악성코드와 하율파파

악성코드 정보현재 유포되고 있는 럭키 랜섬웨어는 드리덱스 악성코드와 같이 문서의 메크로 형식으로 유포되고 있다.문서파일의 매크로로 악성파일을 다운받고 실행하여 사용자의 PC를 감염시킨다. 테스트 환경Windows XP x86 분석정보문서 내 메크로의 일부분으로, 자바스크립트를 이용하며 난독화가 되어있다. 다음 위치에 파일을 생성한다. C:\Documents and Settings\Administrator\Local Settings\Temp\nchiromantic.exe (감염 후 자신 삭제) OS 운영체제 확인 암호화 제외 위치 암호화 파일 *.key *.CSV *.sxc *.123 *.odg *.SQLITE3 *.cpp *.java *.gif *.bz2 *.vob *.crt *.txt *.stc *.w..

테스트 환경 Windows XP x86 분석정보 악성코드는 다음 경로에 windowsIP.exe 라는 이름으로 생성된다. C:\WINDOWS\windowsIP.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run에 등록해 시스템 동작시 실행하도록 한다. 값 이름 : windowsIPUP 값 데이터 : c:\windows\windowsIP.exe 악성코드는 C&C통신을 하며 추가적인 명령을 받거나 VNC원격 제어, 웹캠녹화, 키로깅 등 피해자의 정보를 탈취한다. 진단 Virobot : Trojan.Win32.Infostealer.1041408

성인 플래시 게임을 통한 악성코드가 유포중이다. 테스트 환경 Windows XP x86 테스트 환경 파일 생성 C:\Documents and Settings\Administrator\Local Settings\Temp\MURA.exe(성인 플래시) C:\Documents and Settings\Administrator\Local Settings\Temp\GM.exe(악성 파일) C:\WINDOWS\system32\bcavie.exe (랜덤파일명) (GM.exe 복제) 서비스 등록 C&C 통신 플래시 게임 파일에 의해 생성된 악성 파일은 특정 C&C와 통신하며 추가적인 파일을 다운받거나 백도어 행위를 할 수 있다. 진단 Virobot :Dropper.S.Agent.56045871 Trojan.Win32.A..

테스트 환경 Windows XP x86 분석정보 암호화된 파일은 파일의 이름 뒤에 id와 해커의 메일주소가 붙는다. windowns, program files, programdata system volume 등의 폴더더에 있는 파일을 제외한 다음 확장자를 가진 파일을 암호화 시킨다. 암호화 파일

GoClean 파일로 위장한 뱅킹악성코드가 유포되고 있다. 테스트 환경 Windows XP x86 분석정보 생성파일C:\fajmrtji(랜덤폴더명)\zeibn.dll(랜덤파일명) C:\fajmrtji(랜덤폴더명)\home.htm C:\WINDOWS\system32\drivers\faj\fajmr.txt C:\Documents and Settings\Administrator\Local Settings\Temp\mfmgvj.exe(원본파일) fajmr.txt에는 hosts파일을 변조시킬 정보가 들어있다. 생성된 DLL파일은 rundll32.exe에 인젝션 되어 동작하며 C&C통신을 한다. rundll32.exe Command명령c:\windows\system32\rundll32.exe "c:\fajmrtju..

봇 악성코드

보호되어 있는 글입니다.

※ 본 이미지는 이해를 돕기위한 것 입니다. 이동식 디스크를 통해 전파되는 악성코드는 단 한 대의 감염으로 인해 여러 사람이 감염될 수 있는 전파력이 강한 악성코드이다. 주로 USB와 같은 이동식 디스크를 통해 전파되며, 이동식 디스크 내의 파일을 lnk 파일로 변환하고, 해당 링크파일을 클릭하면 원본 파일이 실행됨과 동시에 악성코드가 같이 실행하도록 되어있다. 테스트 환경 Windows XP x86 생성파일 C:\Documents and Settings\Administrator\Local Settings\Temp\Sample.vbs C:\Documents and Settings\Administrator\시작 메뉴\프로그램\시작프로그램\Sample.vbs Command : "C:\WINDOWS\syste..

데스윙시절 , 아마 2012년으로 기억한다. 나는 데스윙을 잡기위한 용감한 호드의 전사였다. 그런데... 친구와 함께 PC방을 다녀온후 20000골드쯤 보유하고 있던 내 계정에서 모든 골드가 빠져나간것이아닌가?!! 하.. 이놈이다... 이놈이야.. Usp10.dll, Lpk.dll 게임정보 탈취를 위한 악성코드. 실행파일이 있는 디렉토리에 Usp10.dll을 생성하여 해당 실행파일이 실행될때 악성dll 파일을 먼저 로드하여 동작한다. 테스트 환경 Windows XP x86 GetTickCount 함수를 이용해 Usp10.dll or Lpk.dll로 생성 원본 Thumbs.db를 삭제하고, Usp10.dll을 Thumbs.db 로 복제 실행파일 하위에 악성 dll 파일 생성 생성된 파일 숨김속성 으로 변환..