'보안 프로그램 프로세스 종료' 태그의 글 목록

본문 바로가기

[정상파일변조] 변조된 사이트를 이용한 정상파일(wshtcpip.dll)을 수정하는 악성파일 주의!! 최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다.그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다.자세한 내용은 아래의 링크를 참조하시길^^안카메라(AnCamera), 변조 된 업데이트 파일에서 생성 되는 온라인게임 스파이웨어 감염 주의!!wshtcpip.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.파일명 : wshtcpip.dll (Windows Sockets Helper DLL)파일위치 : C:\Windows\system32 - Windows XP sp2.. 2013. 3. 26.

[정상파일변조] 변조된 사이트를 이용한 정상파일(wshtcpip.dll)을 수정하는 악성파일 주의!! 최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다.그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다.wshtcpip.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.파일명 : wshtcpip.dll (Windows Sockets Helper DLL)파일위치 : C:\Windows\system32 - Windows XP sp2 (ver 5.1.2600.2180)MD5 : 65892C620E536CA2A6DAFD004A3ABB19Size : 19968 Byte- .. 2012. 2. 4.

version.dll 과 safemon.dll 을 이용하여 개인정보를 가로채는 악성파일 주의!! 해당 파일들은 주말을 이용한 국내 홈페이지 변조(어딘지는 말하지 않겠음, 게임 방송하는 사이트 라는것만...) 를 통해 설치되었으며, 윈도우 정상파일인 version.dll을 변조하여 악성행위를 하게 된다. 정상파일과 변조 된 악성파일의 차이점은 아래의 링크에서 확인하면 된다. [정상파일변조] 변조된 사이트를 이용한 정상파일(version.dll)을 수정하는 악성파일 주의!! 그럼 실제 사용자PC에 설치되는 악성파일의 행위들을 살펴보자. 현재 상세 분석 중이니~ 내용이 좀 부실 할 수 있음 ㅎㅎㅎㅎ * 생성파일 C:\WINDOWS\system32\version.dll (변조 된 정상파일-악성) C:\WINDOWS\system32\version32.dll (백업 된 정상파일) C:\WINDOWS\syste.. 2012. 1. 17.

[정상파일변조] 변조된 사이트를 이용한 정상파일(version.dll)을 수정하는 악성파일 주의!! 최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다. 그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다. version.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다. 파일명 : version.dll(Version Checking and File Installation Libraries) 파일위치 : C:\Windows\system32 - Windows XP sp2 (ver 5.1.2600.2180) MD5 : BE01AA1E24EC4F1A49B86C2E8A0137B7 Size : 18944 Byte - .. 2012. 1. 17.

kill.sys 파일을 이용한 "MajorFunction Hook & Kill AntiVirus Process" 아놔...요즘 짱개들 UPX 같은건 이제 안쓰는구나 ㅠ.ㅠ Virtualization이 들어가있는 Protector 를 사용해서 Unpack도 힘들다. 짱개님들 부디....분석가를 위해 UPX Packing을 해주십쇼 ㅋㅋㅋ Plz..!! 이번 포스팅에 담을 내용은 주말에 변조 된 사이트에서 설치되는 드롭퍼에서 나오는 kill.sys 란 파일이다. (이런 형식이 예전부터 있었을지도 모른다. 다만 내가 몰랐을 뿐 ㅠ.ㅠ) 몰랐던 이유는 해당 kill.sys 파일은 보안프로그램의 프로세스가 있지 않으면 설치되지 않기 때문이다. 그럼 어떤 보안 프로그램 프로세스가 있어야하는가? 현재까지 확인 된 사항은 AYAgent.aye, V3LSvc.exe 이다. 다들 아시겠지만, 알약과 V3 의 프로세스이다. 해당 프로.. 2011. 11. 13.

이전 1 다음

티스토리툴바