본문 바로가기
version.dll 과 safemon.dll 을 이용하여 개인정보를 가로채는 악성파일 주의!! 해당 파일들은 주말을 이용한 국내 홈페이지 변조(어딘지는 말하지 않겠음, 게임 방송하는 사이트 라는것만...) 를 통해 설치되었으며, 윈도우 정상파일인 version.dll을 변조하여 악성행위를 하게 된다. 정상파일과 변조 된 악성파일의 차이점은 아래의 링크에서 확인하면 된다. [정상파일변조] 변조된 사이트를 이용한 정상파일(version.dll)을 수정하는 악성파일 주의!! 그럼 실제 사용자PC에 설치되는 악성파일의 행위들을 살펴보자. 현재 상세 분석 중이니~ 내용이 좀 부실 할 수 있음 ㅎㅎㅎㅎ * 생성파일 C:\WINDOWS\system32\version.dll (변조 된 정상파일-악성) C:\WINDOWS\system32\version32.dll (백업 된 정상파일) C:\WINDOWS\syste.. 2012. 1. 17.
[정상파일변조] 변조된 사이트를 이용한 정상파일(version.dll)을 수정하는 악성파일 주의!! 최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다. 그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다. version.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다. 파일명 : version.dll(Version Checking and File Installation Libraries) 파일위치 : C:\Windows\system32 - Windows XP sp2 (ver 5.1.2600.2180) MD5 : BE01AA1E24EC4F1A49B86C2E8A0137B7 Size : 18944 Byte - .. 2012. 1. 17.