국내 변조 된 홈페이지를 통해 설치되는 악성코드(midisappe.dll, VSLay.dll, ahnsvr.sys, ntfsny.sys) 이번주도 역시나 개밥 털어가듯 사용자 정보를 털어가는 주말이 되었다. 먼가 대책을 마련해야 할텐데~ 맨날 소 잃고 외양간 고치는 격이니~ 참 답답스럽다;; 암튼 주말을 이용한 악성코드 중 재미있는 내용이 확인되어 잠시 블로그에 옮긴다. 보통 변조 된 사이트에서 악성코드를 사용자들이 감염되기 쉽게 실행되기 위해 EXE(실행파일) 확장자를 많이 이용한다. 하지만 이번에 내려받는 파일은 확장자는 exe 이지만 실제로는 dll 파일로써 쉘코드에 의해 로드되어 또 다른 파일을 설치한다. 많이 이용되고 있는 IE취약점, Adobe Flash 취약점이 지속적으로 이용되고 있으니, 보안 업데이트 및 소프트웨어 업데이트 합시다!! (업데이트 안하는 씨빠빠들아~ 엉아가 밑에 링크 남겨놨다. 제발 업데이트 좀 해라!!) -.. 2011. 7. 23. [정상파일변조] 변조된 사이트를 이용한 정상파일(imm32.dll)을 수정하는 악성파일 주의!! 최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 이번 내용은 이슈는 아니다. 하지만, 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 변종이여서 기록용으로 포스팅을 한다. imm32.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 요즘 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다. 파일명 : imm32.dll(Windows XP IMM32 API Client DLL) 파일위치 : C:\Windows\system32 4A489C2C47F64541005EDB79149B3495,110080(XP SP2) - 5.1.2600.2180 7DC8A392C09DDF8C8FB1AA007D19D98B,110080(XP SP3) - 5.1.2600.5.. 2011. 5. 11. 홈페이지 변조를 통한 악성코드 유포 주의(Comres.dll 및 imm32.dll 파일 변조) (위의 그림은 정상적인 Windows XP - SP3의 Comres.dll의 등록정보이다. 참고로 올려놓았다) 주말에 발생 된 홈페이지 변조로 인하여 윈도우즈 정상 시스템 파일인 Comres.dll 변조 되는 사례가 나오고 있다. 예전에 온라인게임 dll 파일을 동작시키기 위해 Comres.dll이 변조 된 경우(포스팅이 없다 ㅠ_ㅠ 블로그를 하기전이라)가 있었고, 근래에 와서는 네이트온으로 전파 되는 악성코드가 Comres.dll를 변조 시키는 경우가 있었다. - 관련글 2010/07/13 - [악성코드소식] - 네이트온 악성코드 "V3 Lite" 제품파일명을 가장하여 배포 위의 글을 보면 쉽게 알 수 있겠지만, 결론적으로 설명하면 다음과 같다. 정상적인 파일인 Comres.dll -> x_com.dl.. 2011. 1. 5. 변조 된 imm32.dll파일에 추가된 "rs64 New Section" 2009년 11월 부터 발견되어 현재까지도 꾸준히 업데이트하는 악성코드가 있다. 바로 imm32.dll 이다. imm32.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 요즘 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다. 4A489C2C47F64541005EDB79149B3495,110080(XP SP2) - 5.1.2600.2180 7DC8A392C09DDF8C8FB1AA007D19D98B,110080(XP SP3) - 5.1.2600.5512 - 현재까지 변종으로 나온 Section Table(ss32, s32, sy32, rs64 발견 된 순서이다.) 변조 된 imm32.dll은 Loader의 역활을 하며, Load 시키는 악성코드는 다음과 같다. C:\WINDOWS\syst.. 2010. 7. 19. winrnr.dll을 변경시키는 스파이웨어 발견!! 변조 된 홈페이지에서 실행되는 스파이웨어 중 정상파일인 winrnr.dll을 변조시키는 악성코드가 발견되었다. 국내 및 국외 AV프로그램으로는 아직 탐지하지 못하는 곳이 많다. 파일명 : Winrnr.dll(LDAP RnR Provider DLL) 파일위치 : c:\windows\system32 E467C334985C5947E47E748298526B7B,16896(XP SP2) - 5.1.2600.2180 FC0845B3C18A71E010311DDC1942F7D5,16896(XP SP3) - 5.1.2600.5512 - 정상파일의 PE 악성파일에 의해 수정 된 정상파일 winrnr.dll은 winrnr.dll.BAK 파일명으로 백업되어 있다. - 감염 된 파일의 PE Section에 npx 섹션이 추가 .. 2010. 3. 23. Win32.Loader.G(imm32.dll) 재탐지 해결방법!! 악성파일로 인하여 변조 된 imm32.dll을 Win32.Loader.G으로 탐지하는 경우가 늘어나고 있다. 문제는 변조 된 imm32.dll을 정상적으로 치료하지 못하여 발생 된 문제로 판단된다. 이전에 imm32.dll 변조파일과 동일하게 섹션에 ss32 Section을 추가하지만, 이전과 코드는 달랐다. 변종으로 판단된다. - 관련내용 2009/11/17 - [악성코드소식] - imm32.dll을 변경시키는 스파이웨어 발견!! 이에 수동으로 해결 할 수 있는 방법을 소개한다. 1. C:\WINDOWS\system32 폴더로 이동 2. 변조 된 imm32.dll 이름을 수정(ex, ~imm32.dll) (참고, 정상적인 imm32.dll은 C:\WINDOWS\system32\imm32.dll.bak .. 2010. 1. 26. 이전 1 다음
