믿으면 안되겠죠^^; 물론 보안패치가 다 된경우 최종파일이 다운로드 되지는 않으므로 꼭 주말에는 보안업데이트후
백신은 최신상태 실시간감시 ON후 웹서핑을 하시면 안전할겁니다.
posted by 쿠들릭

댓글을 달아 주세요

  1. 항상 잘 보고 있습니다. ^^
    그나저나 h.exe는 xor변환 같은 걸 해야 동작할 것 같은데요?? 변환하면 진단이 늘어나지 않을까 생각됩니다.

    • 쿠들릭 2011.07.23 01:30 신고  Addr Edit/Del

      예, 해당파일은 Web의 형태이기 때문에 Xor과정을 거쳐야 하는데 저는 익스플로잇 함수 코드 변환만 했지 exe xor변환은 처음 해보는일이라서 어렵네요^^;; 해당 분석 자료도 그리 많지 않고...

  2. 철이 2011.07.23 00:07  Addr Edit/Del Reply

    안랩의 경우 xor 변환하면 OnlinegameHack.gen 으로 진단합니다.

  3. 철이 2011.07.24 16:02  Addr Edit/Del Reply

    제가 한게 아니라 고갱센터에 답변 입니다^^


씨XX울에서 Flash취약점과 CVE-0806취약점을 이용해 P.css을 배포합니다.
온라인 게임핵역할을 합니다. 대다수의 백신에서 미탐지이므로 조심하시기 바랍니다.
http://www.virustotal.com/file-scan/report.html?id=fa47c6833b47fd5e666ae19556ca4901f91957c45859edceab656aa508265238-1310909847
 
posted by 쿠들릭

댓글을 달아 주세요


K.jpg에서 CVE-0806취약점 코드 삽입후 pk.js를 분석하면 P.exe가 나옵니다.
해당 파일은 백도어 이므로 이전과는 다른것 같습니다.
http://www.virustotal.com/file-scan/report.html?id=a378af84390d3b0cd70fb738d06f2c0c2fb307333440b91919a95fa9eb294b6a-1309538299 
posted by 쿠들릭

댓글을 달아 주세요


피곤한관계로 짧게 써봅니다^^;;
현재 버디버ㄷㅣ사이트 등 다른 유포지에서도 같은 파일을 배포합니다.
물론 취약점을 통한 것 이므로 보안패치 되있으면 안전합니다.
악성파일 ws2help.dll과 6549302827346110393.exe을 생성합니다!
E.exe
http://www.virustotal.com/file-scan/report.html?id=fa80ed9a81a6a52ff041b7fca77763da158f6f51d79ac0fa61e00e4f3cd63c5b-1308928471
 
ws2help.dll
http://www.virustotal.com/file-scan/report.html?id=a33b6c94ecb5c0be7e93fb12c7d02c899037db257ffb63a7393a77db7e2f0a89-1308929375
6549302827346110393.exe
http://www.virustotal.com/file-scan/report.html?id=3fb0fd32e6fb21eaa1e8aa3d7f74438e95dfe50fdbb1ba8116a503fdfc23339b-1308928999
또한 현재 원본파일은  avast  , AVG , Kaspersky ,MSE,V3 등에서만 잡습니다.
감염되었으면 해당 백신으로 치료 바랍니다.
posted by 쿠들릭

댓글을 달아 주세요


여러 배포지에서 배포하는 최종파일 악성 H.exe파일 및 6549302827346110393.exe, ws2help.dll 정상파일 ws3help.dll입니다. 上은 악성코드이고 下는 정상파일입니다.
전에 scvhost.exe를 배포한자가 새로운 방식을 사용한것으로 보입니다...
http://www.virustotal.com/file-scan/report.html?id=7850c529816e3ee9558fa3b0df214859d432a201643be94339d38b432166a31e-1308485997
http://www.virustotal.com/file-scan/report.html?id=d0a68d4c9b8c6762f37ad7c37dcf436cc6181e3f65449497e1dba981a4294c1b-1308485885
http://www.virustotal.com/file-scan/report.html?id=b61edfbb1f71601abacf271eff4f1f63e6dec75ea3defa4468edcca95c46b587-1308486172
최신 어도비 플레이어 업데이트및 IE취약점 패치가 되어 있으면 감염 안됩니다. 물론 타브라우저 크롬이나 파이어폭스도 감염되지 않습니다.
현재 완벽하게 3파일 탐지가능한 백신은 중국백신 RIsing밖에 없습니다. 그나마 국내 사용자가 있는 V3와 카스퍼스키는 2파일 탐지 가능합니다. 하지만 익스플로잇만 탐지해도 감염되지 않습니다.
http://www.virustotal.com/file-scan/report.html?id=f8554a8ad76d6138a7414b26cdee4d862090710a5fcb502ad8f4a88d3fc24047-1308481358
http://www.virustotal.com/file-scan/report.html?id=8d592113d251be2f3d2a96c53373df1b5c1d23e00397d295b60d809208ad3ab5-1308481744 
주말에는 웬만해서 웹하드 사이트와 언론사이트는 가지 않는게 좋겠습니다... 쿨럭;;
posted by 쿠들릭

