주말 변조사이트로 인한 "Trojan.JS.QRG(search.htm)" 주의!! 매주 주말만 되면 악성 스크립트가 삽입되는 국내 사이트들....!! 이번 주에 특히 Trojan.JS.QRG(search.htm) 탐지명에 대한 내용이 많이 확인되고 있어 인터넷 사용에 주의가 필요하다. 해당 스크립트에는 "Dadong JSXX 0.44 VIP" 문자열을 가진 유명 난독화 프로그램으로 작성되어 있으며, 복호화에 성공하면 아래와 같은 url에 접속하게 된다. hxxp://svc.*********.co.kr/css/search.html (Main Malware Script) hxxp://svc.*********.co.kr/css/swfobject.js (SWF Object Script) hxxp://svc.*********.co.kr/css/jpg.js (JRE & Applet Script).. 2012. 6. 30. [정상파일변조] 변조된 사이트를 이용한 정상파일(wshtcpip.dll)을 수정하는 악성파일 주의!! 최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다.그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다.wshtcpip.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.파일명 : wshtcpip.dll (Windows Sockets Helper DLL)파일위치 : C:\Windows\system32 - Windows XP sp2 (ver 5.1.2600.2180)MD5 : 65892C620E536CA2A6DAFD004A3ABB19Size : 19968 Byte- Windows XP sp3 (ver 5.1.2.. 2012. 2. 4. version.dll 과 safemon.dll 을 이용하여 개인정보를 가로채는 악성파일 주의!! 해당 파일들은 주말을 이용한 국내 홈페이지 변조(어딘지는 말하지 않겠음, 게임 방송하는 사이트 라는것만...) 를 통해 설치되었으며, 윈도우 정상파일인 version.dll을 변조하여 악성행위를 하게 된다. 정상파일과 변조 된 악성파일의 차이점은 아래의 링크에서 확인하면 된다. [정상파일변조] 변조된 사이트를 이용한 정상파일(version.dll)을 수정하는 악성파일 주의!! 그럼 실제 사용자PC에 설치되는 악성파일의 행위들을 살펴보자. 현재 상세 분석 중이니~ 내용이 좀 부실 할 수 있음 ㅎㅎㅎㅎ * 생성파일 C:\WINDOWS\system32\version.dll (변조 된 정상파일-악성) C:\WINDOWS\system32\version32.dll (백업 된 정상파일) C:\WINDOWS\syste.. 2012. 1. 17. [정상파일변조] 변조된 사이트를 이용한 정상파일(version.dll)을 수정하는 악성파일 주의!! 최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다. 그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다. version.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다. 파일명 : version.dll(Version Checking and File Installation Libraries) 파일위치 : C:\Windows\system32 - Windows XP sp2 (ver 5.1.2600.2180) MD5 : BE01AA1E24EC4F1A49B86C2E8A0137B7 Size : 18944 Byte - .. 2012. 1. 17. 알약(ALYac), 알약 업데이트를 방해하는 악성코드 전용백신 안내(온라인게임 스파이웨어 전용) 이스트소프트(ESTsoft)의 보안프로그램 알약(ALYac)의 업데이트와 실행을 방해 후 온라인게임(OnlineGame)의 계정과 패스워드를 가로채는 악성코드에 대한 전용백신을 공개하였다. 특히, 이번 전용백신은 알약의 업데이트를 방해하는 주요 악성코드를 모두 치료할 수 있으니 아래와 같은 사항을 겪은분들은 꼭 한번씩 사용보길 바란다. 아니 꼭 써야한다 ㅠㅠ * 알약 실행이 안되는 증상 * 알약 업데이트 창 이후 실행이 안되는 증상 그리고 전용백신에 대해 잘 모르시는 분들을 위해 한마디 더 참고사항으로 이야기 할 것들이 있다. 1. 전용백신은 실시간 감시 기능이 없다. 당연한 이야기지만, 전용백신은 말그대로 전용(특정한 목적으로 일정한 부문에만 쓰이는) 으로 사용되기 때문에 다른 악성코드 들은 탐지 되지.. 2011. 5. 20. 네이트온 악성코드 사진변경(2011-05-06) 5월 6일 네이트온 쪽지나 대화창으로 전파되는 악성파일의 변종이 확인되었다. 매일매일 확인해야하는데 ㅠ.ㅠ 확인을 안했더니 이틀간의 파일이 밀려있었다. 제길;; 이래서 매일 확인하는 습관을 ㅋㅋㅋ 암튼 이번에도 특정 사이트로 이동하여 사용자PC에 해당 취약점이 존재 시에만 사용자PC에 다운로드 받는 방식이 사용되었다. 이번에는 2개의 사이트에서 악성파일이 다운로드 되었다. (아직까지 유포 중이라 눈물을 머금고 *표시로 대체함;;) hxxp://www.dezx****.com hxxp://www.dezx****.com/1.html hxxp://www.dezx****.com/3.html (Exploit.JS.Mult.Swf) hxxp://www.dezx****.com/nb.swf hxxp://www.dezx*.. 2011. 5. 10. 네이트온 악성코드 사진변경(2011-04-17) 국내 최대의 회원수를 자랑하는 메신저 "네이트온(NateOn)"의 쪽지로 전파되는 악성코드가 발견되었다. 예전에는 쪽지나 대화창으로 URL이 링크되어, 사용자가 클릭하면 1개의 실행파일을 다운로드 하는 방식이였다. 근래에 들어서는 쪽지나 대화창으로 악성URL이 유포되는 방식은 동일하지만, 파일을 다운로드 시키는 것이 아니라~ 특정 사이트로 이동하여 사용자PC에 해당 취약점이 존재 시에만 사용자PC에 다운로드 받는 방식으로 변경되었다. http://www.*****guj.com (네이트온 쪽지로 전달되는 URL) http://www.*****guj.com/1.html (취약점을 이용한 악성 스크립트) http://www.*****guj.com/k.js (악성 스크립트에 연동되는 스크립트) http://ww.. 2011. 4. 17. 네이트온 악성코드 "V3 Lite" 제품파일명을 가장하여 배포 네이트온 쪽지 및 대화창으로 전파 되고 있는 파일 중 국내 보안회사인 안철수연구소 "V3 Lite"의 파일명으로 가장 한 악성파일이 현재 전파되고 있다. 다행히 탐지 중이라서 피해는 미약할 듯 하나, 앞으로도 국내 보안 제품의 이름과 비슷한 파일명들이 많이 나올 듯 하다. 제일 기분 나뿐건.....!! 사진이 없다 ㅡ.ㅡ;; 그냥 드롭퍼인 exe 파일일뿐!! - 참조 사이트 http://virusfree.tistory.com/41 - 유포 URL www.sto***e.com/oeg****i/ckdg****2e.exe 으로 7월 12일 발견되었으며 현재도 다운로드가 가능하다. 기존에도 네이트온 전파 악성코드는 Themida Packing을 사용하였지만, 요즘 들어 이넘들이 너무 자주 쓴다 ㅡ.ㅡ;; 누굴 .. 2010. 7. 13. 이전 1 2 3 4 다음
