국내 변조 된 홈페이지를 통해 설치되는 악성코드(midisappe.dll, VSLay.dll, ahnsvr.sys, ntfsny.sys) 이번주도 역시나 개밥 털어가듯 사용자 정보를 털어가는 주말이 되었다. 먼가 대책을 마련해야 할텐데~ 맨날 소 잃고 외양간 고치는 격이니~ 참 답답스럽다;; 암튼 주말을 이용한 악성코드 중 재미있는 내용이 확인되어 잠시 블로그에 옮긴다. 보통 변조 된 사이트에서 악성코드를 사용자들이 감염되기 쉽게 실행되기 위해 EXE(실행파일) 확장자를 많이 이용한다. 하지만 이번에 내려받는 파일은 확장자는 exe 이지만 실제로는 dll 파일로써 쉘코드에 의해 로드되어 또 다른 파일을 설치한다. 많이 이용되고 있는 IE취약점, Adobe Flash 취약점이 지속적으로 이용되고 있으니, 보안 업데이트 및 소프트웨어 업데이트 합시다!! (업데이트 안하는 씨빠빠들아~ 엉아가 밑에 링크 남겨놨다. 제발 업데이트 좀 해라!!) -.. 2011. 7. 23. [정상파일변조] 변조된 사이트를 이용한 정상파일(imm32.dll)을 수정하는 악성파일 주의!! 최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 이번 내용은 이슈는 아니다. 하지만, 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 변종이여서 기록용으로 포스팅을 한다. imm32.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 요즘 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다. 파일명 : imm32.dll(Windows XP IMM32 API Client DLL) 파일위치 : C:\Windows\system32 4A489C2C47F64541005EDB79149B3495,110080(XP SP2) - 5.1.2600.2180 7DC8A392C09DDF8C8FB1AA007D19D98B,110080(XP SP3) - 5.1.2600.5.. 2011. 5. 11. 홈페이지 변조를 통한 악성코드 유포 주의(Comres.dll 및 imm32.dll 파일 변조) (위의 그림은 정상적인 Windows XP - SP3의 Comres.dll의 등록정보이다. 참고로 올려놓았다) 주말에 발생 된 홈페이지 변조로 인하여 윈도우즈 정상 시스템 파일인 Comres.dll 변조 되는 사례가 나오고 있다. 예전에 온라인게임 dll 파일을 동작시키기 위해 Comres.dll이 변조 된 경우(포스팅이 없다 ㅠ_ㅠ 블로그를 하기전이라)가 있었고, 근래에 와서는 네이트온으로 전파 되는 악성코드가 Comres.dll를 변조 시키는 경우가 있었다. - 관련글 2010/07/13 - [악성코드소식] - 네이트온 악성코드 "V3 Lite" 제품파일명을 가장하여 배포 위의 글을 보면 쉽게 알 수 있겠지만, 결론적으로 설명하면 다음과 같다. 정상적인 파일인 Comres.dll -> x_com.dl.. 2011. 1. 5. 이전 1 다음
