악성코드 유포 사이트 분석 리포트
분석 : 하츠
유포발견자 : 하츠
문의 : 하츠
추가유포사이트 : 도시락
본론 : www.cetixxx.com 에 접속할시 http://210.xx.xx.xx/ad/cn.asp 에 접속 악성코드를 다운로드 받습니다.
http://210.xx.xx.xx/ad/cn.asp 파일을 열어보았습니다. Base64로 되어 있군요..
위에 사진 맨밑을 보시면 암호화된 문자들이 어지럽게 쭉 써져있네요...ㅜ_ㅜ 머라고 쓰였는지 모르겠네요...
그럼 우리가 읽기 쉽게 바꿔볼까요?
음... 이런 내용을 숨기고 있었네요.. 위에 보시면 dl 값에 악성코드 다운로드 경로가 적혀있습니다. 얼릉 다운받아보지요 !!
이런 파일이었네요...ad(광고)라는 이름에 exe파일...토탈에 검사해보죠.
ad.exe파일 검사결과
안티바이러스 | 엔진 버전 | 정의 날짜 | 검사 결과 |
---|---|---|---|
AhnLab-V3 | 2008.12.19.3 | 2008.12.19 | - |
AntiVir | 7.9.0.45 | 2008.12.19 | TR/Crypt.XPACK.Gen |
Authentium | 5.1.0.4 | 2008.12.20 | - |
Avast | 4.8.1281.0 | 2008.12.19 | Win32:Kavos |
AVG | 8.0.0.199 | 2008.12.19 | PSW.OnlineGames_r.AP |
BitDefender | 7.2 | 2008.12.20 | Packer.Malware.NSAnti.1 |
CAT-QuickHeal | 10.00 | 2008.12.20 | (Suspicious) - DNAScan |
ClamAV | 0.94.1 | 2008.12.20 | - |
Comodo | 781 | 2008.12.19 | - |
DrWeb | 4.44.0.09170 | 2008.12.20 | - |
eSafe | 7.0.17.0 | 2008.12.18 | - |
eTrust-Vet | 31.6.6269 | 2008.12.19 | - |
Ewido | 4.0 | 2008.12.20 | - |
F-Prot | 4.4.4.56 | 2008.12.19 | - |
F-Secure | 8.0.14332.0 | 2008.12.20 | Suspicious:W32/Malware!Gemini |
Fortinet | 3.117.0.0 | 2008.12.20 | - |
GData | 19 | 2008.12.20 | Packer.Malware.NSAnti.1 |
Ikarus | T3.1.1.45.0 | 2008.12.20 | Worm.Win32.Viking |
K7AntiVirus | 7.10.559 | 2008.12.19 | - |
Kaspersky | 7.0.0.125 | 2008.12.20 | Trojan.Win32.Monder.adyw |
McAfee | 5469 | 2008.12.19 | Generic PWS.ak |
McAfee+Artemis | 5469 | 2008.12.19 | Generic PWS.ak |
Microsoft | 1.4205 | 2008.12.20 | TrojanDownloader:Win32/Frethog.C |
NOD32 | 3708 | 2008.12.20 | - |
Norman | 5.80.02 | 2008.12.19 | - |
Panda | 9.0.0.4 | 2008.12.20 | Suspicious file |
PCTools | 4.4.2.0 | 2008.12.19 | - |
Prevx1 | V2 | 2008.12.20 | - |
Rising | 21.08.52.00 | 2008.12.20 | - |
SecureWeb-Gateway | 6.7.6 | 2008.12.19 | Trojan.Crypt.XPACK.Gen |
Sophos | 4.37.0 | 2008.12.20 | - |
Sunbelt | 3.2.1801.2 | 2008.12.11 | - |
Symantec | 10 | 2008.12.20 | - |
TheHacker | 6.3.1.4.193 | 2008.12.19 | - |
TrendMicro | 8.700.0.1004 | 2008.12.19 | - |
VBA32 | 3.12.8.10 | 2008.12.20 | - |
ViRobot | 2008.12.20.1528 | 2008.12.20 | - |
VirusBuster | 4.5.11.0 | 2008.12.19 | - |
추가 정보 |
---|
File size: 103497 bytes |
MD5...: ef2544d99866f06b8b858e2e7c35bd7d |
ad.exe 파일 분석 정보
http://www.xxxxxxx.com.tw/jpg_gif/down.txt 을 다운로드 하여서 no1.exe 파일을 추가 다운로드합니다.
