[분석문서] 시스템파일(Comres.dll)을 감염 시키는 악성코드 1. 개요 최근의 악성코드들이 시스템 Dll파일을 변조 또는 교체하는 방식을 많이 사용하고 있다. 이러한 방식을 쓰는 이유는 시스템 Dll 파일을 조작하면 악성코드는 사용자의 눈을 피해 시스템에 오래 살아남을 수 있기 때문이다. 하지만 윈도우 운영체제는 WFP(Windwos File Protection)이라는 기법으로 시스템 Dll을 보호하고 있다. 이번 악성코드 분석에서는 WFP기법을 해제하는 방법과 악성파일의 행위에 대해 알아보자. 2. 악성코드 분석 2-1. 유포경로 - 변조 된 사이트에서 전파 되는 것으로 확인되며, 사용자 PC에 취약점이 존재하면 악성파일을 다운로드 한다. 사용 된 취약점은 CVE-2010-0806 IE취약점으로 2010년 3월 9일에 0-Day로 발견되어 2010년 3월 31일.. 2011. 4. 17. 홈페이지 변조를 통한 악성코드 유포 주의(Comres.dll 및 imm32.dll 파일 변조) (위의 그림은 정상적인 Windows XP - SP3의 Comres.dll의 등록정보이다. 참고로 올려놓았다) 주말에 발생 된 홈페이지 변조로 인하여 윈도우즈 정상 시스템 파일인 Comres.dll 변조 되는 사례가 나오고 있다. 예전에 온라인게임 dll 파일을 동작시키기 위해 Comres.dll이 변조 된 경우(포스팅이 없다 ㅠ_ㅠ 블로그를 하기전이라)가 있었고, 근래에 와서는 네이트온으로 전파 되는 악성코드가 Comres.dll를 변조 시키는 경우가 있었다. - 관련글 2010/07/13 - [악성코드소식] - 네이트온 악성코드 "V3 Lite" 제품파일명을 가장하여 배포 위의 글을 보면 쉽게 알 수 있겠지만, 결론적으로 설명하면 다음과 같다. 정상적인 파일인 Comres.dll -> x_com.dl.. 2011. 1. 5. 이전 1 다음
