본문 바로가기

:: 임시저장

[유포] 세티x(cetixxx) 사이트 악성코드 감염 및 유포중!..

KcEAbFR 2008. 12. 20. 20:33

악성코드 유포 사이트 분석 리포트

분석 : 하츠

유포발견자 : 하츠

문의 : 하츠

추가유포사이트 : 도시락

설명 : www.cetixxx.com 가 다시 크래킹되어서 유포하기 시작합니다. 얼마전에도 유포한적이 있습니다.

본론 : www.cetixxx.com 에 접속할시 http://210.xx.xx.xx/ad/cn.asp 에 접속 악성코드를 다운로드 받습니다.

http://210.xx.xx.xx/ad/cn.asp 파일을 열어보았습니다. Base64로 되어 있군요..

위에 사진 맨밑을 보시면 암호화된 문자들이 어지럽게 쭉 써져있네요...ㅜ_ㅜ 머라고 쓰였는지 모르겠네요...

그럼 우리가 읽기 쉽게 바꿔볼까요?

음... 이런 내용을 숨기고 있었네요.. 위에 보시면 dl 값에 악성코드 다운로드 경로가 적혀있습니다. 얼릉 다운받아보지요 !!

이런 파일이었네요...ad(광고)라는 이름에 exe파일...토탈에 검사해보죠.

ad.exe파일 검사결과

안티바이러스	엔진 버전	정의 날짜	검사 결과
AhnLab-V3	2008.12.19.3	2008.12.19	-
AntiVir	7.9.0.45	2008.12.19	TR/Crypt.XPACK.Gen
Authentium	5.1.0.4	2008.12.20	-
Avast	4.8.1281.0	2008.12.19	Win32:Kavos
AVG	8.0.0.199	2008.12.19	PSW.OnlineGames_r.AP
BitDefender	7.2	2008.12.20	Packer.Malware.NSAnti.1
CAT-QuickHeal	10.00	2008.12.20	(Suspicious) - DNAScan
ClamAV	0.94.1	2008.12.20	-
Comodo	781	2008.12.19	-
DrWeb	4.44.0.09170	2008.12.20	-
eSafe	7.0.17.0	2008.12.18	-
eTrust-Vet	31.6.6269	2008.12.19	-
Ewido	4.0	2008.12.20	-
F-Prot	4.4.4.56	2008.12.19	-
F-Secure	8.0.14332.0	2008.12.20	Suspicious:W32/Malware!Gemini
Fortinet	3.117.0.0	2008.12.20	-
GData	19	2008.12.20	Packer.Malware.NSAnti.1
Ikarus	T3.1.1.45.0	2008.12.20	Worm.Win32.Viking
K7AntiVirus	7.10.559	2008.12.19	-
Kaspersky	7.0.0.125	2008.12.20	Trojan.Win32.Monder.adyw
McAfee	5469	2008.12.19	Generic PWS.ak
McAfee+Artemis	5469	2008.12.19	Generic PWS.ak
Microsoft	1.4205	2008.12.20	TrojanDownloader:Win32/Frethog.C
NOD32	3708	2008.12.20	-
Norman	5.80.02	2008.12.19	-
Panda	9.0.0.4	2008.12.20	Suspicious file
PCTools	4.4.2.0	2008.12.19	-
Prevx1	V2	2008.12.20	-
Rising	21.08.52.00	2008.12.20	-
SecureWeb-Gateway	6.7.6	2008.12.19	Trojan.Crypt.XPACK.Gen
Sophos	4.37.0	2008.12.20	-
Sunbelt	3.2.1801.2	2008.12.11	-
Symantec	10	2008.12.20	-
TheHacker	6.3.1.4.193	2008.12.19	-
TrendMicro	8.700.0.1004	2008.12.19	-
VBA32	3.12.8.10	2008.12.20	-
ViRobot	2008.12.20.1528	2008.12.20	-
VirusBuster	4.5.11.0	2008.12.19	-

추가 정보
File size: 103497 bytes
MD5...: ef2544d99866f06b8b858e2e7c35bd7d

ad.exe 파일 분석 정보

http://www.xxxxxxx.com.tw/jpg_gif/down.txt 을 다운로드 하여서 no1.exe 파일을 추가 다운로드합니다.

no1.exe 토탈결과

안티바이러스	엔진 버전	정의 날짜	검사 결과
AhnLab-V3	2008.12.19.3	2008.12.19	-
AntiVir	7.9.0.45	2008.12.19	TR/Crypt.XPACK.Gen
Authentium	5.1.0.4	2008.12.20	-
Avast	4.8.1281.0	2008.12.19	Win32:Kavos
AVG	8.0.0.199	2008.12.19	Win32/Heur
BitDefender	7.2	2008.12.20	Packer.Malware.NSAnti.1
CAT-QuickHeal	10.00	2008.12.20	(Suspicious) - DNAScan
ClamAV	0.94.1	2008.12.20	-
Comodo	783	2008.12.20	-
DrWeb	4.44.0.09170	2008.12.20	-
eSafe	7.0.17.0	2008.12.18	Suspicious File
eTrust-Vet	31.6.6269	2008.12.19	-
Ewido	4.0	2008.12.20	-
F-Prot	4.4.4.56	2008.12.19	-
F-Secure	8.0.14332.0	2008.12.20	-
Fortinet	3.117.0.0	2008.12.20	-
GData	19	2008.12.20	Packer.Malware.NSAnti.1
Ikarus	T3.1.1.45.0	2008.12.20	Worm.Win32.Viking
K7AntiVirus	7.10.560	2008.12.20	-
Kaspersky	7.0.0.125	2008.12.20	Trojan-GameThief.Win32.OnLineGames.tzrx
McAfee	5469	2008.12.19	Generic PWS.ak
McAfee+Artemis	5469	2008.12.19	Generic PWS.ak
Microsoft	1.4205	2008.12.20	PWS:Win32/Frethog.D
NOD32	3708	2008.12.20	-
Norman	5.80.02	2008.12.19	-
Panda	9.0.0.4	2008.12.20	Suspicious file
PCTools	4.4.2.0	2008.12.20	-
Prevx1	V2	2008.12.20	-
Rising	21.08.52.00	2008.12.20	-
SecureWeb-Gateway	6.7.6	2008.12.19	Trojan.Crypt.XPACK.Gen
Sophos	4.37.0	2008.12.20	-
Sunbelt	3.2.1801.2	2008.12.11	-
Symantec	10	2008.12.20	-
TheHacker	6.3.1.4.193	2008.12.19	-
TrendMicro	8.700.0.1004	2008.12.19	-
VBA32	3.12.8.10	2008.12.20	-
ViRobot	2008.12.20.1528	2008.12.20	-
VirusBuster	4.5.11.0	2008.12.19	-

추가 정보
File size: 161774 bytes
MD5...: b667d46b69a61accc964857fa8df6d4e

입니다. 그리고 haozs0.dll , cao220.dll ,zhido.exe 등도 있습니다.

zhide.exe 레지 정보 입니다.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

zhido = "%System%\zhido.exe" (시스템 시작시 같이 시작됩니다)

저작자표시 비영리 동일조건

티스토리툴바