악성코드와 하율파파

※ 본 이미지는 이해를 돕기위한 것 입니다. 이동식 디스크를 통해 전파되는 악성코드는 단 한 대의 감염으로 인해 여러 사람이 감염될 수 있는 전파력이 강한 악성코드이다. 주로 USB와 같은 이동식 디스크를 통해 전파되며, 이동식 디스크 내의 파일을 lnk 파일로 변환하고, 해당 링크파일을 클릭하면 원본 파일이 실행됨과 동시에 악성코드가 같이 실행하도록 되어있다. 테스트 환경 Windows XP x86 생성파일 C:\Documents and Settings\Administrator\Local Settings\Temp\Sample.vbs C:\Documents and Settings\Administrator\시작 메뉴\프로그램\시작프로그램\Sample.vbs Command : "C:\WINDOWS\syste..

중국 한인 취업사이트에서 갓모드 취약점을 이용한 악성코드 유포가 발견되었다. 해당 악성코드는 좀비 PC를 양산하여 디도스 공격에 이용한다. 또한 파일바이러스의 특징도 보인다. 테스트 환경 Windows XP x86 생성파일 C:\WINDOWS\(랜덤명).exe 행위 1.DDoS 공격 IP와 인자값을 받아 DDoS 공격을 수행한다. 2-1. 파일 파이러스 (Virut) 감염된 시스템의 실행파일을 확인해 보면 Entry Point의 주소값이 악성행위를 하는 영역의 시작 주로 Entry Point를 변경 된 것을 확인 할 수 있다. 악성코드를 삽입하기위해 삽입할 영역을 만든다. 2-2. 파일 파이러스 (Parite) 섹션을 맨 마지막에 추가한 후 Entry Point 변경 진단Virobot : Win32.Pa..

랜섬웨어의 일종이라 할 수 있는 가짜백신 AVlab Security이 유포중이다. 해당 바이러스는 감염되지도 않은 바이러스에 감염되었다고 하며 치료를 위해 금전을 요구한다.테스트 환경 Windows XP x86 웹 브라우져를 켜면 시스템이 감염되었다며 사용하지 못하도록 한다. 설치되어 있는 모르든 프로그램역시 사용하지 못하도록 한다. 제거 방법C:\Documents and Settings\Administrator\Local Settings\Application Data 하위에 랜덤이름으로 설치한다. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run에 랜덤 이름으로 키를 등록한다. 위 설치경로에서 바로 삭제하려 해도 삭제가 안될것이다.위 레지..