반응형
최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다.
그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다.
version.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.
- Windows XP sp2 (ver 5.1.2600.2180)
MD5 : BE01AA1E24EC4F1A49B86C2E8A0137B7
Size : 18944 Byte
- Windows XP sp3 (ver 5.1.2600.5512)
MD5 : BE01AA1E24EC4F1A49B86C2E8A0137B7
Size : 18944 Byte
- Windows7 sp1 (ver 6.1.7600.16385)
MD5 : 702254574E7E52052DE39408457B7149
Size : 21504 Byte
- 정상파일과 악성파일의 비교
정상파일 version.dll 의 크기는 약 19KB 이며, 새롭게 생성 된 version.dll 악성파일의 크기는 65KB 이다.
악성 version.dll 의 경우는 원본파일의 코드를 가지고 있지 않아서 백업 한 version32.dll 파일의 Export Table을 참조한다
이에 따른 악성파일 분석은 다음에...To Be Continued...!!
version.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.
<정상파일 정보>
파일명 : version.dll(Version Checking and File Installation Libraries)
파일위치 : C:\Windows\system32
- Windows XP sp2 (ver 5.1.2600.2180)
MD5 : BE01AA1E24EC4F1A49B86C2E8A0137B7
Size : 18944 Byte
- Windows XP sp3 (ver 5.1.2600.5512)
MD5 : BE01AA1E24EC4F1A49B86C2E8A0137B7
Size : 18944 Byte
- Windows7 sp1 (ver 6.1.7600.16385)
MD5 : 702254574E7E52052DE39408457B7149
Size : 21504 Byte
- 정상파일과 악성파일의 비교
정상파일 version.dll 의 크기는 약 19KB 이며, 새롭게 생성 된 version.dll 악성파일의 크기는 65KB 이다.
악성 version.dll 의 경우는 원본파일의 코드를 가지고 있지 않아서 백업 한 version32.dll 파일의 Export Table을 참조한다
이에 따른 악성파일 분석은 다음에...To Be Continued...!!
'IT 보안소식' 카테고리의 다른 글
| 구글 크롬(Google Chrome), 16.0.912.77 업데이트!! (4) | 2012.01.25 |
|---|---|
| version.dll 과 safemon.dll 을 이용하여 개인정보를 가로채는 악성파일 주의!! (1) | 2012.01.17 |
| 안드로이드(Android), 슬금슬금 모습을 드러내는 안드로이드 악성코드 "IRC bot for Android" 에 대한 자료 (1) | 2012.01.16 |
| 안드로이드(Android), 성인 사이트로 이동 후 결제를 유도하는 "Trojan.Android.Jporn.A" 주의!! (3) | 2012.01.13 |
| 알약(ALYac), 알약 2.5 기업용 "vb100 - Windows 7 Professional" 국제인증 통과!!(2011년 12월) (4) | 2012.01.11 |
댓글