반응형
어제 일본으로 유출시키는 악성코드 변종이 발견되었다고 포스팅 하였었는데, 전체적인 구도가 잡혀서 다시 포스팅함당!!
이번에는 미국과 일본으로 동시에 고고싱 시킨다.
현재까지 수집 된 파일이다.
보는대로 모두 Daum 과 연결되어 있을 듯 한 파일명을 하고 있다. 벤더도 마찬가지며,
아마도 나도 그냥 Daum File이라고 생각하고 넘어갈 수 도 있었을 듯 하다 ㅡㅡ;;
이번 변종에 대한 내용을 간략하게 분석을 하자면 다음과 같다.
1. V.DWN.Infostealer.65904(DaumCafeOn.dll, DaumCafeOn.inf)
BHO에 등록되어 동작하며, 인터넷 익스플로러 실행 시 특정 서버로 연결되어 파일을 다운로드 받는다.
http://218.61.**.***:801/update/proc.asp <- 이넘이 주범이다. 하지만 수시로 관리자가 서버를 닫는 듯 하다.
2. V.DWN.Agent.ruruben(MCT.exe)
스팸 메일러로써 특정 서버에 접속하여 지정 된 메일에 메일발송(비아그라 및 시아리스 성인광고)
3. V.DRP.Infostealer.123256(hp.exe)
V.DWN.Infostealer.74104 파일을 드롭시킨다.
3-1. V.DWN.Infostealer.74104(DaumKeysec.dll)
BHO에 등록되어 동작하며, 인터넷 익스플로러 실행 시 특정 서버로 연결되어 파일을 다운로드 받는다.
http://118.103.**.***:88/u/(a~z).n(서버는 존재하지만 파일이 존재하지 않음. 아직 끝나지 않은 듯 한 느낌??)
4. V.DRP.Agent.120256(32.exe)
K.KLG.DaumAX.71104 파일을 드롭시킨다.
4-1. K.KLG.DaumAX.71104(DaumAX.dll)
BHO에 등록되어 동작하며, 사용자의 사이트 로그인 아이디/비번을 가로채어 C:\KB977165-v3.log 파일에 암호화 하여 저장한다.
인터넷 익스플로러 실행 시 C:\KB977165-v3.log 파일에 저장된 데이터를 174.139.**.***:41000으로 전송시킨 후 삭제시킨다.
5. K.KLG.DaumLogin.71096(DaumLogin.dll)
BHO에 등록되어 동작하며, 익스플로러 시작 시 특정서버(118.103.**.***:41000)로 MAC Adress를 전송한다.
사용자의 사이트 로그인 아이디/비번을 가로채어 C:\WINDOWS\KB968871-v2.log 파일에 암호화 하여 저장한다.
인터넷 익스플로러 실행 시 C:\WINDOWS\KB968871-v2.log 파일에 저장된 데이터를
118.103.**.***:41000
으로 전송시킨 후 삭제시킨다.
'IT 보안소식' 카테고리의 다른 글
| 네이트온 악성코드 사진변경(2010-05-03) (4) | 2010.05.03 |
|---|---|
| 한국인터넷진흥원(KISA), 제 7회 해킹방어대회(2010 Hacking Defence & Conference) 개최 (0) | 2010.04.26 |
| 시만텍(Symantec), 제우스봇(ZBot)의 파일감염 기법 보고 (4) | 2010.04.23 |
| 사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생 (0) | 2010.04.22 |
| 안철수연구소(Ahnlab),V3 엔진 업데이트 (2010.04.21.02) 장애 조치 안내 (4) | 2010.04.22 |
댓글