댓글을 달아 주세요

어제 유포하길래 쓸까말까 고민 했는데 의외로 감염자 수가 많아 포스팅 해봅니다.
해당 파일은 svchost.exe 윈도우 정상파일명으로 위장한 온라인 게임핵입니다.
각종 정보에 의하면 많은 웹하드 사이트가 털리고 Adobe 제로데이 취약점으로 IE에서는 자동 다운로드합니다.
scvhost.exe를  파해쳐봅니다! 참고로 노턴의 인사이트와 소나도 통과합니다!
생성하는 파일

http://www.virustotal.com/file-scan/report.html?id=80a715c3b34069edc388f7de827663d8c75f403cff005cbcecd482730c195445-1307879873 
http://www.threatexpert.com/report.aspx?md5=92a8a413f2597e737920db00f20768c0 
이 파일은 악성파일인 lpk.dll,6549302827346110393.exe 정상파일인 lpk32.dll과 감염된시간.dll 파일을 만듭니다.
http://camas.comodo.com/cgi-bin/submit?file=80a715c3b34069edc388f7de827663d8c75f403cff005cbcecd482730c195445 
자동 분석기도 같은 결과를 보여줍니다.
lpk.dll: http://www.virustotal.com/file-scan/report.html?id=44030d5e7df325d6d42365c3d47483748f89dd33fc1e10ddaacfee38b2a3eb6f-1307879982
6549302827346110393.exe : http://www.virustotal.com/file-scan/report.html?id=131602da80074be60f9edff3aeee80738cf6214c41ededa0fb4ea21bb90bd7f3-1307879986
안철수연구소를 제외한 국내백신은 완벽한 탐지가 불가능합니다.
생각해 보니 http://cacavirus.tistory.com/46 과 같은 형태인것 같습니다.
전용백신은 http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=101
감염되신 경우 현재는 V3 Lite밖에 해결책이 없는것 같네요. 

현재7/9의 scvhost.exe 변종파일입니다.
http://www.virustotal.com/file-scan/report.html?id=8ab6b830c2f58298c4a7978c39b249858e3288b96db00c781706722b96572a29-1310207324


 
posted by 쿠들릭

댓글을 달아 주세요

  1. kthoon 2011.06.15 20:39  Addr Edit/Del Reply

    알약 2.0 잡아내었습니다.

    • 쿠들릭 2011.06.15 21:01 신고  Addr Edit/Del

      저 당시에는 미탐지 였으나 바로 긴급으로 업데이트 되더군요.^^;
      방문해주셔서 감사합니다.

최종파일및 생성된 악성파일입니다.
http://www.virustotal.com/file-scan/report.html?id=aea92881d3a247f1f6bb00bdc4628eb92494c99abd82204748896e6c7618d820-1305350821
http://www.virustotal.com/file-scan/report.html?id=3324f903cd498e3cc707f9fdb6dbb2e6ddc8d573441eab2d2142d1b7fd2ad949-1305350824
http://www.virustotal.com/file-scan/report.html?id=18650b69832c5df136f8ca6353330040c23a7dd8e3783df8a19b5b8acebb846f-1305350831
http://www.virustotal.com/file-scan/report.html?id=54494188cdc8684d57e1b9be63f401cdb79c360af1680796f2b3ef374a3e37e8-1305350834
http://www.virustotal.com/file-scan/report.html?id=31d56b5d6e5ebeee36696f9e7cfa6c71318e7bef4e7806654f78e884da17d8d6-1305350838
http://www.virustotal.com/file-scan/report.html?id=ca2aadbb3fab894db4e04e35fe3518c902304aa807b41911e378d89ecdafbba4-1305350847
http://www.virustotal.com/file-scan/report.html?id=f0b80bd457a8864a790bd45ca3d5a9d4b7c07d1d2e6d7a9d517f5ef4b5a097b6-1305350849
http://www.virustotal.com/file-scan/report.html?id=c76d27bfaf680090c94507e2dad30e64c26fe530854d3178dd448006fd7cb73d-1305360376

