[정상파일변조] 변조된 사이트를 이용한 정상파일(wshtcpip.dll)을 수정하는 악성파일 주의!! 최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다.그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다.wshtcpip.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.파일명 : wshtcpip.dll (Windows Sockets Helper DLL)파일위치 : C:\Windows\system32 - Windows XP sp2 (ver 5.1.2600.2180)MD5 : 65892C620E536CA2A6DAFD004A3ABB19Size : 19968 Byte- Windows XP sp3 (ver 5.1.2.. 2012. 2. 4. 트위터(Twitter), 단축URL(Short URL)을 통해 개인정보를 가로채는 피싱(Phishing)사이트 주의 어디에서 시작되었는지는 모르겠으나, 지인의 신고로 트위터 피싱사이트를 확인하였다. 기존에도 트위터 피싱사이트는 무수하게 존재하기 때문에 이번 포스트는 참고용으로 작성한다^^ - 관련글 2011/09/28 - [보안관련소식] - "가짜 트위터 홈페이지"을 통해 개인정보를 가로채는 피싱(Phishing)사이트 주의 2010/05/31 - [보안관련소식] - 트위터(Twitter), DM(Direct Messages)를 통한 피싱사이트 전파 주의!! 이번에 확인 된 단축URL(Short URL)은 아래와 같다. hxxp://126url.com/76 →(Redirection)→ hxxp://itvvitter.com/r1/?gsdg 발견 된 단축 URL은 정상적인 트위터 사이트(twitter.com) 와 비슷 한.. 2012. 2. 3. MIDI 파일 취약점(CVE-2012-0003)을 이용한 악성코드 유포 주의!! 2012년 1월 27일 트렌드 마이크로(Trend Micro) 블로그를 통해 MIDI 취약점을 이용한 악성파일이 발견되었다는 소식을 들었다. 이에 보안업체 및 보안블로그에는 아래와 같은 분석내용들이 올라오고 있다. (내용은 다들 비슷하나^^ 그래도 한번씩 보는것도 도움이 될 것이다. 특히, 벌새님의 블로그는 치료방법에 대해서도 자세하게 나와있으니 참고하면 쉽게 치료할 수 있다.) [트렌드 마이크로] Malware Leveraging MIDI Remote Code Execution Vulnerability Found [nProtect] [주의]MIDI 파일 취약점을 이용한 악성파일 등장 [AhnLab] MS12-004 윈도우 미디어 취약점을 악용한 악성코드 유포 [울지않는벌새] MIDI 취약점을 이용한 정.. 2012. 1. 28. 구글 크롬(Google Chrome), 16.0.912.77 업데이트!! 구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.Stable Channel Update (2012.01.23)이번 업데이트에서는 4개의 High 등급과 1개의 Critical 등급의 취약점이 보안되었다.■ High CVE-2011-3924 : Use-after-free in DOM selections■ Critical CVE-2011-3925 : Use-after-free in Safe Browsing navigation ■ High CVE-2011-3926 : Heap-buffer-overflow in tree builder ■ High CVE-2011-3927 : Uninitialized value in Skia■ High CVE-2011-3928 :.. 2012. 1. 25. version.dll 과 safemon.dll 을 이용하여 개인정보를 가로채는 악성파일 주의!! 해당 파일들은 주말을 이용한 국내 홈페이지 변조(어딘지는 말하지 않겠음, 게임 방송하는 사이트 라는것만...) 를 통해 설치되었으며, 윈도우 정상파일인 version.dll을 변조하여 악성행위를 하게 된다. 정상파일과 변조 된 악성파일의 차이점은 아래의 링크에서 확인하면 된다. [정상파일변조] 변조된 사이트를 이용한 정상파일(version.dll)을 수정하는 악성파일 주의!! 그럼 실제 사용자PC에 설치되는 악성파일의 행위들을 살펴보자. 현재 상세 분석 중이니~ 내용이 좀 부실 할 수 있음 ㅎㅎㅎㅎ * 생성파일 C:\WINDOWS\system32\version.dll (변조 된 정상파일-악성) C:\WINDOWS\system32\version32.dll (백업 된 정상파일) C:\WINDOWS\syste.. 2012. 1. 17. [정상파일변조] 변조된 사이트를 이용한 정상파일(version.dll)을 수정하는 악성파일 주의!! 최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다. 그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다. version.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다. 파일명 : version.dll(Version Checking and File Installation Libraries) 파일위치 : C:\Windows\system32 - Windows XP sp2 (ver 5.1.2600.2180) MD5 : BE01AA1E24EC4F1A49B86C2E8A0137B7 Size : 18944 Byte - .. 2012. 1. 17. [시스템툴]Sysinternals Tools Update - Autoruns v11.21, Coreinfo v3.03, PortMon v 3.03, Process Explorer v15.12, Mark’s Blog and Mark at RSA 2012 Sysinternals Tool 중 몇가지가 업데이트 되었네요! 링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!! 요 근래 Autorun 과 Process Explorer 의 업데이트가 많이 나와서 좋긴한데, 버그들도 같이 나와서 좀 ㅠ.ㅠ 업데이트 이외 마크의 블로그에도 글이 올라왔습니다. 참고하세요. - 업데이트 목록(클릭하시면 새창으로 이동합니다) Autoruns v11.21 : This update to Autoruns fixes a number of minor bugs, including one that could result in a crash when certain scheduled tasks are configured. Coreinfo v3.03 : Coreinfo, a comman.. 2012. 1. 16. 안드로이드(Android), 슬금슬금 모습을 드러내는 안드로이드 악성코드 "IRC bot for Android" 에 대한 자료 안드로이드 악성코드가 이제 하늘을 찌르고 승천할 기세다 ㅋㅋ 도청, 녹음, SMS 발송으로도 모자라 이제 Botnet 기능을 하는 악성 어플이 드디어 나왔다. Kaspersky "Denis"에 의하면 럭비게임(MADDEN NFL 12)으로 위장한 악성어플이, 루트권한(진저브레드)을 획득 하고, IRC Bot을 실행하여 채널 접속 후 오퍼의 명령을 받을 수 있다고 한다. Kaspersky Lab - IRC bot for Android Smartphone Woes : Android Botnet Rise Of Android Botnets Not so long time ago we found a very interesting piece of malware for Android. Unfortunately, it .. 2012. 1. 16. 이전 1 ··· 49 50 51 52 53 54 55 ··· 128 다음
