악성코드와 하율파파

GoClean 파일로 위장한 뱅킹악성코드가 유포되고 있다. 테스트 환경 Windows XP x86 분석정보 생성파일C:\fajmrtji(랜덤폴더명)\zeibn.dll(랜덤파일명) C:\fajmrtji(랜덤폴더명)\home.htm C:\WINDOWS\system32\drivers\faj\fajmr.txt C:\Documents and Settings\Administrator\Local Settings\Temp\mfmgvj.exe(원본파일) fajmr.txt에는 hosts파일을 변조시킬 정보가 들어있다. 생성된 DLL파일은 rundll32.exe에 인젝션 되어 동작하며 C&C통신을 한다. rundll32.exe Command명령c:\windows\system32\rundll32.exe "c:\fajmrtju..

봇 악성코드

보호되어 있는 글입니다.

※ 본 이미지는 이해를 돕기위한 것 입니다. 이동식 디스크를 통해 전파되는 악성코드는 단 한 대의 감염으로 인해 여러 사람이 감염될 수 있는 전파력이 강한 악성코드이다. 주로 USB와 같은 이동식 디스크를 통해 전파되며, 이동식 디스크 내의 파일을 lnk 파일로 변환하고, 해당 링크파일을 클릭하면 원본 파일이 실행됨과 동시에 악성코드가 같이 실행하도록 되어있다. 테스트 환경 Windows XP x86 생성파일 C:\Documents and Settings\Administrator\Local Settings\Temp\Sample.vbs C:\Documents and Settings\Administrator\시작 메뉴\프로그램\시작프로그램\Sample.vbs Command : "C:\WINDOWS\syste..

도움말로 위장한 악성코드 도움말파일로 위장한 악성코드가 자주 보인다. 위와 같이 도움말 파일의 소스를 보면 특정 사이트로 연결해 악성 파일을 설치한다. 설치된 악성코드는 C&C서버와 통신하는등 백도어 기능을 수행한다.

잠시 보이지 않던 뱅킹 악성코드가 다시 나오고 있다. 테스트 환경 Windows XP x86 생성파일 C:\33pql2pq7umlqt7(랜덤폴더명)\v91442d.dll

데스윙시절 , 아마 2012년으로 기억한다. 나는 데스윙을 잡기위한 용감한 호드의 전사였다. 그런데... 친구와 함께 PC방을 다녀온후 20000골드쯤 보유하고 있던 내 계정에서 모든 골드가 빠져나간것이아닌가?!! 하.. 이놈이다... 이놈이야.. Usp10.dll, Lpk.dll 게임정보 탈취를 위한 악성코드. 실행파일이 있는 디렉토리에 Usp10.dll을 생성하여 해당 실행파일이 실행될때 악성dll 파일을 먼저 로드하여 동작한다. 테스트 환경 Windows XP x86 GetTickCount 함수를 이용해 Usp10.dll or Lpk.dll로 생성 원본 Thumbs.db를 삭제하고, Usp10.dll을 Thumbs.db 로 복제 실행파일 하위에 악성 dll 파일 생성 생성된 파일 숨김속성 으로 변환..

참조: https://threatpost.com/windows-10-upgrade-spam-carries-ctb-locker-ransomware/114114 윈도우10 업데이트 관련 메일을 가장한 랜섬웨어가 등장했다. 업데이트 메일과 함께 첨부되 있는 파일이 악성 파일이므로 주의할 필요가 있다. 진단Virobot : Trojan.Win32.CTB-Locker.922987

테스트 환경 Windows XP x86 기능 MSN 키로깅 네트워크 웹캠 기타