MBR(Master Boot Record)감염으로 재생성되는 lpk.dll 악성코드 주의!! 요즘 MBR 자주 보네 ㅠ.ㅠ 분석도 어렵고~ 이번 포스팅도 기록용이니~ 그냥 가벼운 마음으로 고고싱!! 지난 주 지X파일 사이트가 변조되어 유포 된 악성파일 중 MBR을 감염시키고, 정상파일인 imm32.dll 을 변조시키는 것이 확인되었다. 정상파일 변조내용은 다음에 다시 쓰기로 하고, 이번 포스팅에서는 MBR을 감염시켜 악성파일(lpk.dll)이 재생성 되는걸 막아보자. 우선 최초 악성파일이 실행되면, 다음과 같이 파일과 레지스트리가 생성된다. - 파일 C:\Windows\System32\Disksystem.exe C:\Windows\System32\halc.dll C:\Windows\System32\drivers\FileEngine.sys C:\Windows\lpk.dll (악성파일 감염 후 재부.. 2011. 9. 18. 네이트온 악성코드 사진변경(2010-03-03) 파일 분석 지난 3월 3일에 발견 된 네이트온 악성코드 변종에 대해서 오늘에서야 파일을 보게되었다. 살펴보니, 예전과 크게 다른것은 없었으나, 눈에 띄이는 점은 PE 헤더가 변형되어있다는 점이다. 보통 PE파일은 MZ로 시작하지만, ML로 수정되어 있는 것이 보인다. 이것은 보안프로그램의 탐지를 우회하려는 개수작으로 보여진다. PE헤더 변경 이외에도 수정 된 사항은 다음과 같다. 1. 파일명 변경 C:\WINDOWS\system\Baidog.dat C:\WINDOWS\system\Lcomres.dat C:\WINDOWS\system\Sting.log C:\WINDOWS\system\ExeWen.exe C:\WINDOWS\system\Lin.log 2. 레지스트리 삭제가 추가(정확히 기억이 안남;; 예전에도 있었는지.. 2010. 3. 9. 이전 1 다음
