웹캠 악성코드

테스트 환경 Windows XP x86 분석정보 악성코드는 다음 경로에 windowsIP.exe 라는 이름으로 생성된다. C:\WINDOWS\windowsIP.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run에 등록해 시스템 동작시 실행하도록 한다. 값 이름 : windowsIPUP 값 데이터 : c:\windows\windowsIP.exe 악성코드는 C&C통신을 하며 추가적인 명령을 받거나 VNC원격 제어, 웹캠녹화, 키로깅 등 피해자의 정보를 탈취한다. 진단 Virobot : Trojan.Win32.Infostealer.1041408
악성코드 정보 2016. 1. 21. 12:11
성인 플래시 게임을 통한 악성코드 유포

성인 플래시 게임을 통한 악성코드가 유포중이다. 테스트 환경 Windows XP x86 테스트 환경 파일 생성 C:\Documents and Settings\Administrator\Local Settings\Temp\MURA.exe(성인 플래시) C:\Documents and Settings\Administrator\Local Settings\Temp\GM.exe(악성 파일) C:\WINDOWS\system32\bcavie.exe (랜덤파일명) (GM.exe 복제) 서비스 등록 C&C 통신 플래시 게임 파일에 의해 생성된 악성 파일은 특정 C&C와 통신하며 추가적인 파일을 다운받거나 백도어 행위를 할 수 있다. 진단 Virobot :Dropper.S.Agent.56045871 Trojan.Win32.A..
악성코드 정보 2016. 1. 13. 18:39
GoClean파일로 위장학 뱅킹악성코드

GoClean 파일로 위장한 뱅킹악성코드가 유포되고 있다. 테스트 환경 Windows XP x86 분석정보 생성파일C:\fajmrtji(랜덤폴더명)\zeibn.dll(랜덤파일명) C:\fajmrtji(랜덤폴더명)\home.htm C:\WINDOWS\system32\drivers\faj\fajmr.txt C:\Documents and Settings\Administrator\Local Settings\Temp\mfmgvj.exe(원본파일) fajmr.txt에는 hosts파일을 변조시킬 정보가 들어있다. 생성된 DLL파일은 rundll32.exe에 인젝션 되어 동작하며 C&C통신을 한다. rundll32.exe Command명령c:\windows\system32\rundll32.exe "c:\fajmrtju..
악성코드 정보 2015. 10. 23. 18:30
끊이지 않는 뱅킹 악성코드

잠시 보이지 않던 뱅킹 악성코드가 다시 나오고 있다. 테스트 환경 Windows XP x86 생성파일 C:\33pql2pq7umlqt7(랜덤폴더명)\v91442d.dll
악성코드 정보 2015. 8. 11. 07:30
키로깅 악성코드

보호되어 있는 글입니다.
보호글 2015. 6. 5. 14:09
에드웨어와 함께 설치되는 뱅킹 악성코드

제목 그대로 에드웨어와 함께 뱅킹 악성코드가 생성되는 샘플이다. 테스트 환경 Windows XP x86 생성파일 다음 경로에 파일을 생성한다. 생성된 파일은 뱅킹 악성코드와 에드웨어이다. C:\nth C:\nth\Config.ini C:\nth\Setup.exe(뱅킹 악성코드) C:\nth\Wiseman.exe(에드웨어) Wiseman.exe Wiseman.exe를 실행시, 즐겨찾기에 쇼핑 사이트를 등록하며, 특정 문자나 URL을 입력시 광고창이 생성될 것 으로 추정된다. 즐겨찾기에 쇼핑 사이트를 등록한다. Setup.exe 다음 경로에 파일을 생성한다. C:\(랜덤폴더명)\Coinfig.ini C:\(랜덤폴더명)\setting.xml C:\(랜덤폴더명)\(랜덤파일명).exe DNS Cache Poiso..
악성코드 정보 2015. 5. 15. 12:18
DLL Planting을 이용하는 파밍 악성코드

DLL Planting 기법을 이용한 파밍 악성코드가 지속적으로 유포중이다. Binary Planting , DLL Hijacking이라고도 한다. DLL의 로드순위를 이용하여 실행파일이 악성 DLL을 실행하게 하는 기법으로, 지금도 계속 유포 중이다. 실행파일이 DLL을 로드할 때 우선순위가 있으며, 레지스트리 Known DLLs Key 를 확인하고 없을경우 디렉토리에서 검색한다. 때문에 같은 디렉토리 내에 정상 DLL과 같은 이름의 DLL이 있으니 검증없이 로드해 버리기 때문에 그대로 악성 DLL이 로드되어 악성파일을 생성하게 된다. 다음 팟플레이어 볼륨 마우스 파이썬 작년에도 v3lite이름으로 뿌려지기도 했으며, 현재 python실행파일을 이용하여 악성코드를 생성한다.계속 변화중으로 지속적인 관심..
악성코드 정보 2015. 3. 19. 17:57
원트 vvant

http://www.vvant.kr/xxx/dd.exe 에서 파밍 악성코드를 유포중이다. 원트 라는 오피스용품을 판매하는 곳이다. 해당악성코드는 사용자의 금융정보 탈취를 유도하는 뱅킹 악성코드이다. 생성파일 C:\WINDOWS\AppPatch\vspqSgQr(랜덤명) C:\WINDOWS\AppPatch\vspqSgQr(랜덤명)\python27.dll C:\WINDOWS\AppPatch\vspqSgQr(랜덤명)\K9GGX8.exe(랜덤명)
악성코드 정보 2015. 3. 17. 15:39
성형외과 사이트를 이용한 악성코드 유포

http://www.4-ever.co.kr/xxxx/win.exe 한 성형외과 사이트가 악성코드 유포지로 이용되고 있다. 해당악성코드는 사용자의 금융정보 탈취를 유도하는 뱅킹(파밍) 악성코드이다.유사한 악성코드가 계속 유포중이다.
악성코드 정보 2015. 3. 17. 11:08
가위바위보 옷벗기기 게임으로 위장한 악성코드

토렌트에서 가위바위보 옷벗기기 게임으로 위장한 악성코드가 유포 중이다. 테스트 환경 Windows XP x32 사용자가 게임을 할때 악성코드는 다음과 같은 행위를 한다. 생성파일 정보 C:\qwe.exe
악성코드 정보 2015. 3. 12. 16:43
1 2