RAT(Remote Access Trojan) 다크코멧(DarkComet)

테스트 환경 Windows XP x86 기능 MSN 키로깅 네트워크 웹캠 기타
악성코드 정보 2015. 7. 31. 13:16
Upatre

Upatre 악성코드는 주로 위 와 같은 스팸메일과 함께 첨부파일 형태로전파된다. 해당 파일을 열면 악성 서버에서 추가 파일을 다운로드 하여 사용자의 시스템에 설치하는데, 이때 설치되는 악성샘플이 Upatre이다. PDF파일의 아이콘을 가지고 있으나 실제 EXE 파일이다. 테스트 환경 Windows XP x86 행위 정보 다음 위치에 파일을 생성한다 C:\Documents and Settings\Administrator\Local Settings\Temp\microview.exe(랜덤명)(원본파일) C:\Documents and Settings\Administrator\Local Settings\Temp\micro1B83.log(랜덤명) C:\Documents and Settings\Administrat..
악성코드 정보 2015. 6. 27. 15:52
VMware와 함께 설치되는 백도어 악성코드

토렌트를 이용한 악성코드 유포가 지속적으로 일어나고 있다. 테스트 환경 Windows 7 x64 VMware-workstation-full-11.1.1-2771112.exe와 S.n.txt 파일이 다운로드 된다. VMware-workstation-full-11.1.1-2771112.exe 파일이 악성 파일이다. S.n.txt 파일은 시리얼이 들어있는 텍스트 파일이다. 생성파일 임시폴더(Temp)에 파일을 생성하며, 생성된 두 파일의 MD5는 같다. C:\Users\Taewoo\AppData\Local\Temp\Windows System.exe C:\Users\Taewoo\AppData\Local\Temp\System.exe System.exe 파일을 방화벽 정책에서 허용으로 설정한다. 이름을 변경하여 시..
악성코드 정보 2015. 6. 24. 09:37
한글랜섬웨어...다시 활동 시작?!

며칠 전부터 한글랜섬웨어가 다시 활동을 시작했다. 테스트 환경 Windows XP x86 생성파일 C:\WINDOWS\(랜덤명).exe 진단 Virobot : Trojan.Win32.S.CryptoLocker.278528.C Trojan.Win32.S.CryptoLocker.294912 Trojan.Win32.S.CryptoLocker.267681 ...
악성코드 정보 2015. 6. 11. 18:27
한인 취업사이트에서 유포되는 악성코드

중국 한인 취업사이트에서 갓모드 취약점을 이용한 악성코드 유포가 발견되었다. 해당 악성코드는 좀비 PC를 양산하여 디도스 공격에 이용한다. 또한 파일바이러스의 특징도 보인다. 테스트 환경 Windows XP x86 생성파일 C:\WINDOWS\(랜덤명).exe 행위 1.DDoS 공격 IP와 인자값을 받아 DDoS 공격을 수행한다. 2-1. 파일 파이러스 (Virut) 감염된 시스템의 실행파일을 확인해 보면 Entry Point의 주소값이 악성행위를 하는 영역의 시작 주로 Entry Point를 변경 된 것을 확인 할 수 있다. 악성코드를 삽입하기위해 삽입할 영역을 만든다. 2-2. 파일 파이러스 (Parite) 섹션을 맨 마지막에 추가한 후 Entry Point 변경 진단Virobot : Win32.Pa..
악성코드 정보 2015. 6. 10. 21:00
키로깅 악성코드

보호되어 있는 글입니다.
보호글 2015. 6. 5. 14:09
에드웨어와 함께 설치되는 뱅킹 악성코드

제목 그대로 에드웨어와 함께 뱅킹 악성코드가 생성되는 샘플이다. 테스트 환경 Windows XP x86 생성파일 다음 경로에 파일을 생성한다. 생성된 파일은 뱅킹 악성코드와 에드웨어이다. C:\nth C:\nth\Config.ini C:\nth\Setup.exe(뱅킹 악성코드) C:\nth\Wiseman.exe(에드웨어) Wiseman.exe Wiseman.exe를 실행시, 즐겨찾기에 쇼핑 사이트를 등록하며, 특정 문자나 URL을 입력시 광고창이 생성될 것 으로 추정된다. 즐겨찾기에 쇼핑 사이트를 등록한다. Setup.exe 다음 경로에 파일을 생성한다. C:\(랜덤폴더명)\Coinfig.ini C:\(랜덤폴더명)\setting.xml C:\(랜덤폴더명)\(랜덤파일명).exe DNS Cache Poiso..
악성코드 정보 2015. 5. 15. 12:18
파밍(Pharming) 악성코드에 대하여..

파밍(Pharming) 악성코드 파밍 악성코드는 국내에서 지속적으로 발견되고 있는 악성코드이다.파밍(Pharmin)은 피싱공격의 한 유형으로, 해커가 제작한 가짜 웹 사이트로 사용자를 유도하여 개인정보(금융정보)를 탈취하는 형태이다.이는 사용자가 올바른 주소에 접속하더라도 공격자가 제작한 웹 사이트로 접속하도록 유도 하기때문에 자칫 방심하면 큰 피해를 입을 수 있다.또한 파밍악성코드를 유포하는데 가장 많이 사용되는 형태가 드라이브 바이 다운로드(Drive-by-Download)기법이며, 이 기법은 사용자가 해당 웹 사이트에 접속하면 즉시 감염시킨다. 때문에 사용자가 인지하지 못하는 사이에 악성코드에 감염되기 때문에 인지하지 못한사이에 감염되기 때문에 더욱 주의가 필요하다. 파밍에 사용되는 몇가지 기술을 ..
악성코드 정보 2015. 5. 8. 19:00
긴급! 한글 CryptoLocker

한글로된 크립토락커가 유포됨을 포착했다.국내도 크립토 락커를 주의할 필요가 있다.
악성코드 정보 2015. 4. 17. 21:29
폴리모픽 기법을 이용한 CTB-Locker 유포

폴리모픽 기법을 이용한 CTB-Locker가 다량 유포되고 있다. 주의가 필요하다. 폴리모픽기법을 이용한 악성코드(드로퍼) 유포 실행하면 Word 파일이 열린다. 생성한 CTB-Locker들
악성코드 정보 2015. 4. 16. 11:11
1 2 3