사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생(미국으로 전송) 어제 일본으로 유출시키는 악성코드 변종이 발견되었다고 포스팅 하였었는데, 전체적인 구도가 잡혀서 다시 포스팅함당!! 이번에는 미국과 일본으로 동시에 고고싱 시킨다. 현재까지 수집 된 파일이다. 보는대로 모두 Daum 과 연결되어 있을 듯 한 파일명을 하고 있다. 벤더도 마찬가지며, 아마도 나도 그냥 Daum File이라고 생각하고 넘어갈 수 도 있었을 듯 하다 ㅡㅡ;; 이번 변종에 대한 내용을 간략하게 분석을 하자면 다음과 같다. 1. V.DWN.Infostealer.65904(DaumCafeOn.dll, DaumCafeOn.inf) BHO에 등록되어 동작하며, 인터넷 익스플로러 실행 시 특정 서버로 연결되어 파일을 다운로드 받는다. http://218.61.**.***:801/update/proc.asp 2010. 4. 23. 사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생 4월 초에 발견되었던 키로거의 변종이 발견되었다. 아직 분석 중이라 자세한 사항은 적을 수 없지만, 이번에는 키로거가 아닌 다른 것을 준비하는 느낌이 든다. 설마 이녀석 DDoS ??? ㅠ_ㅠ 제발 살려줘라~!! 지난번의 다운로드 및 키로그 전송서버가 일본 Nagano 더니, 이번엔 Tokyo 이다. 이번에는 키로그 정보가 없기때문에 다운로드만 가능하다. 현재까지 분석 내용은 지난번과 동일하게 ActiveX로 설치 되는 것으로 판단되며, 설치 된 PC에서는 사용자 PC정보를 전송하는 파일을 한개 다운로드 하며, 다운로드 된 파일은 DaumKeysec.dll를 드롭시킨다. 드롭 된 dll 파일은 BHO에 등록되어 인터넷 익스플로러 실행 시 백도어로 판단되는 파일을 다운로드 하게 된다. 특정 페이지에 접속하.. 2010. 4. 22. 이전 1 다음
