악성코드와 하율파파

악성코드 정보 로키랜섬웨어가 최근들어 이메일의 첨부파일 형태로 유포되고있다. 첨부파일의 압축파일은 java script 파일이며, 파일 실행시 해커의 서버에서 로키랜섬웨어를 다운받아 감염시키게 된다. 테스트 환경 Windows XP x86 분석정보 이메일에 첨부된 압축파일은 악성 java script 파일이 있으며, java script를 열어보면 난독화가 되어있다. 자바 스크립트 파일은 비교적 단순하게 난독화 되어있다. 변수를 만들어 변수에 문자열값을 가지고 있으며, 해당 변수명을 가져와 문자열을 만들어 특정 서버에서 악성 파일을 다운받아 실행시킨다. 난독화를 해제해 주요 정보를 획득하면 악성 Java Script는 아래 행위를 수행한다. 1. 해커의 서버에서 파일 다운로드 2. %temp% 폴더에 저..

악성코드 정보현재 유포되고 있는 럭키 랜섬웨어는 드리덱스 악성코드와 같이 문서의 메크로 형식으로 유포되고 있다.문서파일의 매크로로 악성파일을 다운받고 실행하여 사용자의 PC를 감염시킨다. 테스트 환경Windows XP x86 분석정보문서 내 메크로의 일부분으로, 자바스크립트를 이용하며 난독화가 되어있다. 다음 위치에 파일을 생성한다. C:\Documents and Settings\Administrator\Local Settings\Temp\nchiromantic.exe (감염 후 자신 삭제) OS 운영체제 확인 암호화 제외 위치 암호화 파일 *.key *.CSV *.sxc *.123 *.odg *.SQLITE3 *.cpp *.java *.gif *.bz2 *.vob *.crt *.txt *.stc *.w..

테스트 환경 Windows XP x86 분석정보 악성코드는 다음 경로에 windowsIP.exe 라는 이름으로 생성된다. C:\WINDOWS\windowsIP.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run에 등록해 시스템 동작시 실행하도록 한다. 값 이름 : windowsIPUP 값 데이터 : c:\windows\windowsIP.exe 악성코드는 C&C통신을 하며 추가적인 명령을 받거나 VNC원격 제어, 웹캠녹화, 키로깅 등 피해자의 정보를 탈취한다. 진단 Virobot : Trojan.Win32.Infostealer.1041408

성인 플래시 게임을 통한 악성코드가 유포중이다. 테스트 환경 Windows XP x86 테스트 환경 파일 생성 C:\Documents and Settings\Administrator\Local Settings\Temp\MURA.exe(성인 플래시) C:\Documents and Settings\Administrator\Local Settings\Temp\GM.exe(악성 파일) C:\WINDOWS\system32\bcavie.exe (랜덤파일명) (GM.exe 복제) 서비스 등록 C&C 통신 플래시 게임 파일에 의해 생성된 악성 파일은 특정 C&C와 통신하며 추가적인 파일을 다운받거나 백도어 행위를 할 수 있다. 진단 Virobot :Dropper.S.Agent.56045871 Trojan.Win32.A..

최근, 메일의 첨부파일을 통해 유포되던 변종 Teslacrypt 랜섬웨어의 위협이 한층더 강화되었다. 진단Virobot : Trojan.Win32.Teslacrypt.341504

랜섬웨어의 한 종류인 테슬라크립트가 이메일 첨부파일(자바스크립트 파일 .js) 형태로 유포되고 있다.자바스크립트 파일은 난독화 되어있어 확인 이 어렵다. 난독화를 풀어보면 위와 같이 특정 사이트에서 파일을 temp 폴더 하위에 다운로드 받은 후 (테슬라크립트)파일을 실행시킨다.

테스트 환경 Windows XP x86 분석정보 암호화된 파일은 파일의 이름 뒤에 id와 해커의 메일주소가 붙는다. windowns, program files, programdata system volume 등의 폴더더에 있는 파일을 제외한 다음 확장자를 가진 파일을 암호화 시킨다. 암호화 파일

테스트 환경 Windows XP x86 분석정보 C:\Documents and Settings\Administrator\Application Data\(랜덤폴더명) C:\Documents and Settings\Administrator\Application Data\(랜덤폴더명)\랜덤파일명 CryptoWall4.0은 이전과는 다른 방법으로 암호화 하는데 그 방법은 다음과 같다. 1. 암호화 시 원본 파일을 복사하여 다른 이름으로 저장을 한다. 저장시 파일명과 확장자를 랜덤하게 생성한다. 2. 복사한 파일을 암호화 한다. 3. 원본 파일을 삭제한다. CryptoWall4.0이 이렇게 암화 시키는데에는 두가지 이유가 있는 것 으로 보인다. 1. 원본 파일의 이름을 알 수 없게 바꿔 사용자가 어떤 파일이 암호..

최근 랜섬웨어의 피해가 심각해 지고 있는 가운데 키메라 랜섬웨어라는 새로운 램섬웨어가 발견되었다. 키메라 랜섬웨어는 사용자의 개인 파일을 암호화 시킬뿐 아니라 파일을 가져가 금액을 지불하지 않으면 인터넷에 공개하겠다며 협박을 한다. 테스트 환경 Windows XP x86 실제 랜섬웨어에 감염 후 패킷을 확인해 보면 해당 C&C로 나간 패킷이 얼마 되지 않는다. 실제로 파일을 가져가지 않을 확률이 높다. (사용자파일을 전송한다면 지금보다는 패킷이 훨씬 많을것이며, 파일전송 프로토콜도 보이지 않는다.) 암호화 된 파일은 아래와 같이 확장자가 변경되며 감염될때 마다 다른 확장자가 붙는다. 다른 랜섬웨어와 달리 키메라 랜섬웨어에 감염되면 Windows의 시스템파일 까지 암호화 시켜 Windows시스템 자체에 영..