많은수의 악성코드가 주로 CVE-0806 취약점을 이용해 배포중입니다.
최신 보안업데이트를 유지하고 업데이트한 백신의 실시간 감시를 ON으로 해주시기 바랍니다.
유포중인 사이트는 http://seohyun_must.blog.me/60126429939  이곳에서 확인후 차단바랍니다.
posted by 쿠들릭

댓글을 달아 주세요


CVE-2010-0806 취약점사용합니다. 최신보안패치가 되어있으면 감염되지 않습니다.
http://www.virustotal.com/file-scan/report.html?id=2c623fd2593dbd46a24a9cb7b64e3204f383bdd8f50b03c476640e23e6a77da4-1304738146 
 
http://camas.comodo.com/cgi-bin/submit?file=2c623fd2593dbd46a24a9cb7b64e3204f383bdd8f50b03c476640e23e6a77da4
 
http://valkyrie.comodo.com/Result.aspx?sha1=C0B714AFFB9F6C0527C9E1943CCA379BC31A6B52&&&query=0&filename=w.exe 
posted by 쿠들릭

댓글을 달아 주세요

간단히 분석해보았습니다.
hxxp://70.39.99.114/2/2.html >referer->
hxxp://70.39.99.114/x.exe
 
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
x.exe
Submission date:
2011-05-03 14:09:33 (UTC)
Current status:

VT Community

not reviewed
 Safety score: - 
AntivirusVersionLast UpdateResult
AhnLab-V3 2011.05.03.01 2011.05.03 -
AntiVir 7.11.7.120 2011.05.03 TR/Obfuscate.GE.15
Antiy-AVL 2.0.3.7 2011.05.03 -
Avast 4.8.1351.0 2011.05.03 -
Avast5 5.0.677.0 2011.05.03 -
AVG 10.0.0.1190 2011.05.03 Win32/NSAnti
BitDefender 7.2 2011.05.03 -
CAT-QuickHeal 11.00 2011.05.03 -
ClamAV 0.97.0.0 2011.05.03 -
Commtouch 5.3.2.6 2011.05.03 W32/SuspPack.AC.gen!Eldorado
Comodo 8567 2011.05.03 -
DrWeb 5.0.2.03300 2011.05.03 -
Emsisoft 5.1.0.5 2011.05.03 AdvHeur!IK
eSafe 7.0.17.0 2011.05.02 -
eTrust-Vet 36.1.8304 2011.05.03 -
F-Prot 4.6.2.117 2011.05.02 W32/SuspPack.AC.gen!Eldorado
F-Secure 9.0.16440.0 2011.05.03 -
Fortinet 4.2.257.0 2011.05.03 -
GData 22 2011.05.03 -
Ikarus T3.1.1.103.0 2011.05.03 AdvHeur
Jiangmin 13.0.900 2011.05.03 -
K7AntiVirus 9.98.4541 2011.05.02 Riskware
Kaspersky 9.0.0.837 2011.05.03 -
McAfee 5.400.0.1158 2011.05.03 Artemis!0C9B505B2FEB
McAfee-GW-Edition 2010.1D 2011.05.03 Artemis!0C9B505B2FEB
Microsoft 1.6802 2011.05.03 VirTool:Win32/Obfuscator.GE
NOD32 6090 2011.05.03 -
Norman 6.07.07 2011.05.03 -
Panda 10.0.3.5 2011.05.03 -
PCTools 7.0.3.5 2011.05.03 -
Prevx 3.0 2011.05.03 Medium Risk Malware
Rising 23.56.01.06 2011.05.03 -
Sophos 4.64.0 2011.05.03 -
SUPERAntiSpyware 4.40.0.1006 2011.05.03 -
Symantec 20101.3.2.89 2011.05.03 -
TheHacker 6.7.0.1.187 2011.05.03 -
TrendMicro 9.200.0.1012 2011.05.03 PAK_Generic.012
TrendMicro-HouseCall 9.200.0.1012 2011.05.03 PAK_Generic.012
VBA32 3.12.16.0 2011.05.02 -
VIPRE 9185 2011.05.03 -
ViRobot 2011.5.3.4443 2011.05.03 Trojan.Win32.Obfuscator.85005
VirusBuster 13.6.333.0 2011.05.03 Trojan.Hupigon.Gen!Pac.6
Additional information
MD5   : 0c9b505b2feb828da723d22e7a8cf736
SHA1  : f47b19bbdab3389cbc935237f842db51c6625226
SHA256: c4ea3d8f1f610bff770dfca3ace0b757260bc78384cab13296cb483be743458d
posted by 쿠들릭

