반응형
국내 및 국외 AV프로그램으로는 아직 탐지하지 못하는 곳이 많다.
<정상파일 정보>
파일명 : Winrnr.dll(LDAP RnR Provider DLL)
파일위치 : c:\windows\system32
E467C334985C5947E47E748298526B7B,16896(XP SP2) - 5.1.2600.2180
FC0845B3C18A71E010311DDC1942F7D5,16896(XP SP3) - 5.1.2600.5512
파일명 : Winrnr.dll(LDAP RnR Provider DLL)
파일위치 : c:\windows\system32
E467C334985C5947E47E748298526B7B,16896(XP SP2) - 5.1.2600.2180
FC0845B3C18A71E010311DDC1942F7D5,16896(XP SP3) - 5.1.2600.5512
- 정상파일의 PE
악성파일에 의해 수정 된 정상파일 winrnr.dll은 winrnr.dll.BAK 파일명으로 백업되어 있다.
- 감염 된 파일의 PE
Section에 npx 섹션이 추가 되어 있으며, EP가 npx 섹션의 첫 포인트로 지정되어 있다.
- 감염 후 Dll Loader
변조 된 winrnr.dll 파일은 동작 시, wshipv4.dll 파일을 로드시켜 동작시킨다.
wshipv4.dll 파일은 스파이웨어이며, 아래의 프로세스에 감시하며 ID와 Pass를 특정 서버로 전송시킨다.
dNfcHiNa.Exe
QQLogin.exe
dNf.ExE
dSMain.Exe
'IT 보안소식' 카테고리의 다른 글
| SBS 뉴스추적, 인터넷뱅킹 주의보 당신의 예금이 위험하다! (2) | 2010.03.25 |
|---|---|
| LG전자, 굿모니터링 서비스가 뭐길래~?? (2) | 2010.03.24 |
| 네이트온 악성코드 사진변경(2010-03-23) (4) | 2010.03.23 |
| 네이트온 악성코드 사진변경(2010-03-22) (2) | 2010.03.22 |
| 루센(Rousen), 개인정보 유출에 대한 사과문 공지 (0) | 2010.03.22 |
댓글