본문 바로가기
IT 보안소식

[정상파일변조] 변조된 사이트를 이용한 정상파일(version.dll)을 수정하는 악성파일 주의!!

by 잡다한 처리 2012. 1. 17.
반응형



최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다.
그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다.

version.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.

<정상파일 정보>
파일명 : version.dll(Version Checking and File Installation Libraries)
파일위치 : C:\Windows\system32 

- Windows XP sp2 (ver 
5.1.2600.2180)
MD5 :
BE01AA1E24EC4F1A49B86C2E8A0137B7
Size : 
18944 Byte

Windows XP sp3 (ver 5.1.2600.5512)
MD5 : BE01AA1E24EC4F1A49B86C2E8A0137B7 
Size : 18944 Byte

- Windows7 sp1 (ver 6.1.7600.16385)
MD5 :  702254574E7E52052DE39408457B7149
Size : 21504 Byte


- 정상파일과 악성파일의 비교
정상파일 version.dll 의 크기는 약 19KB 이며, 새롭게 생성 된 version.dll 악성파일의 크기는 65KB 이다.  



악성 version.dll 의 경우는 원본파일의 코드를 가지고 있지 않아서 백업 한 version32.dll 파일의 Export Table을 참조한다



이에 따른 악성파일 분석은 다음에...To Be Continued...!!


댓글