본문 바로가기
반응형
스미싱(Smishing), "클립투넷(clip2net.com)" 서버를 이용한 스미싱 메시지 주의 5월 13일 탐지 된 스미싱 문자 중에서 "클립투넷(clip2net.com)" 서버를 이용한 악성 어플리케이션 다운로드를 확인하였다. 티 클라우드(SK T Cloud), 나무 클라우드(NamuCloud), 드롭박스(DropBox), 앱박스(app.box.com) 에 이어 5번째 클라우드 서버를사용한 것이다. 이번 클라우드 서버도 외국 서비스라 국내 서비스보다는 처리 대응이 느리다.확실히 앞으로 스미싱 제작자들은 국내 클라우드 서버는 안쓰고 외국계 클라우드 서버만 사용 될 것으로 보인다. 이전 클라우드 서버를 이용한 스미싱 포스팅은 아래의 링크에서 확인하면 된다. 스미싱(Smishing), "나무 클라우드(NamuCloud)" 서버를 이용한 스미싱 메시지 주의스미싱(Smishing), SK "T Cloud.. 2014. 5. 14.
안드로이드(Android), "APK Protect"로 무장한 어플리케이션 암호화 해제 툴 공유 최근 스미싱 안드로이드 어플리케이션을 분석하다 보면, 자주 보는 녀석들 중 하나이다. (최초 발견 된 시점은 작년 12월달이였는데, 3개월이나 지나 이제야 글을 쓰게 되었다) 관련 된 블로그 내용은 아래와 같다. [kkoha Blog] Anti_APKProtect [Viruslab Blog] 악성 스미싱앱이 APK 보호기능을 쓰기 시작했다 [니키 Blog] [모바일 분석] APKProtect 리뷰/검토 우선 "APK Protect" 가 무엇인지 부터 알아야 할 것 같다. ※ APK Protect 홈페이지 : http://www.apkprotect.com APK Protect는라는 것은 안드로이드 파일인 APK 파일 속 Dex파일을 문자암호화 / 코드 난독화 / 디컴파일 방지 기능들을 추가하여 APK 파일.. 2014. 3. 4.
kill.sys 파일을 이용한 "MajorFunction Hook & Kill AntiVirus Process" 아놔...요즘 짱개들 UPX 같은건 이제 안쓰는구나 ㅠ.ㅠ Virtualization이 들어가있는 Protector 를 사용해서 Unpack도 힘들다. 짱개님들 부디....분석가를 위해 UPX Packing을 해주십쇼 ㅋㅋㅋ Plz..!! 이번 포스팅에 담을 내용은 주말에 변조 된 사이트에서 설치되는 드롭퍼에서 나오는 kill.sys 란 파일이다. (이런 형식이 예전부터 있었을지도 모른다. 다만 내가 몰랐을 뿐 ㅠ.ㅠ) 몰랐던 이유는 해당 kill.sys 파일은 보안프로그램의 프로세스가 있지 않으면 설치되지 않기 때문이다. 그럼 어떤 보안 프로그램 프로세스가 있어야하는가? 현재까지 확인 된 사항은 AYAgent.aye, V3LSvc.exe 이다. 다들 아시겠지만, 알약과 V3 의 프로세스이다. 해당 프로.. 2011. 11. 13.
[IAT] Import REConstructor V1.7e IAT 복구에 필요한 심슨아저씨가 업데이트 되었음. 다운로드 : http://tuts4you.com/request.php?415 요즘은 ImportREC 보다는 CHimpREC가 조금 더 좋아보인다;; 2010. 10. 14.
반응형