2012. 2. 9. 18:45
728x90
주소로 가보면 어떠한 js 파일이 있는지 확인이 가능하다.
먼저 악성 스크립트의 모습이다.
이런식으로 되어있고 e가 eval로 되어있는 것을 확인하였고 w형태로 받아서 c로 인자값을 받아와 실행하는 구조가 된다.
우리는 이러한 eval부분을 화면에 표시하여 저 값들이 디코딩 되었을 시 값을 확인 할 수 있다.
이렇게 e(c) 부분은 document.wirte(c);로 바꾸어서 화면에 출력하게 하는 것이다.
이렇게 바꾼 후 html 파일을 실행하면 다음과 같이 보이지 않던 이상한 쉘 코드 부분같은것이 보이게 된다. 문제는 우리는 이러한 값으로도 알 수 없다는 것이다. 이 쉘 값들을 복사하여 마질라로 가져온다.
쉘 코드 부분은 복사하여 misc decoders에 txt로 넣어 ucs2 to hex를 실행하여 유니코드의 값을 바이너리 값으로 바꾸게 된다.
바꾼후 값들을 복사하여 hex view로 들어가서 복사한 값을 hex값으로 붙여넣은 후 원래는 저런 코드가 보이지 않는 값이 있어 우리는 find xor key 값에서 http를 넣어 검사하게 하면 다음과 같은 28 key 값이 뜨며 이걸 적용하여 xor 적용하게 되면 쨔잔 하고 http 값이 뜨게 된다. 자 ~~~여기까지 힘들게 오셨습니다. 고생하셨어요~!외울건 외우고 이해할건 이해해야겠쬬!!! 이건 참고로 제 기억력이 나뻐서 기억력을 살리기 위해 써놓았습니다. 태클 환영합니다.
먼저 악성 스크립트의 모습이다.
중간 코드 생략~~
이런식으로 되어있고 e가 eval로 되어있는 것을 확인하였고 w형태로 받아서 c로 인자값을 받아와 실행하는 구조가 된다.
우리는 이러한 eval부분을 화면에 표시하여 저 값들이 디코딩 되었을 시 값을 확인 할 수 있다.
이렇게 바꾼 후 html 파일을 실행하면 다음과 같이 보이지 않던 이상한 쉘 코드 부분같은것이 보이게 된다. 문제는 우리는 이러한 값으로도 알 수 없다는 것이다. 이 쉘 값들을 복사하여 마질라로 가져온다.
쉘 코드 부분은 복사하여 misc decoders에 txt로 넣어 ucs2 to hex를 실행하여 유니코드의 값을 바이너리 값으로 바꾸게 된다.
바꾼후 값들을 복사하여 hex view로 들어가서 복사한 값을 hex값으로 붙여넣은 후 원래는 저런 코드가 보이지 않는 값이 있어 우리는 find xor key 값에서 http를 넣어 검사하게 하면 다음과 같은 28 key 값이 뜨며 이걸 적용하여 xor 적용하게 되면 쨔잔 하고 http 값이 뜨게 된다. 자 ~~~여기까지 힘들게 오셨습니다. 고생하셨어요~!외울건 외우고 이해할건 이해해야겠쬬!!! 이건 참고로 제 기억력이 나뻐서 기억력을 살리기 위해 써놓았습니다. 태클 환영합니다.
728x90
'분석 > 악성파일 분석' 카테고리의 다른 글
| mbr 바리어스의 Xpaj 에 관한 정보 (0) | 2012.05.03 |
|---|---|
| 파일 시그니처 모음 (Common File Signatures) (0) | 2012.04.05 |
| Step-by-Step Reverse Engineering Malware: ZeroAccess / Max++ / Smiscer Crimeware Rootkit (2) | 2012.02.09 |
| 해외 악성파일 (0) | 2012.02.03 |
| Acad.vlx 바이러스 정리 (0) | 2012.01.27 |