DLL Planting기법을 이용한 파밍 악성코드 분석

최근, DLL Planting 기법을 이용한 악성코드가 활발히 유포 되었다.DLL Planting은 DLL Hijacking 이라고도 하며, DLL 로딩 시 DLL 경로가 지정되어 있지 않아 발생하는 취약점이다. DLL 호출 시 파일의 경로가 설정되어 있지 않은경우 우선적으로 레지스트리 KnownDLLs Key를 확인후, 지정되어 있지 않으면 DLL Directory에서 찾는다. 디렉터리 우선순위는 다음과 같다. 1. 응용프로그램이 로드된 디렉터리 2. 시스템 디렉터리 3. 16비트 시스템 디렉터리 4. Windows 디렉터리 5. 현재 작업 디렉터리 6. Path 환경 변수에 등록된 디렉터리 따라서 정상 실행파일과 DLL 파일을 같이 유포시켜 실행파일이 필요 DLL호출시 경로가 설정되어 있지 않다면 D..
악성코드 정보 2015. 4. 15. 16:30
DLL Planting을 이용하는 파밍 악성코드

DLL Planting 기법을 이용한 파밍 악성코드가 지속적으로 유포중이다. Binary Planting , DLL Hijacking이라고도 한다. DLL의 로드순위를 이용하여 실행파일이 악성 DLL을 실행하게 하는 기법으로, 지금도 계속 유포 중이다. 실행파일이 DLL을 로드할 때 우선순위가 있으며, 레지스트리 Known DLLs Key 를 확인하고 없을경우 디렉토리에서 검색한다. 때문에 같은 디렉토리 내에 정상 DLL과 같은 이름의 DLL이 있으니 검증없이 로드해 버리기 때문에 그대로 악성 DLL이 로드되어 악성파일을 생성하게 된다. 다음 팟플레이어 볼륨 마우스 파이썬 작년에도 v3lite이름으로 뿌려지기도 했으며, 현재 python실행파일을 이용하여 악성코드를 생성한다.계속 변화중으로 지속적인 관심..
악성코드 정보 2015. 3. 19. 17:57
원트 vvant

http://www.vvant.kr/xxx/dd.exe 에서 파밍 악성코드를 유포중이다. 원트 라는 오피스용품을 판매하는 곳이다. 해당악성코드는 사용자의 금융정보 탈취를 유도하는 뱅킹 악성코드이다. 생성파일 C:\WINDOWS\AppPatch\vspqSgQr(랜덤명) C:\WINDOWS\AppPatch\vspqSgQr(랜덤명)\python27.dll C:\WINDOWS\AppPatch\vspqSgQr(랜덤명)\K9GGX8.exe(랜덤명)
악성코드 정보 2015. 3. 17. 15:39
성형외과 사이트를 이용한 악성코드 유포

http://www.4-ever.co.kr/xxxx/win.exe 한 성형외과 사이트가 악성코드 유포지로 이용되고 있다. 해당악성코드는 사용자의 금융정보 탈취를 유도하는 뱅킹(파밍) 악성코드이다.유사한 악성코드가 계속 유포중이다.
악성코드 정보 2015. 3. 17. 11:08
가위바위보 옷벗기기 게임으로 위장한 악성코드

토렌트에서 가위바위보 옷벗기기 게임으로 위장한 악성코드가 유포 중이다. 테스트 환경 Windows XP x32 사용자가 게임을 할때 악성코드는 다음과 같은 행위를 한다. 생성파일 정보 C:\qwe.exe
악성코드 정보 2015. 3. 12. 16:43
여러 행위를 하는 악성코드

툴킷을 이용해 만든것으로 예상된다 공인인증서 탈취USB에 NPKI폴더 있는지 확인한다.게임정보 역시 탈취할 것으로 보인다. 백신무력화 변조된 웹사이트 유도
악성코드 정보 2015. 2. 6. 17:13
비트코인 마이너 악성코드 f0xy

비트코인 마이너 악성코드 'f0xy' 해외 악성코드 중 스텔스 기능을 이용한 비트코인 마이너 악성코드라 한다. 테스트 환경 Windows 7 x64 생성파일 정보C:\Documents and Settings\Administrator\Application Data\Microsoft\svchost.exeC:\Documents and Settings\Administrator\Application Data\Microsoft\Bot_IDC:\Documents and Settings\Administrator\Application Data\Microsoft\minerd.exeC:\Documents and Settings\Administrator\Application Data\Microsoft\zlib1.dllC:\D..
악성코드 정보 2015. 2. 5. 17:52
뱅킹 악성코드 V3like

테스트 환경 Windows XP x86 생성파일 정보C:\WINDOWS\V3liekC:\WINDOWS\V3liek\Fobeka.batC:\WINDOWS\V3liek\Fobeka.exeC:\WINDOWS\V3liek\Fobeka.vbsC:\WINDOWS\V3liek\V3like.vbs 레지스트리 등록정보키 :HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 이름 : syotom 값 : C:\WINDOWS\V3like.exe V3like.vbs는 Fobeka.bat 파일을 실행한다. Fobeka.bat 파일은 방화벽을 해제하는 명령을 내린다. Fobeka.exe는 공인인증서를 탈취한다. 변조된 웹사이트로 유도한다.
악성코드 정보 2015. 2. 4. 15:27
랜섬웨어 CryptoWall3.0

랜섬웨어 Cryptowall3.0이 유포중이다. CryptoWall3.0은 CryptoWall2.0에 이어 나온 랜섬웨어이다.사용자의 파일들을 RSA- 2048로 암호화 하여 사용하지 못하게 하고, 파일들을 인질로 $500를 요구한다.해당 샘플은 모든 사용자 파일을 암호화하지는 못하고 중간에 죽는다. 테스트 환경 Windows XP x86 생성파일 정보C:\(랜덤폴더명)\(랜덤파일명).exeC:\out.png 암호화 된 모든 폴더 내에 다음과 같은 파일을 생성한다.하위 파일들은 암호화한 파일을 인질로 파일 복호화를 위해 해커가 요구하는 내용이 담겨있다.C:\Documents and Settings\Administrator\시작 메뉴\프로그램\시작프로그램\HELP_DECRYPT.LNKC:\Documents..
악성코드 정보 2015. 1. 28. 17:17
1 2 3