MBR(Master Boot Record)감염으로 재생성되는 lpk.dll 악성코드 주의!! 요즘 MBR 자주 보네 ㅠ.ㅠ 분석도 어렵고~ 이번 포스팅도 기록용이니~ 그냥 가벼운 마음으로 고고싱!! 지난 주 지X파일 사이트가 변조되어 유포 된 악성파일 중 MBR을 감염시키고, 정상파일인 imm32.dll 을 변조시키는 것이 확인되었다. 정상파일 변조내용은 다음에 다시 쓰기로 하고, 이번 포스팅에서는 MBR을 감염시켜 악성파일(lpk.dll)이 재생성 되는걸 막아보자. 우선 최초 악성파일이 실행되면, 다음과 같이 파일과 레지스트리가 생성된다. - 파일 C:\Windows\System32\Disksystem.exe C:\Windows\System32\halc.dll C:\Windows\System32\drivers\FileEngine.sys C:\Windows\lpk.dll (악성파일 감염 후 재부.. 2011. 9. 18. 홈페이지 변조를 통한 악성코드 유포 주의(Comres.dll 및 imm32.dll 파일 변조) (위의 그림은 정상적인 Windows XP - SP3의 Comres.dll의 등록정보이다. 참고로 올려놓았다) 주말에 발생 된 홈페이지 변조로 인하여 윈도우즈 정상 시스템 파일인 Comres.dll 변조 되는 사례가 나오고 있다. 예전에 온라인게임 dll 파일을 동작시키기 위해 Comres.dll이 변조 된 경우(포스팅이 없다 ㅠ_ㅠ 블로그를 하기전이라)가 있었고, 근래에 와서는 네이트온으로 전파 되는 악성코드가 Comres.dll를 변조 시키는 경우가 있었다. - 관련글 2010/07/13 - [악성코드소식] - 네이트온 악성코드 "V3 Lite" 제품파일명을 가장하여 배포 위의 글을 보면 쉽게 알 수 있겠지만, 결론적으로 설명하면 다음과 같다. 정상적인 파일인 Comres.dll -> x_com.dl.. 2011. 1. 5. 이전 1 다음
