"stop: c000021a unknown hard error" 블루스크린 원인...악성코드 제작자의 실수? 지난 주말에 유포 된 악성코드 중에서 부팅장애를 발생시키는 악성코드가 확인되었다. 부팅장애의 가장 큰 원인은 EAT(Export Address Table)에 Forward 하는 파일명이 실제 생성 된 파일명과 다르기 때문에 정상적인 ws2help.dll의 기능을 수행하지 못해서다. - 생성 된 파일 C:\Windows\System32\ws2help.dll (변조 된 악성파일) C:\Windows\System32\ws2helpXP.dll (백업 된 정상파일) 정상적으로 악성파일이 동작한다면 Function Forward 가 ws2helpXP.dll 로 지정되어 있어야 하는데, 해당 악성파일은 wshtcpxp.dll을 가르키고 있다. 이 부분이 악성코드 제작자의 실수로 보여진다. 이미 감염 된 PC에서는 w.. 2012. 2. 21. 애드젯(ADget), 광고위젯을 통한 악성코드 유포 주의!! 예전에 애드젯의 광고위젯을 통해 악성코드가 유포 된 적이 있었다. 애드젯(ADget), 광고위젯을 통한 악성코드 유포 공지 이 당시에는 특정 배너를 불러오는 URL에 악성스크립트가 포함되어 있었지만, 이번에는 조금 틀린 방법을 사용한듯 하다. (내가 웹취약점 전문가가 아니기 때문에 어떤식으로 삽입했는지는 모른다) 아래의 그림은 예전에 유포했었던 파일이 코드내용이다. 빨간색 박스내용처럼 난독화 된 코드가 있어서 자동으로 악성 URL로 넘어가게 됬었다. 하지만, 이번 유포를 보게되면 아래와 같다. 코드가 없다;; 정상적인 내용만 존재한다. 그럼 이 페이지는 정상인건가? 정말 그럴까?? 기대도 안했지만 역시나~ 절대 그렇지 않았다!! 위의 그림에서 마지막에 있는 iframe을 태그를 통해 pub, w, h, .. 2012. 1. 7. [정상파일변조] spoo1sv.exe을 이용한 정상파일(ws2help.dll)을 수정하는 악성파일 주의!! 최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 이번 내용은 이슈는 아니다. 하지만, 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 기록용으로 포스팅을 한다. ws2help.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다. 파일명 : ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 파일위치 : C:\Windows\system32 1DB51F51F0602A8FA74AB4FD3E6A872B,19968(XP SP2) - 5.1.2600.2180 90AFFACB3C4F110BA63DF2BE93F2E41A,19968(XP S.. 2011. 11. 8. 이전 1 다음
