태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'winzipices.cn'에 해당되는 글 1건

  1. 2008.05.08 SANS 다수의 SQL Injection Code 보고
신종악성코드정보2008.05.08 09:26


SANS ISC 에서 다수의 SQL Injection 공격으로 인한 Exploit Script Code 삽입 피해를 보고했다.

http://isc.sans.org/diary.html?storyid=4393

하지만 해당 공격이 포착된 시점은 이미 좀 전이고, 악성코드를 링크한 일부 사이트 등도 기존에 사용되었던 곳 중 하나이다.

ISC 에서 보고한 것을 다시 정리하면 아래와 같고 현재 일부는 차단이 된 상태이다. (최종 설치되는 EXE 샘플도 모두 확보한 상태)

hxxp://winzipices.cn
hxxp://www.51.la
hxxp://bbs.jueduizuan.com
hxxp://bluell.cn
hxxp://js.users.51.la

jueduizuan 의 ip.js 에 의해서 메인 사이트로 연결되고 ESC가 정상적으로 작동될 경우 아래의 파일을 설치하도록 되어 있다.

링크된 파일 중 14.htm 은 아래와 같이 MS06-014 Exploit Code 를 사용하였다.

사용자 삽입 이미지

그외 MS07-004, Real Player Exploit 등의 취약점이 이용되고 있다.

해당 공격에 대해서 시만텍에서는 최종 악성코드 분석정보를 공개하였다.

[W32.Wowinzi.A]
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-050714-5642-99&tabid=2

아래 유포된 파일외에서도 악성코드 서버에는 다량의 악성코드가 존재한다.

ri.exe (38,400 바이트)
test.exe (28301 바이트)
1.exe (38400 바이트)

악성코드에 감염이 되면 Rootkit 과 트로이목마가 설치되며, 일부 확인된 바로는 Otwycal 변종도 설치되는듯 싶다.

특정 Exploit 이 실행되면 월드 오브 워 크래프트(온라인 게임)의 캡처화면이 있는 링크를 연결시킨다.

http://www.bsu.edu/web/nmmakridakis/images/lolret1.jpg
http://www.bsu.edu/web/nmmakridakis/images/lolret2.jpg
http://www.bsu.edu/web/nmmakridakis/images/lolret3.jpg
http://www.bsu.edu/web/nmmakridakis/images/lolret4.jpg
http://www.bsu.edu/web/nmmakridakis/images/lolret5.jpg
http://www.bsu.edu/web/nmmakridakis/images/lolret6.jpg
http://www.bsu.edu/web/nmmakridakis/images/lolret7.jpg
http://www.bsu.edu/web/nmmakridakis/images/lolret8.jpg

Posted by viruslab