댓글을 달아 주세요


h**p://www.olympus.co.kr/
 h**p://qh888ddd.info/l1.htm 
  h**p://qh888ddd.info/1.html 
   h**p://qh888ddd.info/3.html 
   h**p://qh888ddd.info/nb.swf 
  h**p://qh888ddd.info/2.html ->  CVE-2010-0806 취약점 사용!
   h**p://qh888ddd.info/w.exe->http://www.virustotal.com/file-scan/report.html?id=5fb2e20908887b5aab649426880eb6dc4a7b0761d19ed209f60d3bcf76b3a90c-1303660424

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

판X라 TV 유포中  (0) 2011.05.07
폴X뉴스 유포중...  (0) 2011.05.03
올림X스 유포 (2011.4.25)  (0) 2011.04.25
행정안전부 어린이XXX  (0) 2011.04.10
애XX스 유포...(2011.04.09)  (0) 2011.04.09
개XX닷컴 유포중...(2011.04.09)  (2) 2011.04.09
posted by 쿠들릭

댓글을 달아 주세요

유포중입니다. 온라인 게임핵입니다. 다른 유포지와의 최종파일이 다르군요.CVE-2010-0806사용 XOR key [shellcode]: 189
 

바토는 좀있다 올리도록 하겠습니다. 서버문제로 로딩이 안됩니다. 
http://www.virustotal.com/file-scan/report.html?id=993d25162576c8c29777a58cb2b357239c0ef0025aa26b10c2a8ddaf2fe3971b-1302436244
임XX닷컴에서도 동일한 최종파일 
배포합니다.

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

폴X뉴스 유포중...  (0) 2011.05.03
올림X스 유포 (2011.4.25)  (0) 2011.04.25
행정안전부 어린이XXX  (0) 2011.04.10
애XX스 유포...(2011.04.09)  (0) 2011.04.09
개XX닷컴 유포중...(2011.04.09)  (2) 2011.04.09
희XX교회 유포 (2011.4.6)  (0) 2011.04.06
posted by 쿠들릭

댓글을 달아 주세요


최종파일 입니다.
hxxp://www.a-fish.com.tw/gif/x.htm에서 갈라져나온
hxxp://www.a-fish.com.tw/gif/3.exe 코모도 분석기: http://camas.comodo.com/cgi-bin/submit?file=cf0c701809c4e37d1c3b167cdf27c5d20f6d61df0ebb23bbb8458ef70d588eee
그나저나 많은 배포지에서 배포하던 최종파일과 같네요. 경로는 다르지만...아마 동일범 소행일듯 합니다. 
 
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 1 VT Community user(s) with a total of 3436 reputation credit(s) say(s) this sample is malware.
File name:
3.exe
Submission date:
2011-04-09 14:45:36 (UTC)
Current status:

