본문 바로가기

Malwares 분석31

네이트온 악성코드를 헤쳐 보았다 . 글벌레, 여러 번에 걸쳐 네이트온 악성코드에 대한 관찰기를 포스팅해 놓은 적이 있습니다만, 현재 또 다시 네이트온 악성코드가 기승을 부리는 것으로 보입니다. 알약 분석팀에 따르면 네이트온 악성코드가 과거 링크로 주로 유포되던 방식을 탈피해서 마치 친구처럼 말을 걸어오고 파일을 첨부해 보내는 방식으로도 유포가 되는 중이라고 합니다. 그래서 글벌레 어제부터 네이버 지식iN을 둘러본 결과 현재 유포되고 있는 네이트온 악성코드는 지난 3월에 중국 꽃거지를 출력하던 악성코드와 거의 같은 것으로 판단을 하였습니다. 글벌레의 꽃거지 악성코드 관찰기 : : 2010/03/28 - [Malwares 분석] - image.rar - 네이트온 악성코드 그런데 올라온 질문들을 살펴보니 또 다른 형태의 변종도 유포 중임을 발견.. 2010. 6. 2.

image.rar - 네이트온 악성코드 어제부터 또 새로운 네이트온 악성코드 링크가 전파되고 있다는 보고를 네이버 지식iN을 통하여 접하였습니다. 이에 해당 악성코드에 대한 관찰기와 대처법을 적어 봅니다. 이 글의 순서는 아래와 같습니다 . 1. 해당 악성코드 감염자의 대처법 2. 해당 악성코드 행동 양식 분석 보고 1. 해당 악성코드 감염자의 대처법 안전 모드로 부팅해서 아래 파일들을 삭제하세요. C:\WINDOWS\system\Baidog.dat C:\WINDOWS\system\ExeWen.exe C:\WINDOWS\system\Lcomres.dat C:\WINDOWS\system\sysnames.sys 일단 위에 적은 파일들만 삭제하면 이 악성코드는 무력화된 겁니다. 만약 위의 파일들 삭제 후 재부팅 시 파일이 없다는 에러 메시지가 뜬다.. 2010. 3. 28.

see.scr - MD5 : 01512107cdf5ed9654c69a0157ce52ec 현재 메신저를 통해 기승을 부리는 악성코드가 있어서 이에 대한 주의를 요하는 포스트입니다. 본문 중 악성 코드 유포 링크 주소들은 클릭 방지 및 이곳에서 다이렉트 다운로드를 방지키 위하여 일부 블라인드 처리 후 그림으로 대체하기로 합니다. 이 글은 다음과 같은 순서로 진행됩니다. 1. 악성코드 배포 링크 및 악성코드 Hash 값 2. 本 악성코드 실행 시 일어나는 시스템 변화 3. 예방법 4. 本 악성코드에 대한 바이러스 토탈 검사 결과 한 가지 혹시나 염려가 되어, 일부러, 고의적으로 악성코드를 유포하는 행위는 적발될 경우 중벌을 받는 범법 행위임을 고지해 둡니다. 또 한 가지 본 포스트에서는 감염 여부의 식별법에 대하여만 고지할 뿐입니다. 1. 악성코드 배포 링크 및 악성코드 Hash 값 악성코드 배.. 2010. 3. 9.

stat.exe - infostealer 정보 유출형 악성코드 관찰기입니다. 정보 유출형 악성코드는 많은 경우 키로거를 사용하리라 개인적으로 추측만 하고 실제로 관찰을 해 본 적은 없었습니다. 그런데 실제로 관찰을 해 보니 황당무계하게도 시스템의 문서들을 몽땅 홀라당 훔쳐갈 가능성도 있다는 것을 보게 되어 포스팅을 해 봅니다. 이 글은 다음의 순서로 진행됩니다. 1. stat.exe 의 파일 정보 및 행태(行態) 관찰 2. 이러한 악성 코드에 대한 평소 대처법 3. stat.exe 에 대한 백신들의 진단 현황 4. sandboxie에서 infostealer 관찰시 유의 사항 - For Advanced user 1. stat.exe 의 파일 정보 및 행태(行態) 관찰 ■ stat.exe의 파일 정보 ■ stat.exe 실행 시 나타나는 현상 st.. 2010. 3. 7.

