본문 바로가기
Lnk 취약점을 이용하는 Sality 감염 악성코드 분석 어제 포스팅 하였던 V.WOM.Sality.3.Gen과 관련이 있는지에 대해서는 아직까지 밝혀지지 않았지만, 아무래도 연관성이 있어 보인다. 조금 급조한 분석이지만, 차후 까먹을까봐 ㅠ_ㅠ 기록용으로 남겨둔당~~ - 드롭퍼 분석 1. 네트워크 공유폴더 접근 WnetOpenEnumA, WNetEnumResourceA API를 사용하여 네트워크 폴더에 접근한다. DWORD WNetOpenEnum( __in DWORD dwScope, __in DWORD dwType, __in DWORD dwUsage, __in LPNETRESOURCE lpNetResource, __out LPHANDLE lphEnum ); DWORD WNetEnumResource( __in HANDLE hEnum, __inout LPDWOR.. 2010. 7. 30.
Worm.Sality.3 감염코드가 포함 된 오토런 악성파일 주의!! 현재 많이 확인 되고 있는 내용 중 하나이다. Autorun.inf 를 이용하여 이동식디스크 전파가 가능하며, 감염 바이러스 Sality.3을 감염시키는 아주 못 된 녀석이다 ㅡㅡ;; 실행파일이 시작 되면 스레드(thread)를 생성하여 모든 프로세스에 주입시킨 후, C루트에 파일을 지속적으로 감시 및 생성한다. (스레드의 정적분석은 차후에 시간이 되면~ 하도록함 ㅎㅎ 요즘 너무 바쁨 ㅠ.ㅠ) 이 악성파일은 2가지의 특징을 가지고 있다. 1. 생성 되는 파일(exe, pif 확장자를 이용)이 모두 100KB(103,140 바이트)로 생성되는 특징이 있다. 2. PE파일 속 특이한 스트링을 담고있다.(Hello world! Caption) - 오토런도 안티바이러스의 탐지를 피하기 위해 가비지코드가 조금씩 .. 2010. 7. 28.
마이크로소프트(MicroSoft), Lnk File 0-Day에 대한 자료들 이번 Lnk 제로데이에 대한 내용들을 링크로 정리 해 둔다. 분석을 얼렁 끝내야 할텐데 ㅠ_ㅠ - 관련 링크 http://anti-virus.by/en/tempo.shtml http://www.securelist.com/en/blog/269/Myrtus_and_Guava_Episode_1 http://www.securelist.com/en/blog/271/Myrtus_and_Guava_Episode_2 http://www.securelist.com/en/blog/272/Myrtus_and_Guava_Episode_3 http://www.securelist.com/en/blog/278/LNK_zero_day_the_fundamentals http://www.f-secure.com/weblog/archive.. 2010. 7. 28.