VT Community

malware
 Safety score: 0.0% 
AntivirusVersionLast UpdateResult
AhnLab-V3 2011.04.10.00 2011.04.09 Dropper/Onlinegamehack.34404
AntiVir 7.11.6.19 2011.04.08 -
Antiy-AVL 2.0.3.7 2011.04.09 -
Avast 4.8.1351.0 2011.04.09 Win32:Trojan-gen
Avast5 5.0.677.0 2011.04.09 Win32:Trojan-gen
AVG 10.0.0.1190 2011.04.09 PSW.OnlineGames3.BHNK
BitDefender 7.2 2011.04.09 Gen:Trojan.Heur.JP.cq1@a8!DzYbb
CAT-QuickHeal 11.00 2011.04.09 -
ClamAV 0.97.0.0 2011.04.09 -
Commtouch 5.2.11.5 2011.04.06 -
Comodo 8279 2011.04.09 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2011.04.09 Trojan.MulDrop2.9720
eSafe 7.0.17.0 2011.04.07 Suspicious File
eTrust-Vet 36.1.8261 2011.04.08 -
F-Prot 4.6.2.117 2011.04.09 -
F-Secure 9.0.16440.0 2011.04.09 Gen:Trojan.Heur.JP.cq1@a8!DzYbb
Fortinet 4.2.254.0 2011.04.09 -
GData 22 2011.04.09 Gen:Trojan.Heur.JP.cq1@a8!DzYbb
Ikarus T3.1.1.103.0 2011.04.09 Gen.Trojan.Heur
Jiangmin 13.0.900 2011.04.09 -
K7AntiVirus 9.96.4347 2011.04.09 -
Kaspersky 7.0.0.125 2011.04.09 -
McAfee 5.400.0.1158 2011.04.09 PWS-Mmorpg!sn
McAfee-GW-Edition 2010.1C 2011.04.09 Artemis!C00880846E9E
Microsoft 1.6702 2011.04.09 Trojan:Win32/Dynamer!dtc
NOD32 6028 2011.04.09 probably a variant of Win32/PSW.OnLineGames.PFQ
Norman 6.07.07 2011.04.09 Bat/Trojan.A.dropper
Panda 10.0.3.5 2011.04.09 Suspicious file
PCTools 7.0.3.5 2011.04.07 Trojan-PSW.Gampass
Prevx 3.0 2011.04.09 -
Rising 23.52.05.05 2011.04.09 Suspicious
Sophos 4.64.0 2011.04.09 Mal/Agent-IR
SUPERAntiSpyware 4.40.0.1006 2011.04.07 -
Symantec 20101.3.2.89 2011.04.09 Infostealer.Gampass
TheHacker 6.7.0.1.170 2011.04.09 -
TrendMicro 9.200.0.1012 2011.04.09 PAK_Generic.001
TrendMicro-HouseCall 9.200.0.1012 2011.04.09 PAK_Generic.001
VBA32 3.12.14.3 2011.04.08 SScope.Trojan.FakeAV.0997
VIPRE 8967 2011.04.09 Infostealer.Gampass
ViRobot 2011.4.9.4402 2011.04.09 -
VirusBuster 13.6.295.0 2011.04.08 -
Additional information
MD5   : c00880846e9e1749d30d4528cfb92e87
SHA1  : 9968cca7f0e051969c5ea43a6229f293b3383ca4
SHA256: cf0c701809c4e37d1c3b167cdf27c5d20f6d61df0ebb23bbb8458ef70d588eee

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

올림X스 유포 (2011.4.25)  (0) 2011.04.25
행정안전부 어린이XXX  (0) 2011.04.10
애XX스 유포...(2011.04.09)  (0) 2011.04.09
개XX닷컴 유포중...(2011.04.09)  (2) 2011.04.09
희XX교회 유포 (2011.4.6)  (0) 2011.04.06
디XXXX드 유포 (2011.4.3)  (0) 2011.04.03
posted by 쿠들릭

댓글을 달아 주세요

hxxp://www.gesomoon.com/
└hxxp://udata9.gemmir.com/t/data.js
  └hxxp://udata9.gemmir.com/t/data.asp
    └ hxxp://www.ntest.kr/super/test/data.exe[d4c16a62463e617c02244d285a1edbffcca9de0b: 35328 bytes XOR key [shellcode]: 189]
 ※그냥 다운받는 주소를 hxxp로 가리기로 했습니다. 함부로 들어갔다간 낭패봅니다;;

이번은 data.js는 좀 특이한 경향이 있었습니다.

 |iframe|udata9|http|src|document|write|gemmir|t|height|width|asp|com|data' 을 잘 조합해보면
 hxxp://udata9.gemmir.com/t/data.asp라는 다운로드 주소가 나옵니다.
주말에는 꼭 백신 업뎃후 실시간감시 틀어주고 웹서핑하시길 바랍니다. 
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
data.exe0
Submission date:
2011-04-09 12:53:08 (UTC)
Current status:

