악성코드와 하율파파

※ 본 이미지는 이해를 돕기위한 것 입니다. 이동식 디스크를 통해 전파되는 악성코드는 단 한 대의 감염으로 인해 여러 사람이 감염될 수 있는 전파력이 강한 악성코드이다. 주로 USB와 같은 이동식 디스크를 통해 전파되며, 이동식 디스크 내의 파일을 lnk 파일로 변환하고, 해당 링크파일을 클릭하면 원본 파일이 실행됨과 동시에 악성코드가 같이 실행하도록 되어있다. 테스트 환경 Windows XP x86 생성파일 C:\Documents and Settings\Administrator\Local Settings\Temp\Sample.vbs C:\Documents and Settings\Administrator\시작 메뉴\프로그램\시작프로그램\Sample.vbs Command : "C:\WINDOWS\syste..

잠시 보이지 않던 뱅킹 악성코드가 다시 나오고 있다. 테스트 환경 Windows XP x86 생성파일 C:\33pql2pq7umlqt7(랜덤폴더명)\v91442d.dll

토렌트를 이용한 악성코드 유포가 지속적으로 일어나고 있다. 테스트 환경 Windows 7 x64 VMware-workstation-full-11.1.1-2771112.exe와 S.n.txt 파일이 다운로드 된다. VMware-workstation-full-11.1.1-2771112.exe 파일이 악성 파일이다. S.n.txt 파일은 시리얼이 들어있는 텍스트 파일이다. 생성파일 임시폴더(Temp)에 파일을 생성하며, 생성된 두 파일의 MD5는 같다. C:\Users\Taewoo\AppData\Local\Temp\Windows System.exe C:\Users\Taewoo\AppData\Local\Temp\System.exe System.exe 파일을 방화벽 정책에서 허용으로 설정한다. 이름을 변경하여 시..

며칠 전부터 한글랜섬웨어가 다시 활동을 시작했다. 테스트 환경 Windows XP x86 생성파일 C:\WINDOWS\(랜덤명).exe 진단 Virobot : Trojan.Win32.S.CryptoLocker.278528.C Trojan.Win32.S.CryptoLocker.294912 Trojan.Win32.S.CryptoLocker.267681 ...

보호되어 있는 글입니다.

최근, DLL Planting 기법을 이용한 악성코드가 활발히 유포 되었다.DLL Planting은 DLL Hijacking 이라고도 하며, DLL 로딩 시 DLL 경로가 지정되어 있지 않아 발생하는 취약점이다. DLL 호출 시 파일의 경로가 설정되어 있지 않은경우 우선적으로 레지스트리 KnownDLLs Key를 확인후, 지정되어 있지 않으면 DLL Directory에서 찾는다. 디렉터리 우선순위는 다음과 같다. 1. 응용프로그램이 로드된 디렉터리 2. 시스템 디렉터리 3. 16비트 시스템 디렉터리 4. Windows 디렉터리 5. 현재 작업 디렉터리 6. Path 환경 변수에 등록된 디렉터리 따라서 정상 실행파일과 DLL 파일을 같이 유포시켜 실행파일이 필요 DLL호출시 경로가 설정되어 있지 않다면 D..