winrnr.dll을 변경시키는 스파이웨어 발견!! 변조 된 홈페이지에서 실행되는 스파이웨어 중 정상파일인 winrnr.dll을 변조시키는 악성코드가 발견되었다. 국내 및 국외 AV프로그램으로는 아직 탐지하지 못하는 곳이 많다. 파일명 : Winrnr.dll(LDAP RnR Provider DLL) 파일위치 : c:\windows\system32 E467C334985C5947E47E748298526B7B,16896(XP SP2) - 5.1.2600.2180 FC0845B3C18A71E010311DDC1942F7D5,16896(XP SP3) - 5.1.2600.5512 - 정상파일의 PE 악성파일에 의해 수정 된 정상파일 winrnr.dll은 winrnr.dll.BAK 파일명으로 백업되어 있다. - 감염 된 파일의 PE Section에 npx 섹션이 추가 .. 2010. 3. 23. Win32.Loader.G(imm32.dll) 재탐지 해결방법!! 악성파일로 인하여 변조 된 imm32.dll을 Win32.Loader.G으로 탐지하는 경우가 늘어나고 있다. 문제는 변조 된 imm32.dll을 정상적으로 치료하지 못하여 발생 된 문제로 판단된다. 이전에 imm32.dll 변조파일과 동일하게 섹션에 ss32 Section을 추가하지만, 이전과 코드는 달랐다. 변종으로 판단된다. - 관련내용 2009/11/17 - [악성코드소식] - imm32.dll을 변경시키는 스파이웨어 발견!! 이에 수동으로 해결 할 수 있는 방법을 소개한다. 1. C:\WINDOWS\system32 폴더로 이동 2. 변조 된 imm32.dll 이름을 수정(ex, ~imm32.dll) (참고, 정상적인 imm32.dll은 C:\WINDOWS\system32\imm32.dll.bak .. 2010. 1. 26. imm32.dll을 변경시키는 스파이웨어 발견!! 변조 된 홈페이지에서 실행되는 스파이웨어 중 정상파일인 imm32.dll을 변조시키는 악성코드가 발견되었다. 국내 및 국외 AV프로그램으로는 아직 탐지하지 못하는 곳이 대부분이다. 4A489C2C47F64541005EDB79149B3495,110080(XP SP2) - 5.1.2600.2180 7DC8A392C09DDF8C8FB1AA007D19D98B,110080(XP SP3) - 5.1.2600.5512 - 정상파일의 PE - 감염 된 파일의 PE - 생성 된 ss32 Section 2009. 11. 17. 이전 1 2 다음