VT Community

not reviewed
 Safety score: - 
AntivirusVersionLast UpdateResult
AhnLab-V3 2011.04.10.00 2011.04.09
Dropper/Onlinegamehack.35328.B(추가 : 2011.04.10.00) 

AntiVir 7.11.6.19 2011.04.08 TR/Spy.Gen
Antiy-AVL 2.0.3.7 2011.04.09 -
Avast 4.8.1351.0 2011.04.09 Win32:Malware-gen
Avast5 5.0.677.0 2011.04.09 Win32:Malware-gen
AVG 10.0.0.1190 2011.04.09 PSW.OnlineGames3.BHNG
BitDefender 7.2 2011.04.09 Trojan.Generic.5784925
CAT-QuickHeal 11.00 2011.04.09 -
ClamAV 0.97.0.0 2011.04.09 -
Commtouch 5.2.11.5 2011.04.06 W32/Heuristic-KPP!Eldorado
Comodo 8279 2011.04.09 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2011.04.09 Trojan.PWS.Gamania.29844
Emsisoft 5.1.0.5 2011.04.09 Trojan-PWS.OnlineGames3!IK
eSafe 7.0.17.0 2011.04.07 Suspicious File
eTrust-Vet 36.1.8261 2011.04.08 -
F-Prot 4.6.2.117 2011.04.09 W32/Heuristic-KPP!Eldorado
F-Secure 9.0.16440.0 2011.04.09 Trojan.Generic.5784925
Fortinet 4.2.254.0 2011.04.09 -
GData 22 2011.04.09 Trojan.Generic.5784925
Ikarus T3.1.1.103.0 2011.04.09 Trojan-PWS.OnlineGames3
Jiangmin 13.0.900 2011.04.09 Heur:Trojan/PSW.WOW
K7AntiVirus 9.96.4347 2011.04.09 -
Kaspersky 7.0.0.125 2011.04.09 -
McAfee 5.400.0.1158 2011.04.09 Generic PWS.y!ddf
McAfee-GW-Edition 2010.1C 2011.04.09 Heuristic.BehavesLike.Win32.Spyware.C
Microsoft 1.6702 2011.04.09 PWS:Win32/OnLineGames.ZDV!dll
NOD32 6028 2011.04.09 a variant of Win32/PSW.OnLineGames.PHU
Norman 6.07.07 2011.04.09 -
Panda 10.0.3.5 2011.04.09 Trj/CI.A
PCTools 7.0.3.5 2011.04.07 Downloader.Generic
Prevx 3.0 2011.04.09 -
Rising 23.52.05.05 2011.04.09 Trojan.Win32.Generic.12849F06
Sophos 4.64.0 2011.04.09 Mal/Generic-L
SUPERAntiSpyware 4.40.0.1006 2011.04.07 -
Symantec 20101.3.2.89 2011.04.09 Downloader
TheHacker 6.7.0.1.170 2011.04.09 -
TrendMicro 9.200.0.1012 2011.04.09 PAK_Generic.001
TrendMicro-HouseCall 9.200.0.1012 2011.04.09 PAK_Generic.001
VBA32 3.12.14.3 2011.04.08 -
VIPRE 8966 2011.04.09 Trojan.Win32.Generic!BT
ViRobot 2011.4.9.4402 2011.04.09 Trojan.Win32.PatchedImm.35328
VirusBuster 13.6.295.0 2011.04.08 -
Additional information
MD5   : 6f01db8ca7ecddceebedfdd746c1e21c
SHA1  : d4c16a62463e617c02244d285a1edbffcca9de0b
SHA256: 03742166024f19434a391c3b9ecea7a7318bd28881ff2cd16e5ae078a1c5b83f
 

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

행정안전부 어린이XXX  (0) 2011.04.10
애XX스 유포...(2011.04.09)  (0) 2011.04.09
개XX닷컴 유포중...(2011.04.09)  (2) 2011.04.09
희XX교회 유포 (2011.4.6)  (0) 2011.04.06
디XXXX드 유포 (2011.4.3)  (0) 2011.04.03
베스XX니메 (2011.4.3)  (0) 2011.04.03
posted by 쿠들릭

댓글을 달아 주세요

  1. 공간사랑 2011.04.18 13:02  Addr Edit/Del Reply

    저희 사이트에도 특정시간대에 data.js파일이 유포 되었습니다.
    서버에서는 단순히 텍스트결과만 전송을 했는데 클라이언트에서 볼때는 스크립트 코드가 삽입되어 있었습니다.
    서버문제가 아니라면 네트워크를 타고 오다고 소스가 변조된것일까요?

