공다팩을 이용한 악성코드 유포.

Posted by Ray_Forever analysis/Decoded : 2013. 5. 1. 23:48

패킷으로 복구해본 것인데. 재미있다..

 

편의상 위/변조된 곳은 http://rayforever.tistory.com ㅋㅋㅋ

앞으로 많은 접속을 부탁드리며,,

악성코드 유포지는 재현안되서 그냥 공개 ㅋㅋ

=================================================

hxxp://rayforever.tistory.com/\  (이거는 루트라는 뜻)
└ hxxp://rayforever.tistory.com/index.aspx
    └ hxxp://rayforever.tistory.com/AgInstall.js
        └ hxxp://rayforever.tistory.com/jpg.htc
             └ hxxp://198.204.244.50:66/adx.gif (다동 0.44)
                 └ hxxp://198.204.244.50:66/qk.exe
hxxp://rayforever.tistory.com/hidden.html

================================================

 

 

 위 그림은 처음 시작을 알리는 부분..

 

 

 삽입된 파일을 불러 오는 부분..

 

 

맨 하단에 삽입이 된 부분..

 

 

파일을 열어서 보면.. 위와 같이 되어있는데.

이걸 멜질라로 붙여넣기로 간단히 디코딩이 가능하다..

 

이게 바로 adx.gif... 다동이다 -.-;;

 

and.

================================================================================================================================================================


hxxp://198.204.244.50:66/adx.gif (다동 0.44) 를 디코딩 하면. 아래와 같은데//. 현재 다운이 안된다;;;

hxxp://198.204.244.50:66/DHxT0.jpg (=GondadGondadExp.class)
hxxp://198.204.244.50:66/eTmmau5.jpg (=GondadExx.Ohno.class)
hxxp://198.204.244.50:66/tqjJNwX6.jpg (=gond1723.Gondattack.class)

8AD9C840-044E-11D1-B3E9-00805F499D93 (IE에서 JAVA 웹 플러그인 관련 Object Code)
hxxp://198.204.244.50:66/UAtCnt1.jpg (=cve2012xxxx.Gondvv.class)
hxxp://198.204.244.50:66/adcI5.jpg (=gond20125076.Gondqq.class) => CVE 2012-5076 (=2012년 11월말에 나옴. GenericConstructor)
 - 특정 클래스가 특정 접근 생성자를 통해 초기화 할 수 있는 클래스. 짧은 코딩으로 reflective 코드의 어려운 작성을 피할 수 있음
hxxp://198.204.244.50:66/DmVzkAw5.jpg (=xml20130422.XML20130422.class) => CVE 2013-0422 (=1월에 나온 Java Applet JMX 0day Remote Code Execution 취약점)

hxxp://198.204.244.50:66/BpTTy3.swf (=Adobe Flash)
hxxp://198.204.244.50:66/pXDcVz0.html (=IE ver 6)
hxxp://198.204.244.50:66/DHxT0.html (=IE ver 8)

 

================================================================================================================================================================

 

이렇게 이루어져있는데.

하나씩 이어진다는 게 재미있을 뿐이다..

모르고 지나칠 것들이 많아서, 잘 봐야 겠다는 생각을 했다..

저작자표시 비영리 변경금지 (새창열림)

'analysis > Decoded' 카테고리의 다른 글

java 파일. (apps.jar)  (0) 2013.12.20
Private Exploit ToolKit  (0) 2013.07.20
띄우면서 Decode.  (0) 2013.01.04
이렇게 만들거면...ㅋ  (0) 2013.01.01
Mass SQL  (0) 2012.12.27
  

티스토리툴바