악성코드와 하율파파

홈케어는 성인사이트, 도박사이트를 차단하는 서비스를한다. 그러나 홈케어를 설치하면 인터넷 검색시 원치않는 광고창을 생성해 불편을 유발 할 수 있다. 위와 같은 제휴 프로그램에 의해 설치 된다. 테스트 환경 Windows 7 x86 생성파일 C:\Program Files\HomeCare C:\Program Files\HomeCare\category.dt C:\Program Files\HomeCare\hckschs.dll C:\Program Files\HomeCare\hcsagent.exe C:\Program Files\HomeCare\hcsbt.exe C:\Program Files\HomeCare\hcsctrl.exe C:\Program Files\HomeCare\hcsh.exe C:\Program Fil..

위와 같은 제휴 프로그램에 의해 설치 된다. 설치시 시스템 트레이 상단에 광고창을 생성한다. 테스트 환경 Windows 7 x86 생성파일 C:\Program Files\HomeCare C:\Users\(USER)\AppData\Roaming\MOpop C:\Users\(USER)\AppData\Roaming\MOpop\mopop.bat C:\Users\(USER)\AppData\Roaming\MOpop\mopop.exe C:\Users\(USER)\AppData\Roaming\MOpop\mopopm.exe C:\Users\(USER)\AppData\Roaming\MOpop\mopopset.exe C:\Users\(USER)\AppData\Roaming\MOpop\mopopunset.exe C:\User..

토렌트에서 가위바위보 옷벗기기 게임으로 위장한 악성코드가 유포 중이다. 테스트 환경 Windows XP x32 사용자가 게임을 할때 악성코드는 다음과 같은 행위를 한다. 생성파일 정보 C:\qwe.exe

한수원을 공격한 해커 집단이 추자 자료를 공개했다.편집본이라 진위 여부는...

툴킷을 이용해 만든것으로 예상된다 공인인증서 탈취USB에 NPKI폴더 있는지 확인한다.게임정보 역시 탈취할 것으로 보인다. 백신무력화 변조된 웹사이트 유도

비트코인 마이너 악성코드 'f0xy' 해외 악성코드 중 스텔스 기능을 이용한 비트코인 마이너 악성코드라 한다. 테스트 환경 Windows 7 x64 생성파일 정보C:\Documents and Settings\Administrator\Application Data\Microsoft\svchost.exeC:\Documents and Settings\Administrator\Application Data\Microsoft\Bot_IDC:\Documents and Settings\Administrator\Application Data\Microsoft\minerd.exeC:\Documents and Settings\Administrator\Application Data\Microsoft\zlib1.dllC:\D..

테스트 환경 Windows XP x86 생성파일 정보C:\WINDOWS\V3liekC:\WINDOWS\V3liek\Fobeka.batC:\WINDOWS\V3liek\Fobeka.exeC:\WINDOWS\V3liek\Fobeka.vbsC:\WINDOWS\V3liek\V3like.vbs 레지스트리 등록정보키 :HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 이름 : syotom 값 : C:\WINDOWS\V3like.exe V3like.vbs는 Fobeka.bat 파일을 실행한다. Fobeka.bat 파일은 방화벽을 해제하는 명령을 내린다. Fobeka.exe는 공인인증서를 탈취한다. 변조된 웹사이트로 유도한다.

랜섬웨어의 일종이라 할 수 있는 가짜백신 AVlab Security이 유포중이다. 해당 바이러스는 감염되지도 않은 바이러스에 감염되었다고 하며 치료를 위해 금전을 요구한다.테스트 환경 Windows XP x86 웹 브라우져를 켜면 시스템이 감염되었다며 사용하지 못하도록 한다. 설치되어 있는 모르든 프로그램역시 사용하지 못하도록 한다. 제거 방법C:\Documents and Settings\Administrator\Local Settings\Application Data 하위에 랜덤이름으로 설치한다. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run에 랜덤 이름으로 키를 등록한다. 위 설치경로에서 바로 삭제하려 해도 삭제가 안될것이다.위 레지..

랜섬웨어 Cryptowall3.0이 유포중이다. CryptoWall3.0은 CryptoWall2.0에 이어 나온 랜섬웨어이다.사용자의 파일들을 RSA- 2048로 암호화 하여 사용하지 못하게 하고, 파일들을 인질로 $500를 요구한다.해당 샘플은 모든 사용자 파일을 암호화하지는 못하고 중간에 죽는다. 테스트 환경 Windows XP x86 생성파일 정보C:\(랜덤폴더명)\(랜덤파일명).exeC:\out.png 암호화 된 모든 폴더 내에 다음과 같은 파일을 생성한다.하위 파일들은 암호화한 파일을 인질로 파일 복호화를 위해 해커가 요구하는 내용이 담겨있다.C:\Documents and Settings\Administrator\시작 메뉴\프로그램\시작프로그램\HELP_DECRYPT.LNKC:\Documents..

CTB-Locker라는 랜섬웨어의 일종이 현재 유행하고 있다.랜섬웨어란 , ransom(몸값)과 software의 합성어로, 사용자의 문서나 사진 등을 암호화하여 '인질'로 잡아 금전을 요구하는 악성 프로그램이다. CTB-Locker에 감염되면 위와같은 이미지가 바탕화면에 생성되며, 사용자의 파일들이 암호화 되어 사용할 수 없도록 만든다. 위 이미지 처럼 암호화되며, 암호화된 파일은 암호키 없이 복구할 수 없다. 또한 해커가 요구한 금액을 지불하더라도 파일을 복구해준다는 보장이 없어 위험도가 높은 악성 프로그램이다. 해당 악성코드는 계속해서 변종이 나오고 있으며, 바이로봇에서 다음과 같이 진단하고 있다.Trojan.Win32.R.Agent.884736Trojan.Win32.R.Agent.897085Tro..