본문 바로가기
Lnk 취약점을 이용하는 Sality 감염 악성코드 분석 어제 포스팅 하였던 V.WOM.Sality.3.Gen과 관련이 있는지에 대해서는 아직까지 밝혀지지 않았지만, 아무래도 연관성이 있어 보인다. 조금 급조한 분석이지만, 차후 까먹을까봐 ㅠ_ㅠ 기록용으로 남겨둔당~~ - 드롭퍼 분석 1. 네트워크 공유폴더 접근 WnetOpenEnumA, WNetEnumResourceA API를 사용하여 네트워크 폴더에 접근한다. DWORD WNetOpenEnum( __in DWORD dwScope, __in DWORD dwType, __in DWORD dwUsage, __in LPNETRESOURCE lpNetResource, __out LPHANDLE lphEnum ); DWORD WNetEnumResource( __in HANDLE hEnum, __inout LPDWOR.. 2010. 7. 30.
Worm.Sality.3 감염코드가 포함 된 오토런 악성파일 주의!! 현재 많이 확인 되고 있는 내용 중 하나이다. Autorun.inf 를 이용하여 이동식디스크 전파가 가능하며, 감염 바이러스 Sality.3을 감염시키는 아주 못 된 녀석이다 ㅡㅡ;; 실행파일이 시작 되면 스레드(thread)를 생성하여 모든 프로세스에 주입시킨 후, C루트에 파일을 지속적으로 감시 및 생성한다. (스레드의 정적분석은 차후에 시간이 되면~ 하도록함 ㅎㅎ 요즘 너무 바쁨 ㅠ.ㅠ) 이 악성파일은 2가지의 특징을 가지고 있다. 1. 생성 되는 파일(exe, pif 확장자를 이용)이 모두 100KB(103,140 바이트)로 생성되는 특징이 있다. 2. PE파일 속 특이한 스트링을 담고있다.(Hello world! Caption) - 오토런도 안티바이러스의 탐지를 피하기 위해 가비지코드가 조금씩 .. 2010. 7. 28.
삼성(Samsung), 스마트폰 웨이브(Wave)에서 Autorun 악성코드 발견 6월 2일 삼성의 바다 OS를 탑재한 스마트폰 웨이브에서 악성코드가 포함되어 판매되었다고 한다. - 관련내용 http://www.f-secure.com/weblog/archives/00001959.html http://www.sophos.com/blogs/gc/g/2010/06/02/samsung-wave-ships-malwareinfected-memory-card/ http://hummingbird.tistory.com/2156 http://viruslab.tistory.com/1817 해당 파일은 slmvsrv.exe, aUtoRuN.iNF 파일로 어떻게 들어갔는지 의문이다. 감염 된 파일은 현재 많은 백신들이 탐지하는 파일이므로, 큰 문제는 없겠지만 이렇게 대기업 제품에 또한 신상제품에 이런 악성파.. 2010. 6. 3.
공인인증서, 이제 USB로만? 오늘 어처구니 없는 기사가 하나 떳다. 해킹방지를 위해 하드디스크에 공인인증서를 설치 하지 못하는 것이다. (100% USB는 아니기때문에 난 계속 하드디스크에다가 설치 할 것이다. 하지만 개인적으로는 좋은 방법은 아닌 듯 하다) 이건 100%가 아니라, 1000%이상 USB악성코드(즉, Autorun.inf를 이용한 악성코드)의 비율이 훨씬 많아 질 것으로 예상된다. 그리고 짜증나는건 점차 하드디스크를 공인인증서에서 뺀다는거다 ㅡ.ㅡ; 이런 비러머글 새퀴들!! - USB에 공인인증서를 저장 할 시 문제점 1) USB 분실 시 손해피해가 더 큼 2) USB 악성코드 증가로 공인인증서가 타겟이 될 가능성이 높아짐 3) USB 디스크가 없는 경우 - 공인인증서, PC 저장 못한다(http://news.don.. 2010. 1. 15.