"stop: c000021a unknown hard error" 블루스크린 원인...악성코드 제작자의 실수? 지난 주말에 유포 된 악성코드 중에서 부팅장애를 발생시키는 악성코드가 확인되었다. 부팅장애의 가장 큰 원인은 EAT(Export Address Table)에 Forward 하는 파일명이 실제 생성 된 파일명과 다르기 때문에 정상적인 ws2help.dll의 기능을 수행하지 못해서다. - 생성 된 파일 C:\Windows\System32\ws2help.dll (변조 된 악성파일) C:\Windows\System32\ws2helpXP.dll (백업 된 정상파일) 정상적으로 악성파일이 동작한다면 Function Forward 가 ws2helpXP.dll 로 지정되어 있어야 하는데, 해당 악성파일은 wshtcpxp.dll을 가르키고 있다. 이 부분이 악성코드 제작자의 실수로 보여진다. 이미 감염 된 PC에서는 w.. 2012. 2. 21. 애드젯(ADget), 광고위젯을 통한 악성코드 유포 주의!! 예전에 애드젯의 광고위젯을 통해 악성코드가 유포 된 적이 있었다. 애드젯(ADget), 광고위젯을 통한 악성코드 유포 공지 이 당시에는 특정 배너를 불러오는 URL에 악성스크립트가 포함되어 있었지만, 이번에는 조금 틀린 방법을 사용한듯 하다. (내가 웹취약점 전문가가 아니기 때문에 어떤식으로 삽입했는지는 모른다) 아래의 그림은 예전에 유포했었던 파일이 코드내용이다. 빨간색 박스내용처럼 난독화 된 코드가 있어서 자동으로 악성 URL로 넘어가게 됬었다. 하지만, 이번 유포를 보게되면 아래와 같다. 코드가 없다;; 정상적인 내용만 존재한다. 그럼 이 페이지는 정상인건가? 정말 그럴까?? 기대도 안했지만 역시나~ 절대 그렇지 않았다!! 위의 그림에서 마지막에 있는 iframe을 태그를 통해 pub, w, h, .. 2012. 1. 7. kill.sys 파일을 이용한 "MajorFunction Hook & Kill AntiVirus Process" 아놔...요즘 짱개들 UPX 같은건 이제 안쓰는구나 ㅠ.ㅠ Virtualization이 들어가있는 Protector 를 사용해서 Unpack도 힘들다. 짱개님들 부디....분석가를 위해 UPX Packing을 해주십쇼 ㅋㅋㅋ Plz..!! 이번 포스팅에 담을 내용은 주말에 변조 된 사이트에서 설치되는 드롭퍼에서 나오는 kill.sys 란 파일이다. (이런 형식이 예전부터 있었을지도 모른다. 다만 내가 몰랐을 뿐 ㅠ.ㅠ) 몰랐던 이유는 해당 kill.sys 파일은 보안프로그램의 프로세스가 있지 않으면 설치되지 않기 때문이다. 그럼 어떤 보안 프로그램 프로세스가 있어야하는가? 현재까지 확인 된 사항은 AYAgent.aye, V3LSvc.exe 이다. 다들 아시겠지만, 알약과 V3 의 프로세스이다. 해당 프로.. 2011. 11. 13. 이전 1 다음
