annyoung

남일물산 사이트에서 파밍 유포중 본문

분석생활

남일물산 사이트에서 파밍 유포중

nopsled 2015. 4. 20. 00:32



 FileName 

 ajk.exe

 MD5

 3CEB54A7BCA642F7A5E997A96F603A40

 SHA-1

 4EFD870132D70901850E569DB9939BB2B837737E

 Packer

 VMProtet 2.0x


여기도 exploit이 업로드 되어 있는건 아니고 바이너리만 업로드되어 유포지로 사용중.





.C...........www.pinterest.com..... 

.C...........www.pinterest.com..................www.pinterest.com.edgekey.net../......+....e9343.aakamaiedge.I.Z.............9 

블로그와 비슷한 기능을 가진 pinterest.com에 DNS 쿼리를 날린다.




https://www.pinterest.com/pin/2181499792779873에 접속한다.



CD-KEY 문자열 중 DG8FV-B9TKY-FRT9J-6CRCC-XPQ4G-를 제외한 후 남은 뒷 문자열 중 ABCD를 .으로 치환하여 파밍 IP를 복호화 하는 방식으로 진행된다.


오랜만에 보는 파밍이라 반갑다. 근데 오랜만에 봤는데 악성 행위를 하지 않는다.-_-;; 문자열이 달라서(DG8FV이어야 하는데 DGV만 있어서) 그런가?


복호화 된 파밍 IP는 결국엔 136.0.182.2(난독화 문자열은 136A0B182C2D)이다.




 URL

 파밍 은행명

 http://136.0.182.2:8000

 국민은행

 http://136.0.182.2:8001

 우리은행

 http://136.0.182.2:8002

 농협은행

 http://136.0.182.2:8004

 금융결제원

 http://136.0.182.2:8005

 IBK기업은행

 http://136.0.182.2:8007

 신한은행


각 클론된 은행 사이트들은 포트를 열어 사이트들을 관리하고 있었으며 관리자 페이지는 없는 것 같다.

Comments