"stop: c000021a unknown hard error" 블루스크린 원인...악성코드 제작자의 실수? 지난 주말에 유포 된 악성코드 중에서 부팅장애를 발생시키는 악성코드가 확인되었다. 부팅장애의 가장 큰 원인은 EAT(Export Address Table)에 Forward 하는 파일명이 실제 생성 된 파일명과 다르기 때문에 정상적인 ws2help.dll의 기능을 수행하지 못해서다. - 생성 된 파일 C:\Windows\System32\ws2help.dll (변조 된 악성파일) C:\Windows\System32\ws2helpXP.dll (백업 된 정상파일) 정상적으로 악성파일이 동작한다면 Function Forward 가 ws2helpXP.dll 로 지정되어 있어야 하는데, 해당 악성파일은 wshtcpxp.dll을 가르키고 있다. 이 부분이 악성코드 제작자의 실수로 보여진다. 이미 감염 된 PC에서는 w.. 2012. 2. 21. MBR(Master Boot Record)감염으로 재생성되는 lpk.dll 악성코드 주의!! 요즘 MBR 자주 보네 ㅠ.ㅠ 분석도 어렵고~ 이번 포스팅도 기록용이니~ 그냥 가벼운 마음으로 고고싱!! 지난 주 지X파일 사이트가 변조되어 유포 된 악성파일 중 MBR을 감염시키고, 정상파일인 imm32.dll 을 변조시키는 것이 확인되었다. 정상파일 변조내용은 다음에 다시 쓰기로 하고, 이번 포스팅에서는 MBR을 감염시켜 악성파일(lpk.dll)이 재생성 되는걸 막아보자. 우선 최초 악성파일이 실행되면, 다음과 같이 파일과 레지스트리가 생성된다. - 파일 C:\Windows\System32\Disksystem.exe C:\Windows\System32\halc.dll C:\Windows\System32\drivers\FileEngine.sys C:\Windows\lpk.dll (악성파일 감염 후 재부.. 2011. 9. 18. 이전 1 다음
