반응형
| keygen.LimeWire.5.0.6.PRo.exe | File size: 121513 bytes MD5...: d14d543522d106f91ad4be47f61a6cc4 |
| 위 파일 실행시 아래의 파일이 system32에생성됨. | |
| CMVideo.dll | File size: 155648 bytes MD5...: 6407e93b8a0ab79720d2c651f1ec5242 |
keygen.LimeWire.5.0.6.PRo.exe가 시스템에 준 변화
| 폴더/파일생성 |
| C:\program files\CMVideoPlugin 폴더 생성 C\WINDOWS\SYSTEM32\CMVideo.dll 생성 |
| 레지스트리 생성 |
| [HKEY_LOCAL_MACHINE\Classes\AppID\{E006ADC6-996A-4EE2-9D63-E6E607485D9F}] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{0A8A5904-FD83-40DF-BA27-7D5704EF6FFA}] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{0A8A5904-FD83-40DF-BA27-7D5704EF6FFA}] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{CE580665-F3F7-4D64-86F8-14AC84FFC810}] [HKEY_LOCAL_MACHINE\software\Classes\CMVideo.CMVideoPlugin] [HKEY_LOCAL_MACHINE\software\Classes \CMVideo.XMLDOMDocumentEventsSink] [HKEY_LOCAL_MACHINE\software\Classes\Interface\{A77A8135-C1D5-40E4-A4F1-51FA11936B5D}] [HKEY_LOCAL_MACHINE\software\Classes\Interface\{CD57F97B-89EB-4769-8894-7D16528C44D9}] [HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{B4ACF1F7-325C-4269-A5E2-645476428B8C}] [HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion \Explorer\Browser Helper Objects\{CE580665-F3F7-4D64-86F8-14AC84FFC810}] [HKEY_CURRENT_USER\software\CMVideoPlugin] |
위 빨간 글씨 레지스트리로써 iecplorer.exe에 BHO로서 CMVideo.dll 이
인젝션되었음을 알 수 있고,
아래 그림처럼 프로세스 익스플로러를 통해서 확인가능하다.
| 알려진 레지스트리와 파일들로 악성코드를 제거하려면 ? 2009/02/02 - [유용한 팁들] - 레지스트리 항목(.reg) 파일 사용법 2009/02/04 - [유용한 팁들] - movefile 활용 |
반응형
'Malwares 분석' 카테고리의 다른 글
| update.exe (0) | 2009.02.15 |
|---|---|
| load.exe (0) | 2009.02.15 |
| r.exe (2) | 2009.02.14 |
| twixz.exe (0) | 2009.02.13 |
| loader.exe (0) | 2009.02.05 |
| rege.exe (0) | 2009.02.05 |
| ldr.exe (0) | 2009.02.03 |
| svchost.exe (0) | 2009.01.31 |
댓글