악성코드와 하율파파

악성코드 정보현재 유포되고 있는 럭키 랜섬웨어는 드리덱스 악성코드와 같이 문서의 메크로 형식으로 유포되고 있다.문서파일의 매크로로 악성파일을 다운받고 실행하여 사용자의 PC를 감염시킨다. 테스트 환경Windows XP x86 분석정보문서 내 메크로의 일부분으로, 자바스크립트를 이용하며 난독화가 되어있다. 다음 위치에 파일을 생성한다. C:\Documents and Settings\Administrator\Local Settings\Temp\nchiromantic.exe (감염 후 자신 삭제) OS 운영체제 확인 암호화 제외 위치 암호화 파일 *.key *.CSV *.sxc *.123 *.odg *.SQLITE3 *.cpp *.java *.gif *.bz2 *.vob *.crt *.txt *.stc *.w..

최근 랜섬웨어의 피해가 심각해 지고 있는 가운데 키메라 랜섬웨어라는 새로운 램섬웨어가 발견되었다. 키메라 랜섬웨어는 사용자의 개인 파일을 암호화 시킬뿐 아니라 파일을 가져가 금액을 지불하지 않으면 인터넷에 공개하겠다며 협박을 한다. 테스트 환경 Windows XP x86 실제 랜섬웨어에 감염 후 패킷을 확인해 보면 해당 C&C로 나간 패킷이 얼마 되지 않는다. 실제로 파일을 가져가지 않을 확률이 높다. (사용자파일을 전송한다면 지금보다는 패킷이 훨씬 많을것이며, 파일전송 프로토콜도 보이지 않는다.) 암호화 된 파일은 아래와 같이 확장자가 변경되며 감염될때 마다 다른 확장자가 붙는다. 다른 랜섬웨어와 달리 키메라 랜섬웨어에 감염되면 Windows의 시스템파일 까지 암호화 시켜 Windows시스템 자체에 영..

며칠 전부터 한글랜섬웨어가 다시 활동을 시작했다. 테스트 환경 Windows XP x86 생성파일 C:\WINDOWS\(랜덤명).exe 진단 Virobot : Trojan.Win32.S.CryptoLocker.278528.C Trojan.Win32.S.CryptoLocker.294912 Trojan.Win32.S.CryptoLocker.267681 ...