svchost.exe 오늘은 자신이 Microsoft에서 제공한 파일이라고 속이면서 BITS 서비스를 이용해 무엇인가 빼돌리는 악성코드에 대하여 안내해 보고자 합니다. 본문에 앞서 본 포스트 작성에 이용된 도구들을 소개해 드리고 BITS 서비스에 대한 안내부터 드립니다. 본 포스트에서 이용된 악성코드의 행동을 관찰하는데 도움이 되는 도구들을 소개한 글벌레의 글들은 2009/10/17 - [프로그램 리뷰] - ProcessExplorer 2009/03/24 - [프로그램 리뷰] - RegFromApp 2009/05/08 - [프로그램 리뷰] - TCPView - 해킹 여부 확인 ( 인터넷 연결 상태 확인하기 ) 2009/03/17 - [프로그램 리뷰] - HashMyFiles v1.43 - Calculate MD5/SHA1/C.. 2010. 2. 12.

flash.exe 1 . flash.exe의 바이러스 토탈 검사 결과 및 파일 특성(추가 정보) 검사 파일: flash.exe 전송 시각: 2009.06.26 16:56:18 (UTC) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.5.0.18 2009.06.26 Win32.SuspectCrc!IK AhnLab-V3 5.0.0.2 2009.06.26 - AntiVir 7.9.0.199 2009.06.26 TR/Agent.15360.108 Antiy-AVL 2.0.3.1 2009.06.26 Trojan/Win32.Small.gen Authentium 5.1.2.4 2009.06.25 - Avast 4.8.1335.0 2009.06.26 Win32:Trojan-gen {Other} AVG 8.5.0.339.. 2009. 6. 27.

svhost.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다. svhost.exe의 파일 정보 및 바이러스토탈 검사 결과입니다. 검사 파일: svhost.exe 전송 시각: 2009.04.09 19:08:19 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.101 2009.04.09 Trojan.Crypt!IK AhnLab-V3 5.0.0.2 2009.04.09 - AntiVir 7.9.0.138 2009.04.09 TR/Crypt.ZPACK.Gen Antiy-AVL 2.0.3.1 2009.04.09 - Authentium 5.1.2.4 2009.04.08 - Avast 4.8.1335.0 2009.04.09 Win32:Trojan-gen {Othe.. 2009. 4. 10.

itynfu.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다. itynfu.exe 의 파일 정보 및 바이러스 토탈 검사 결과입니다. 검사 파일: itynfu.exe 전송 시각: 2009.04.05 19:59:49 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.101 2009.04.05 Trojan.Win32.Hiloti!IK AhnLab-V3 5.0.0.2 2009.04.05 Win-Trojan/Xema.variant AntiVir 7.9.0.138 2009.04.05 TR/Crypt.ZPACK.Gen Antiy-AVL 2.0.3.1 2009.04.05 - Authentium 5.1.2.4 2009.04.05 - Avast 4.8.1335.0 20.. 2009. 4. 6.

dr.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다. dr.exe의 파일 정보 관련 글 보기 2009/03/17 - [프로그램 리뷰] - HashMyFiles v1.43 - Calculate MD5/SHA1/CRC32 (파일 정보 보여 주는 프로그램) dr.exe의 바이러스 토탈 검사 결과 검사 파일: dr.exe 전송 시각: 2009.03.19 04:33:46 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.101 2009.03.19 Trojan-Dropper.Win32.Ambler!IK AhnLab-V3 5.0.0.2 2009.03.19 - AntiVir 7.9.0.120 2009.03.18 TR/Banker.Banker.aflq Aut.. 2009. 3. 19.

setup.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다. setup.exe의 파일 정보 및 바이러스 토탈 검사 결과 검사 파일: setup.exe 전송 시각: 2009.03.16 18:31:08 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.101 2009.03.16 Trojan-Proxy.Win32.Small!IK AhnLab-V3 5.0.0.2 2009.03.16 - AntiVir 7.9.0.116 2009.03.16 Worm/Koobface.EZ Authentium 5.1.0.4 2009.03.15 - Avast 4.8.1335.0 2009.03.16 Win32:Trojan-gen {Other} AVG 8.0.0.237 2009.03.1.. 2009. 3. 17.

sm2l4jne.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . sm2l4jne.exe의 파일 정보 및 바이러스 토탈 검사 결과 검사 파일: sm2l4jne.exe 전송 시각: 2009.03.04 16:50:30 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.101 2009.03.04 - AhnLab-V3 5.0.0.2 2009.02.27 - AntiVir 7.9.0.98 2009.03.04 TR/Crypt.XPACK.Gen Authentium 5.1.0.4 2009.03.04 - Avast 4.8.1335.0 2009.03.04 Win32:Trojan-gen {Other} AVG 8.0.0.237 2009.03.04 Generic12.BYFE B.. 2009. 3. 5.

