반응형
지난 3월 3일에 발견 된 네이트온 악성코드 변종에 대해서 오늘에서야 파일을 보게되었다.
살펴보니, 예전과 크게 다른것은 없었으나, 눈에 띄이는 점은 PE 헤더가 변형되어있다는 점이다.
보통 PE파일은 MZ로 시작하지만, ML로 수정되어 있는 것이 보인다.
이것은 보안프로그램의 탐지를 우회하려는 개수작으로 보여진다.
PE헤더 변경 이외에도 수정 된 사항은 다음과 같다.
1. 파일명 변경
C:\WINDOWS\system\Baidog.dat
C:\WINDOWS\system\Lcomres.dat
C:\WINDOWS\system\Sting.log
C:\WINDOWS\system\ExeWen.exe
C:\WINDOWS\system\Lin.log
2. 레지스트리 삭제가 추가(정확히 기억이 안남;; 예전에도 있었는지 ㅋㅋ)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"AhnLab V3Lite Tray Process" = "C:\Program Files\AhnLab\V3Lite\v3ltray.exe"
3. 패스워드 정보 외부유출 추가
Nexon
'IT 보안소식' 카테고리의 다른 글
| 외환은행(Korea Exchange Bank), 인터넷뱅킹 보안에 좋은 화면키패드 설정 (2) | 2010.03.09 |
|---|---|
| Energizer DUO USB배터리 충전기프로그램을 통해 전파되는 악성코드주의 (0) | 2010.03.09 |
| 키보드 레이아웃(Keyboard Layout)을 이용한 악성코드 배포 주의!! (0) | 2010.03.08 |
| 잉카인터넷(INCA Internet), 영국에 유럽법인 ‘엔프로텍트 유럽’ 설립 (1) | 2010.03.05 |
| 네이트온 악성코드 사진변경(2010-03-03) (4) | 2010.03.03 |
댓글