최근 웹사이트에서 전파되는 악성코드 중 대부분이 Adobe Flash Player 취약점 (CVE-2011-2110) 을 이용합니다.
대부분 "main.swf?info=인자" 형태로 구성되어 있는데 이때 인자를 디코딩 해주는 페이지를 기존 암호화된 PE 파일을 복호화 해주는 페이지에 추가하였습니다.
왼쪽 XOR DECODER 링크에서 확인하실 수 있으며 기능은 아래와 같습니다.
1) 암호화된 PE 파일 복호화 루틴
Stage 1 - ADD&XOR, XOR 로 PE 파일이 암호화 된 경우
Stage 2 - XOR&Zlib 로 PE 파일이 암호화 된 경우
Stage 3 - PE파일이 아닌 쉘코드인 경우 다운로드 URL 탐색
2) "main.swf?info=인자" 의 경우 인자만으로 악성코드 URL 확인