본문 바로가기
[사이트 변조] iframe 태그를 이용한 악성코드 다운로드 방식 주의!! 기존의 사이트 변조는 InternetExplorer, Adobe Flash Player, Java Exploit 등 소프트웨어의 취약점 방식을 이용하여 접속 된 PC가 취약점이 존재 할 시 특정 파일을 받게 되는 드라이브 바이 다운로드(Drive-by-Download)방식이 대부분 이였다. 하지만 이번에 확인 된 변조사이트는 취약점으로 인한 감염이 아니라 iframe 태그에 악성파일(exe) 주소를 직접 넣어 사용자가 다운로드 받을 수 있게 변조되는 사이트들이 늘어 나고 있다. 이렇게 되면 사용자PC에 취약점이 존재하지 않더라도, 사용자의 클릭으로 감염 시킬 수 있는 장점이 생긴다.(물론 강제 설치가 아니기 때문에, 감염 속도에는 조금 느리겠지만 ㅎㅎㅎ) 요게 원래는 5월 말정도에 나온 내용이였는데 ㅠㅠ.. 2013. 6. 13.
[정상파일변조] 변조된 사이트를 이용한 정상파일(wshtcpip.dll)을 수정하는 악성파일 주의!! 최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다.그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다.자세한 내용은 아래의 링크를 참조하시길^^안카메라(AnCamera), 변조 된 업데이트 파일에서 생성 되는 온라인게임 스파이웨어 감염 주의!!wshtcpip.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.파일명 : wshtcpip.dll (Windows Sockets Helper DLL)파일위치 : C:\Windows\system32 - Windows XP sp2.. 2013. 3. 26.
[사이트 변조] 다이하드 웹하드(http://www.diyhard.co.kr) "Java Exploit CVE-2012-5076"를 이용한 악성코드 유포!! 웹하드 서비스를 하는 사이트 중 "다이하드"라는 사이트가 변조되어 악성코드가 유포되고 있다. 사이트 변조가 어제 오늘 하는 일은 아니지만, 이렇게 블로그에 작성 하는 이유는 Java Exploit CVE-2012-5076 파일이 국내 유포사이트에 확인 된 것이 처음이기 때문이다. 0-Day가 아니라, 취약점이 패치 된 Exploit 이기 때문에 Oracle Java 업데이트 하면 문제없다!! 업데이트에 대한 내용은 아래 링크에서 확인 할 수 있다. [울지않는 벌새] 업데이트 : Oracle Java SE Runtime Environment 6 Update 37 & 7 Update 9 다이하드 홈페이지 접속 시 연결 되는 사이트는 다음과 같다. hxxp://www.woshi*******n.com/main... 2012. 11. 15.
주말 변조사이트로 인한 "Trojan.JS.QRG(search.htm)" 주의!! 매주 주말만 되면 악성 스크립트가 삽입되는 국내 사이트들....!! 이번 주에 특히 Trojan.JS.QRG(search.htm) 탐지명에 대한 내용이 많이 확인되고 있어 인터넷 사용에 주의가 필요하다. 해당 스크립트에는 "Dadong JSXX 0.44 VIP" 문자열을 가진 유명 난독화 프로그램으로 작성되어 있으며, 복호화에 성공하면 아래와 같은 url에 접속하게 된다. hxxp://svc.*********.co.kr/css/search.html (Main Malware Script) hxxp://svc.*********.co.kr/css/swfobject.js (SWF Object Script) hxxp://svc.*********.co.kr/css/jpg.js (JRE & Applet Script).. 2012. 6. 30.
[정상파일변조] 변조된 사이트를 이용한 정상파일(wshtcpip.dll)을 수정하는 악성파일 주의!! 최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다.그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다.wshtcpip.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.파일명 : wshtcpip.dll (Windows Sockets Helper DLL)파일위치 : C:\Windows\system32 - Windows XP sp2 (ver 5.1.2600.2180)MD5 : 65892C620E536CA2A6DAFD004A3ABB19Size : 19968 Byte-  .. 2012. 2. 4.
version.dll 과 safemon.dll 을 이용하여 개인정보를 가로채는 악성파일 주의!! 해당 파일들은 주말을 이용한 국내 홈페이지 변조(어딘지는 말하지 않겠음, 게임 방송하는 사이트 라는것만...) 를 통해 설치되었으며, 윈도우 정상파일인 version.dll을 변조하여 악성행위를 하게 된다. 정상파일과 변조 된 악성파일의 차이점은 아래의 링크에서 확인하면 된다. [정상파일변조] 변조된 사이트를 이용한 정상파일(version.dll)을 수정하는 악성파일 주의!! 그럼 실제 사용자PC에 설치되는 악성파일의 행위들을 살펴보자. 현재 상세 분석 중이니~ 내용이 좀 부실 할 수 있음 ㅎㅎㅎㅎ * 생성파일 C:\WINDOWS\system32\version.dll (변조 된 정상파일-악성) C:\WINDOWS\system32\version32.dll (백업 된 정상파일) C:\WINDOWS\syste.. 2012. 1. 17.
[정상파일변조] 변조된 사이트를 이용한 정상파일(version.dll)을 수정하는 악성파일 주의!! 최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다. 그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다. version.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다. 파일명 : version.dll(Version Checking and File Installation Libraries) 파일위치 : C:\Windows\system32 - Windows XP sp2 (ver 5.1.2600.2180) MD5 : BE01AA1E24EC4F1A49B86C2E8A0137B7 Size : 18944 Byte - .. 2012. 1. 17.
[정상파일변조] 변조된 사이트를 이용한 정상파일(imm32.dll)을 수정하는 악성파일 주의!! 최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 이번 내용은 이슈는 아니다. 하지만, 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 변종이여서 기록용으로 포스팅을 한다. imm32.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 요즘 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다. 파일명 : imm32.dll(Windows XP IMM32 API Client DLL) 파일위치 : C:\Windows\system32 4A489C2C47F64541005EDB79149B3495,110080(XP SP2) - 5.1.2600.2180 7DC8A392C09DDF8C8FB1AA007D19D98B,110080(XP SP3) - 5.1.2600.5.. 2011. 5. 11.