    • 쿠들릭 2011.04.18 22:13 신고  Addr Edit/Del

      아마 공격자가 웹페이지 소스를 변조해
      악성 스크립트를 삽입한것으로 보이네요^^;

사진으로 대체합니다. 최종파일은 나타나지 않고 있습니다.
z.jpg는 다운로드 받는 파일이 아니라 접속하는 경로중 하나로 추정됩니다.

 

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

애XX스 유포...(2011.04.09)  (0) 2011.04.09
개XX닷컴 유포중...(2011.04.09)  (2) 2011.04.09
희XX교회 유포 (2011.4.6)  (0) 2011.04.06
디XXXX드 유포 (2011.4.3)  (0) 2011.04.03
베스XX니메 (2011.4.3)  (0) 2011.04.03
지XX일 유포중...(2011/3/26)  (0) 2011.03.26
posted by 쿠들릭

댓글을 달아 주세요

http://www.dxxxxxde.com/
└ http://wstatic.dxxxxxe.com/gallery/search/js/js_data.js
 └ http://17x.1x7.x8.1xx/ad/ad.jpg (디코딩 필요 밑에 txt파일 참조)
   └┌xxx.127.88.xxx/ad/teryqekrlfcr.htm -> rk.atxxot.com/rk/798652679363.gif (XOR key [shellcode]: 189)
      ├174.xxx.xx.118/ad/teyvrdcqer.htm
      └x74.12x.x8.11x//ad//count.html

 

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

개XX닷컴 유포중...(2011.04.09)  (2) 2011.04.09
희XX교회 유포 (2011.4.6)  (0) 2011.04.06
디XXXX드 유포 (2011.4.3)  (0) 2011.04.03
베스XX니메 (2011.4.3)  (0) 2011.04.03
지XX일 유포중...(2011/3/26)  (0) 2011.03.26
폴X뉴스 유포中  (0) 2011.02.18
posted by 쿠들릭

댓글을 달아 주세요

http://besxxxxme.co.kr/
 └http://besxxxxme.co.kr/inc/js/default.js
  └http://203.2x8.x9.x17/Login.Html
   └ http://wkmf.xxxx.org/html/top.js
    └http://xxxx.swim.org/html/topp.html
     └http://wkxx.xxim.org/html/hhh.html
       └ ┌http://wkxx.xxim.org/bbs/images/top.gif
           ├http://wkxx.xxim.org/html/fff.html
           └http://wkmf.xxxx.org/html/vvv.html
애니메이션  관련 홈페이지입니다. 주의바랍니다.
그리고 알약과 V3관련 프로세스를 킬하는 능력이 있으므로 조심하시기 바랍니다. 
디코딩결과는 파일로 해놓겠습니다. (hhh.html)
 

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

희XX교회 유포 (2011.4.6)  (0) 2011.04.06
디XXXX드 유포 (2011.4.3)  (0) 2011.04.03
베스XX니메 (2011.4.3)  (0) 2011.04.03
지XX일 유포중...(2011/3/26)  (0) 2011.03.26
폴X뉴스 유포中  (0) 2011.02.18
씨XX울 유포의심  (1) 2010.10.23
posted by 쿠들릭

댓글을 달아 주세요


http://zixxxle.com/js/httpRequest.js
└ http://208.1x5.x2x.180/c.htm ⇒CVE-2010-0806사용
  └http://208.x1x.2x8.180/K.Js
    └ referer = www.zox.xx/m/foot.html 
     www.zx3.kr/m/po.exe xor값 변형파일

최종파일 정보...
바이러스 토탈: http://www.virustotal.com/file-scan/report.html?id=407157a0bd15a724750a68163d25aac31ce54548922c9b99f55cd368765760af-1301066324
코모도 분석기: http://camas.comodo.com/cgi-bin/submit?file=407157a0bd15a724750a68163d25aac31ce54548922c9b99f55cd368765760af 
안봐도 뻔할뻔자네요. 온라인 게임핵입니다. 의심진단이 많네요.
당분간 웹하드 사이트를 들어가시지 않는것이 좋겠습니다.
이 사이트말고 다른 몇몇 웹하드사이트도 같은 최종파일 배포중인것 같네요. 
주말에는 웹서핑할때 꼭 실시간감시를 켜두시고 백신및 윈도우 최신업데이트후 하시길 바랍니다.

