반응형
특정 웹하드 홈페이지에서 다운로드 되는 설치파일이 변조 되어 악성파일이 유포되고 있는 사실이 확인되었다.
이번 악성코드는 예전 DDoS 공격과 같이 웹하드 홈페이지의 설치파일로 유포가 되었다는 사실에 주의해야한다.
만약 이번에 발견되지 않았다면, 악성코드 제작자는 DDoS 샘플을 올려 좀비PC들을 많이 생성했을지도 모른다.
지금은 시간이 늦어서, 간략하게만 쓰고~ 내일 마저 써야겠다 ㅠ.ㅠ 피곤해!!
쓰다보니 예전에 발견 된 내용과 연관되는 맥락이 있었다.
- 특정 프로그램이 설치 된 PC방을 타겟으로 발생 된 ARP Spoofing 악성코드
현재 확인 된 웹하드 홈페이지는 총 3개(FileFarm, FileZzim, MaxDisk)이며, 지금은 모두 정상적인 셋업파일로 수정되었다.
이 중에서 FileZzim을 대상으로 글을 쓸 예정이다.
(파일찜에 악감정은 없다! 다만 맨 처음 발견 된 곳이기 때문에 쓸 뿐이다!! 파일찜 관련분은 와서 글 삭제를 요청하지 마세요!!)
파일찜(FileZzim) 홈페이지를 통해 다운로드 된 파일은 아래와 같다.
http://www.file****.com/_PROGRAM/s****/FileZzimSetup.exe
http://www.file****.com/_PROGRAM/Ins****/FileZzimUASetup.exe
해당 파일을 실행 시 설치되는 파일 및 레지스트리 목록이다.
- 다운로드
http://222.122.***.*9//_MGR//INC.exe
- 생성파일
C:\WINDOWS\system32\ns.exe
C:\WINDOWS\system32\NSControl.exe
C:\Documents and Settings\LocalService\My Documents\INC.exe
C:\WINDOWS\system32\srvany.exe (정상파일)
C:\WINDOWS\system32\instsrv.exe (정상파일)
C:\WINDOWS\system32\MSInstallMgr.exe
C:\WINDOWS\system32\MSInstallMgr.exex
- 레지스트리
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NSIncManager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OracleInstManager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NSINCMANAGER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ORACLEINSTMANAGER
파일별 내용은 내일 ㅠ.ㅠ 오늘은 너무 피곤함!!
'IT 보안소식' 카테고리의 다른 글
| 이스트소프트(ESTsoft), 더 편리한 인터넷 "줌닷컴(zum.com)"의 첫번째 서비스 "뉴스줌(news.zum.com)" 오픈!!! (0) | 2011.11.03 |
|---|---|
| [워크샵] 국가보안기술연구소 주최, "악성코드 분석 및 대응을 위한 워크샵" (0) | 2011.10.23 |
| 소니(Sony), 고객정보 9만3천여건 개인정보유출 해킹사건(10월 13일) (0) | 2011.10.13 |
| 카카오톡(Kakao Talk), 그룹채팅을 이용한 "카카오톡 스팸 메시지" 주의!! (4) | 2011.10.13 |
| 이스트소프트(ESTsoft), 더 편리한 인터넷 "줌닷컴(zum.com)" TV CF 영상 공개!! (0) | 2011.10.11 |
댓글