no1.exe 토탈결과
안티바이러스 | 엔진 버전 | 정의 날짜 | 검사 결과 |
---|---|---|---|
AhnLab-V3 | 2008.12.19.3 | 2008.12.19 | - |
AntiVir | 7.9.0.45 | 2008.12.19 | TR/Crypt.XPACK.Gen |
Authentium | 5.1.0.4 | 2008.12.20 | - |
Avast | 4.8.1281.0 | 2008.12.19 | Win32:Kavos |
AVG | 8.0.0.199 | 2008.12.19 | Win32/Heur |
BitDefender | 7.2 | 2008.12.20 | Packer.Malware.NSAnti.1 |
CAT-QuickHeal | 10.00 | 2008.12.20 | (Suspicious) - DNAScan |
ClamAV | 0.94.1 | 2008.12.20 | - |
Comodo | 783 | 2008.12.20 | - |
DrWeb | 4.44.0.09170 | 2008.12.20 | - |
eSafe | 7.0.17.0 | 2008.12.18 | Suspicious File |
eTrust-Vet | 31.6.6269 | 2008.12.19 | - |
Ewido | 4.0 | 2008.12.20 | - |
F-Prot | 4.4.4.56 | 2008.12.19 | - |
F-Secure | 8.0.14332.0 | 2008.12.20 | - |
Fortinet | 3.117.0.0 | 2008.12.20 | - |
GData | 19 | 2008.12.20 | Packer.Malware.NSAnti.1 |
Ikarus | T3.1.1.45.0 | 2008.12.20 | Worm.Win32.Viking |
K7AntiVirus | 7.10.560 | 2008.12.20 | - |
Kaspersky | 7.0.0.125 | 2008.12.20 | Trojan-GameThief.Win32.OnLineGames.tzrx |
McAfee | 5469 | 2008.12.19 | Generic PWS.ak |
McAfee+Artemis | 5469 | 2008.12.19 | Generic PWS.ak |
Microsoft | 1.4205 | 2008.12.20 | PWS:Win32/Frethog.D |
NOD32 | 3708 | 2008.12.20 | - |
Norman | 5.80.02 | 2008.12.19 | - |
Panda | 9.0.0.4 | 2008.12.20 | Suspicious file |
PCTools | 4.4.2.0 | 2008.12.20 | - |
Prevx1 | V2 | 2008.12.20 | - |
Rising | 21.08.52.00 | 2008.12.20 | - |
SecureWeb-Gateway | 6.7.6 | 2008.12.19 | Trojan.Crypt.XPACK.Gen |
Sophos | 4.37.0 | 2008.12.20 | - |
Sunbelt | 3.2.1801.2 | 2008.12.11 | - |
Symantec | 10 | 2008.12.20 | - |
TheHacker | 6.3.1.4.193 | 2008.12.19 | - |
TrendMicro | 8.700.0.1004 | 2008.12.19 | - |
VBA32 | 3.12.8.10 | 2008.12.20 | - |
ViRobot | 2008.12.20.1528 | 2008.12.20 | - |
VirusBuster | 4.5.11.0 | 2008.12.19 | - |
추가 정보 |
---|
File size: 161774 bytes |
MD5...: b667d46b69a61accc964857fa8df6d4e |
입니다. 그리고 haozs0.dll , cao220.dll ,zhido.exe 등도 있습니다.
zhide.exe 레지 정보 입니다.
- zhido = "%System%\zhido.exe" (시스템 시작시 같이 시작됩니다)