반응형
다음 커뮤티케이션을 가장한 키로거 파일이 새로 발견되었다.
이번엔 아예 Daum이란 파일명을 사용하지는 않았으며, 디지털서명쪽에만 사용하였다.
아무래도 제작자가 눈치를 깐듯 ㅡ.ㅡ;;
ps. 드롭퍼로 추정되는 파일은 따로 추적중이다.
이 파일의 특이점은 설치 시 atl100.dll 파일이 따로 필요하다는것이다.
atl100.dll(ATL Module for Windows) 파일은 Microsoft Visual Studio 2010의 재배포 파일 중에 하나이다.
제작자가 Visual Studio 2010에서 제작을 한것으로 판단되며, 드롭퍼는 atl100.dll 파일을 자체적으로 가지고 있던가
또는 notice.dll 드롭시 atl100.dll도 함께 드롭시킬 가능성이 매우 높다.
PC에 C:\WINDOWS\system32 폴더나 C:\WINDOWS 폴더에 atl100.dll 파일이 있다면 한번 의심해보자!!
물론 자신이 개발자라면 ㅡ.ㅡ; Pass!!
- 파일정보
C:\WINDOWS\system32\notice.dll (K.KLG.DaumNotice.118208)
C:\WINDOWS\system32\notepad.ini (서버와의 통신을 기록하는 것으로 추정 중_ 분석 귀찮니즘 ㅠ_ㅠ )
C:\WINDOWS\system32\regedit.ini (접속 된 URL정보와 ID와 PASS가 저장되는 파일 - 현재 서버는 죽었음!!)
ㄴ 예정과 동일하게 iexplorer.exe 실행 시 regedit.ini가 있으면 특정서버로 전송 후 삭제, 없으면 바로 Hook 설치)
위의 그림은 예전 분석해 놓은 허위 다음엑티브 악성코드의 Hooking 방식이다.
이번파일과는 조금 차이는 있지만, 키로거저장팡리의 유무를 확인하는 방식과 SetWindowsHook의 WH_KEYBOARD와 WH_MOUSE를 사용하는 방식은 동일하다.
- 레지스트리 정보
HKEY_CLASSES_ROOT\CLSID\{2229BA28-2B14-4D88-85F6-6CA709AE1297}
HKEY_CLASSES_ROOT\Interface\{35DA7392-7803-46A3-8A8A-C486A7031690}
HKEY_CLASSES_ROOT\TypeLib\{241EA5D7-3BB9-44AD-9A75-4D67E42FBEDB}
HKEY_CLASSES_ROOT\Notice.ComNotice HKEY_CLASSES_ROOT\Notice.ComNotice.1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2229BA28-2B14-4D88-85F6-6CA709AE1297}
HKEY_CLASSES_ROOT\Notice.ComNotice HKEY_CLASSES_ROOT\Notice.ComNotice.1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2229BA28-2B14-4D88-85F6-6CA709AE1297}
- 관련글
'IT 보안소식' 카테고리의 다른 글
| 알약(ALYac), 윈도우 쉘(Shell) 취약점으로 인한 원격코드 실행 문제점 (0) | 2010.07.19 |
|---|---|
| MSN 메신저로 전파되는 피싱사이트 - "나는 현재 알몸이다!!" (0) | 2010.07.19 |
| [SpamMail] "Your order has been paid!" 제목으로 전파 되는 메일 주의!! (2) | 2010.07.15 |
| [SpamMail] "Email Policy Violation" 제목으로 전파 되는 메일 주의!! (0) | 2010.07.15 |
| 다음(Daum), 사칭 ActiveX 설치 주의 안내 (0) | 2010.07.15 |
댓글