본문 바로가기
ahnurl.sys, olesau32.dll을 이용하여 개인정보를 가로채는 악성파일 주의!! 해당 파일들은 주말을 이용한 국내 홈페이지 변조(어딘지는 말하지 않겠음, 커뮤니티, 웹하드 사이트 라는것만...) 를 통해 설치되었으며, 루트킷 파일을 통해 자신의 파일을 숨기며 감염PC에 개인정보를 유출하게 된다. 변조 된 사이트에 접속하면 오라클 자바 취약점(CVE-2011-3544)에 의해 악성파일이 다운로드 되어 실행된다. - 생성 파일 C:\Documents and Settings\[사용자계정]\Local Settings\Temp\ddd.exe - Trojan.Dropper.OnlineGames.au32 C:\WINDOWS\setupball.bmp - Spyware.OnlineGames.au32 C:\WINDOWS\olesau32.dll - Spyware.OnlineGames.au32 C:\WI.. 2012. 3. 17.
MBR(Master Boot Record)감염으로 재생성되는 lpk.dll 악성코드 주의!! 요즘 MBR 자주 보네 ㅠ.ㅠ 분석도 어렵고~ 이번 포스팅도 기록용이니~ 그냥 가벼운 마음으로 고고싱!! 지난 주 지X파일 사이트가 변조되어 유포 된 악성파일 중 MBR을 감염시키고, 정상파일인 imm32.dll 을 변조시키는 것이 확인되었다. 정상파일 변조내용은 다음에 다시 쓰기로 하고, 이번 포스팅에서는 MBR을 감염시켜 악성파일(lpk.dll)이 재생성 되는걸 막아보자. 우선 최초 악성파일이 실행되면, 다음과 같이 파일과 레지스트리가 생성된다. - 파일 C:\Windows\System32\Disksystem.exe C:\Windows\System32\halc.dll C:\Windows\System32\drivers\FileEngine.sys C:\Windows\lpk.dll (악성파일 감염 후 재부.. 2011. 9. 18.
[분석문서] 시스템파일(Comres.dll)을 감염 시키는 악성코드 1. 개요 최근의 악성코드들이 시스템 Dll파일을 변조 또는 교체하는 방식을 많이 사용하고 있다. 이러한 방식을 쓰는 이유는 시스템 Dll 파일을 조작하면 악성코드는 사용자의 눈을 피해 시스템에 오래 살아남을 수 있기 때문이다. 하지만 윈도우 운영체제는 WFP(Windwos File Protection)이라는 기법으로 시스템 Dll을 보호하고 있다. 이번 악성코드 분석에서는 WFP기법을 해제하는 방법과 악성파일의 행위에 대해 알아보자. 2. 악성코드 분석 2-1. 유포경로 - 변조 된 사이트에서 전파 되는 것으로 확인되며, 사용자 PC에 취약점이 존재하면 악성파일을 다운로드 한다. 사용 된 취약점은 CVE-2010-0806 IE취약점으로 2010년 3월 9일에 0-Day로 발견되어 2010년 3월 31일.. 2011. 4. 17.
홈페이지 변조를 통한 악성코드 유포 주의(Comres.dll 및 imm32.dll 파일 변조) (위의 그림은 정상적인 Windows XP - SP3의 Comres.dll의 등록정보이다. 참고로 올려놓았다) 주말에 발생 된 홈페이지 변조로 인하여 윈도우즈 정상 시스템 파일인 Comres.dll 변조 되는 사례가 나오고 있다. 예전에 온라인게임 dll 파일을 동작시키기 위해 Comres.dll이 변조 된 경우(포스팅이 없다 ㅠ_ㅠ 블로그를 하기전이라)가 있었고, 근래에 와서는 네이트온으로 전파 되는 악성코드가 Comres.dll를 변조 시키는 경우가 있었다. - 관련글 2010/07/13 - [악성코드소식] - 네이트온 악성코드 "V3 Lite" 제품파일명을 가장하여 배포 위의 글을 보면 쉽게 알 수 있겠지만, 결론적으로 설명하면 다음과 같다. 정상적인 파일인 Comres.dll -> x_com.dl.. 2011. 1. 5.