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

디XXXX드 유포 (2011.4.3)  (0) 2011.04.03
베스XX니메 (2011.4.3)  (0) 2011.04.03
지XX일 유포중...(2011/3/26)  (0) 2011.03.26
폴X뉴스 유포中  (0) 2011.02.18
씨XX울 유포의심  (1) 2010.10.23
yahoo.js 배포지 또 발생!!!  (2) 2010.09.26
posted by 쿠들릭

댓글을 달아 주세요

새벽이라 글을 짧게 씁니다.
http://www.oxxxg.info/yx1.html
http://www.zxxh.info/1/ceshi1.htm
http://www.zxxh.info/1/K.Js
최종파일 분석중...
CVE-0806취약점을 이용하는것 같습니다.

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

베스XX니메 (2011.4.3)  (0) 2011.04.03
지XX일 유포중...(2011/3/26)  (0) 2011.03.26
폴X뉴스 유포中  (0) 2011.02.18
씨XX울 유포의심  (1) 2010.10.23
yahoo.js 배포지 또 발생!!!  (2) 2010.09.26
www.24hkxxxe.com 악성코드 주의보!!  (1) 2010.09.25
posted by 쿠들릭

댓글을 달아 주세요

http://211.xxx.xx.244/H.asp
에서 H.asp를 다운받습니다.

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

베스XX니메 (2011.4.3)  (0) 2011.04.03
지XX일 유포중...(2011/3/26)  (0) 2011.03.26
폴X뉴스 유포中  (0) 2011.02.18
씨XX울 유포의심  (1) 2010.10.23
yahoo.js 배포지 또 발생!!!  (2) 2010.09.26
www.24hkxxxe.com 악성코드 주의보!!  (1) 2010.09.25
posted by 쿠들릭

댓글을 달아 주세요

  1. 안랩에 신고완료 했습니다.^^

http://www.chinacsrxxx.org/images/yahoo.js
에서 yahoo.js를 배포하네요.
입니다.
안랩에 신고 했습니다.

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

베스XX니메 (2011.4.3)  (0) 2011.04.03
지XX일 유포중...(2011/3/26)  (0) 2011.03.26
폴X뉴스 유포中  (0) 2011.02.18
씨XX울 유포의심  (1) 2010.10.23
yahoo.js 배포지 또 발생!!!  (2) 2010.09.26
www.24hkxxxe.com 악성코드 주의보!!  (1) 2010.09.25
posted by 쿠들릭

댓글을 달아 주세요

  1. Chobo백신 2010.10.23 15:25  Addr Edit/Del Reply

    정말 인터넷 불안해서 못쓰겠습니다.

    IE로는 서핑도 못하겠습니다. ㅠㅠ

    • 쿠들릭 2010.10.23 22:39 신고  Addr Edit/Del

      보안패치하고 백신 실시간 감시하고 윈도우 기본 방화벽만 켜주셔도 충분합니다.^^

www.24hkxxxe.com 이 싸이트에서 
www.24hkxxxe.com/image.yahoo.js을 다운받고
취약점을 통해 몇몇 온라인게임핵을 다운받습니다.
보안패치를 설치해주시고 백신의 최신업데이트와 실시간 감시를 켜주시고 
감염이 의심된다면 백신을 이용해 치료해 주시기 바랍니다.
그리고 www.koxxo.com로 숙주가 이동했다는 소식이 들립니다.
이 사이트를 차단해 주시기 바랍니다.

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

베스XX니메 (2011.4.3)  (0) 2011.04.03
지XX일 유포중...(2011/3/26)  (0) 2011.03.26
폴X뉴스 유포中  (0) 2011.02.18
씨XX울 유포의심  (1) 2010.10.23
yahoo.js 배포지 또 발생!!!  (2) 2010.09.26
www.24hkxxxe.com 악성코드 주의보!!  (1) 2010.09.25
posted by 쿠들릭

댓글을 달아 주세요

  1. Chobo백신 2010.10.23 15:24  Addr Edit/Del Reply

    악성코드 유포사이트는 어떻게 발견하는지 모르겠습니다. ㅎㅎ

prev 1 next