MIDI 파일 취약점(CVE-2012-0003)을 이용한 악성코드 유포 주의!! 2012년 1월 27일 트렌드 마이크로(Trend Micro) 블로그를 통해 MIDI 취약점을 이용한 악성파일이 발견되었다는 소식을 들었다. 이에 보안업체 및 보안블로그에는 아래와 같은 분석내용들이 올라오고 있다. (내용은 다들 비슷하나^^ 그래도 한번씩 보는것도 도움이 될 것이다. 특히, 벌새님의 블로그는 치료방법에 대해서도 자세하게 나와있으니 참고하면 쉽게 치료할 수 있다.) [트렌드 마이크로] Malware Leveraging MIDI Remote Code Execution Vulnerability Found [nProtect] [주의]MIDI 파일 취약점을 이용한 악성파일 등장 [AhnLab] MS12-004 윈도우 미디어 취약점을 악용한 악성코드 유포 [울지않는벌새] MIDI 취약점을 이용한 정.. 2012. 1. 28. 악성파일 다운로드의 새로운 URL 암호화 방식 악성파일들이 다운로드 시키는 URL을 암호화 시키는건 어제 오늘의 이야기가 아니다. 하지만, 제작자들도 귀찮은건지 Tool이 그렇게 지정되어 있는건지는 모르겠으나~ 암튼 바꼈다;; 예전에는 간단히 XOR, Inc, Dec 같이 간단하게 암호화를 시켰으나, 이번에는 조금 복잡하게 수정했다. 우선 악성파일이 서버로부터 다운로드 받은 update1.txt 파일이다. 내용에 뭔가 이상한 숫자들이 적혀져 있다. 분명 URL이라는 직감은 있었다, 남자의 직감!! ㅋㅋㅋㅋㅋㅋㅋㅋ 자 그럼 이 내용이 어떻게 URL이 되는지 알아보자!! 드롭퍼를 살펴보면 update1.txt 파일을 다운로드 하여, 내용을 파싱하는 부분을 지나면 레지스터에 해당 숫자들이 저장한다. 음...사진을 분명 많이 찍어놨는데~ 왜 이거밖에 없는건.. 2011. 11. 8. SWF 취약점을 가진 악성코드 간략 설명(mm913.exe) 9월 14일 Adobe사에서 제공하는 Adobe Flash Player의 취약점을 발표함 이를 악용한 악성파일이 빠르게 발견되었는데, 잠시 살펴보자~ 이 글은 기록용이므로~ 정보가 많이 없음 ㅎㅎ (개인적인 기록용) 우선 악성 SWF 파일을 살펴보면, CWS = 즉! 압축이 되어 있다. 익숙하게 풀어보면, FWS로 쉽게 압축을 해제 할 수 있다. 압축을 풀어보니, ShellCode로 보이는 것들이 잔뜩 있다...;; ㅎㄷㄷ 너무 많다 ㅋㅋ 아지만 0c0c909으로 보아 NopSlide도 존재할 것으로 보인다. 해당 Hex값을 Disassem 해보니, XOR(E2)로 변환 하는 코드가 보였다. 실제로 위의 ShellCode에는 특정부분으로 JMP 후 URL을 다운로드 하는 코드였다. 다운로드 하는 파일은 .. 2010. 9. 20. 국내 홈페이지 변조로 다운로드 되는 exe파일들의 암호화 방식 예전 허위 RAR 해더를 가지고 있던 악성파일들이 활개치던 경우가 있었다. 그 포스팅이 없어서 설명을 하기 어렵지만 ㅠ_ㅠ 관련 된 포스팅은 VirusLab 블로그에 가면 쉽게 찾을 수 있다. 그럼 다시 본론으로, 요즘들어 국내 홈페이지 변조가 다시 활발하게 이루어 지고 있다. 이런 변조의 특이점은 최종적으로 다운로드 되는 exe파일이 정상파일이 아니라는 점이다. - 디코딩 후 다운로드 된 aaa.exe 파일 보는 것과 같이 Not a valid PE file 이라는 문구가 뜬다. 이 말은 PE파일이 아니라는 것이다. 그럼 실제 어떤 HEX값을 가지고 있는지 확인해 보자. UltraEdit로 해당 파일을 열어 보았다. 음... 이건 모 뭥미!! 전혀 PE파일의 구조가 아니였다. 위와 같이 정상적인 aaa.. 2010. 4. 19. 이전 1 다음
