[정상파일변조] 변조된 사이트를 이용한 정상파일(imm32.dll)을 수정하는 악성파일 주의!! 최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 이번 내용은 이슈는 아니다. 하지만, 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 변종이여서 기록용으로 포스팅을 한다. imm32.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 요즘 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다. 파일명 : imm32.dll(Windows XP IMM32 API Client DLL) 파일위치 : C:\Windows\system32 4A489C2C47F64541005EDB79149B3495,110080(XP SP2) - 5.1.2600.2180 7DC8A392C09DDF8C8FB1AA007D19D98B,110080(XP SP3) - 5.1.2600.5.. 2011. 5. 11. 네이트온 악성코드 사진변경(2011-05-06) 5월 6일 네이트온 쪽지나 대화창으로 전파되는 악성파일의 변종이 확인되었다. 매일매일 확인해야하는데 ㅠ.ㅠ 확인을 안했더니 이틀간의 파일이 밀려있었다. 제길;; 이래서 매일 확인하는 습관을 ㅋㅋㅋ 암튼 이번에도 특정 사이트로 이동하여 사용자PC에 해당 취약점이 존재 시에만 사용자PC에 다운로드 받는 방식이 사용되었다. 이번에는 2개의 사이트에서 악성파일이 다운로드 되었다. (아직까지 유포 중이라 눈물을 머금고 *표시로 대체함;;) hxxp://www.dezx****.com hxxp://www.dezx****.com/1.html hxxp://www.dezx****.com/3.html (Exploit.JS.Mult.Swf) hxxp://www.dezx****.com/nb.swf hxxp://www.dezx*.. 2011. 5. 10. 에브리존 터보패치(EveryZone TurboPatch)로 위장한 악성코드 유포 주의 터보백신을 개발하고 운영중인 에브리존에서 이메일로 유포 되는 터보패치(TurboPatch) 설치파일로 위장한 악성코드가 유포된다는 내용을 홈페이지에 긴급공지하였다. 유포 되는 이메일은 북한의 네트워크 바이러스 공격으로 인하여 방어할 수 있는 프로그램을 최신버전으로 업데이트 할 수 있도록 패치파일을 다운로드 할 수 있는 URL링크가 포함되어 있다. (터보패치의 설치파일의 URL은 http://www.turbopatch.com/down/TurboPatchSetup.exe) 제목 : 안전부서에서 긴급통지 내립니다! 본문 : 북한 네트워크바이러스공격때문에 개인 PC 심한피해받고 있습니다 국가통신위원회 안내드립니다 개인 PC 네트워크 안전을 위하여 반드시 최신버젼으로 업데이트 하셔야 피해를 최소화 할수있으므로 많.. 2011. 5. 10. 악성파일로 인한 변조 된 정상파일(midimap.dll) 수동으로 치료하기!! 최근 midimap.dll 파일이 변경 됨에 따라 수동으로 바꾸는 방법을 문의하시는 분들이 있어서 수동으로 작업하는 방법에 대해서 알아보도록 합시다!! 우선 가장 편한 방법은 보안프로그램(백신)을 이용한 방법이 가장 편합니다. 예방 할 수도 있고!! 하지만 원천적으로 이 악성파일에 감염 되는 이유는 대부분 윈도우 보안패치가 되어 있지 않는 취약한 PC에서 감염이 되는 방식이니 사용자들의 윈도우 보안패치가 최우선이라고 볼 수 있다. 서론이 너무 길었군;; 자자 이제 실제로 midimap.dll 이 감염 된 파일에 대한 수동조치 방법에 대해 알아보자. ※ 참고사항 테스트는 WinXP SP3 환경에서 되었기 때문에, 화면에 보이는 midimap.dll 파일의 크기가 다를 수 있음을 미리 알림!! 1. C:\W.. 2011. 5. 8. [정상파일변조] 변조된 사이트를 이용한 정상파일(midimap.dll)을 수정하는 악성파일 주의!! 지난 주말에 변조 된 웹사이트를 통해 특정 정상파일을 변경시키는 악성코드가 발견되었다. 삭제 시 부팅에 문제는 없지만^^ 소리가 안 들릴 수 있으니 주의하기 바란다. 파일명 : midimap(Microsoft MIDI Mapper) 파일위치 : C:\Windows\system32 8345C1412D18C10714B8945086B29BC8,18944(XP SP2) - 5.1.2600.2180 7DF7F264CB80F5F3F380D6A7B1E971C0,18944(XP SP3) - 5.1.2600.5512 문제가 발생 된 홈페이지는 아래의 페이지로써 아직까지 배포가 진행중이라 중간중간 URL을 수정하였다.(ㅠ.ㅠ 내 스퇄아님!!) hxxp://joy****.co.kr hxxp://joy****.co.kr/js.. 2011. 4. 18. 네이트온 악성코드 사진변경(2011-04-17) 국내 최대의 회원수를 자랑하는 메신저 "네이트온(NateOn)"의 쪽지로 전파되는 악성코드가 발견되었다. 예전에는 쪽지나 대화창으로 URL이 링크되어, 사용자가 클릭하면 1개의 실행파일을 다운로드 하는 방식이였다. 근래에 들어서는 쪽지나 대화창으로 악성URL이 유포되는 방식은 동일하지만, 파일을 다운로드 시키는 것이 아니라~ 특정 사이트로 이동하여 사용자PC에 해당 취약점이 존재 시에만 사용자PC에 다운로드 받는 방식으로 변경되었다. http://www.*****guj.com (네이트온 쪽지로 전달되는 URL) http://www.*****guj.com/1.html (취약점을 이용한 악성 스크립트) http://www.*****guj.com/k.js (악성 스크립트에 연동되는 스크립트) http://ww.. 2011. 4. 17. [SpamMail] DHL Express를 가장한 스팸메일로 전파되는 허위백신(FakeAV), XP Security 2011 주의!! 세계적인 택배회사인 DHL Express을 가장한 스팸메일(SpamMail)이 확인되었다. 메일 내용은 "배달 시킨 소포가 10일내로 도착한다. 자세한 내용과 추적번호는 문서에 첨부되어 있으니 확인하라" 라는 내용이다. 어느정도 눈치가 빠른 사람이라면 해당 내용이 스팸메일이라는 것을 확인했을것이다^^ 제목 : DHL Express Services 본문 : Dear customer The parcel was sent your home adress And it will arrive within 10 business days More information and the tracking number are attached in document below. Thank You © 1994-2011 DHL Expre.. 2011. 4. 5. 알약(ALYac), 알약2.0 공개용 "오픈 베타 & 이벤트" 시작합니다!! 드디어 공개되는 알약 2.0 공개용에 대한 오픈베타 및 이벤트를 시작합니다. 아래의 사이트에서 확인하시고, 많은 참가 부탁드릴께요~!! * 알약 2.0 공개용 다운로드는 해당 블로그에 가시면 다운로드 가능합니다^^ ESTsoft Blog : http://blog.estsoft.co.kr/87 1. 이벤트 기간 : 2011년 3월 24일(월) ~ 4월 17일(일) 2. 참여방법 : 본인 블로그에 "알약 2.0에 대한 내용을 포스팅 후 트랙백(엮인글)로 전송 or URL 댓글" 로 참여 3. 경품안내 : Xbox360+키넥트(1명), 넷불(2명), 외장하드(3명), 스타벅스 기프티쇼(30명), 알약기념품(50명) 2011. 3. 24. 이전 1 ··· 3 4 5 6 7 8 9 ··· 15 다음