explorer.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . explorer.exe는 윈도우 자체에도 정상적으로 존재하는 파일명이며 , 윈도우 탐색기이자 윈도우 쉘입니다 . 혹 작업관리자에 explorer.exe가 보인다고 무조건 삭제하려는 우를 범하실 분들이 게실까 명시하여 놓습니다 . 의심스러운 경우 아래 관련 글 보기를 활용해 explorer.exe의 파일 정보 및 바이러스 검사 결과를 먼저 보시도록 하세요 . 관련 글 보기 2009/02/05 - [유용한 팁들] - 바이러스 검사 - Virus Total / VirScan explorer.exe의 파일 정보 및 바이러스 토탈 검사 결과 검사 파일: explorer.exe 전송 시각: 2009.03.04 16:32:44 (CE.. 2009. 3. 5.

ldr2.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . ldr2.exe 의 파일 정보 및 바이러스 토탈 검사 결과 검사 파일: ldr2.exe 전송 시각: 2009.03.01 19:13:25 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.101 2009.03.01 Trojan-Spy.Win32.Zbot!IK AhnLab-V3 5.0.0.2 2009.02.27 - AntiVir 7.9.0.98 2009.02.28 TR/Dropper.Gen Authentium 5.1.0.4 2009.02.28 - Avast 4.8.1335.0 2009.02.28 Win32:Zbot-APR AVG 8.0.0.237 2009.03.01 PSW.Generic6.B.. 2009. 3. 2.

winamp.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . winamp.exe의 파일 정보 및 바이러스 토탈 검사 결과 검사 파일: winamp.exe 전송 시각: 2009.02.28 20:23:03 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.101 2009.02.28 Trojan-Spy.Win32.Zbot.anp!IK AhnLab-V3 5.0.0.2 2009.02.27 - AntiVir 7.9.0.98 2009.02.28 TR/Crypt.XPACK.Gen Authentium 5.1.0.4 2009.02.28 W32/Zbot.F.gen!Eldorado Avast 4.8.1335.0 2009.02.27 - AVG 8.0.0.237 2009... 2009. 3. 1.

kr.jpg.scr 이 악성코드가 백신으로써 처리되지 않는 경우에 대처법을 간단히 포스팅으로써 리포팅해보았습니다 . 백신으로 해결 불가하거나 본 포스트의 내용으로 처치가 곤란하신 분들은 아래 관련 글을 보아 주시기 바랍니다. 관련 글 보기 2009/03/02 - [카테고리外] - kr.jpg.scr에 대한 대처법 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다. 메신저를 통하여 아래의 링크가 온다고 합니다. (물론 게시판, 이메일등에서도 아래의 링크를 클릭하여서는 아니되며, 다른 링크로도 유포될 가능성이 보입니다 . 메신저에서 함부로 링크를 클릭하는 일은 없어야겠습니다.) 링크는 제거되었습니다(2022년 11월 메모). 위 링크를 클릭시 다운로드되는 파일의 정보 다음과 같습니다. kr.jpg.. 2009. 2. 28.

shop1.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . shop1.exe의 파일 정보 shop1.exe File size: 67584 bytes MD5...: 308f71700170045c8c8507deb396b4ac shop1.exe의 바이러스 토탈 검사 결과 검사 파일: shop1.exe 전송 시각: 2009.02.25 20:12:41 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.25 - AhnLab-V3 2009.2.26.0 2009.02.25 - AntiVir 7.9.0.88 2009.02.25 - Authentium 5.1.0.4 2009.02.25 - Avast 4.8.1335.0 2009.02.25 - A.. 2009. 2. 26.

darwin.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . darwin.exe의 파일 정보 darwin.exe File size: 67072 bytes MD5...: 45a940d3e2a3a3abac1e3cf0d9894f18 SHA1..: fef6e8995a18349db78619324801fa7605935954 darwin.exe의 바이러스 토탈 검사 결과 검사 파일: darwin.exe 전송 시각: 2009.02.22 18:13:09 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.22 - AhnLab-V3 2009.2.21.0 2009.02.22 - AntiVir 7.9.0.87 2009.02.21 - Authentium.. 2009. 2. 23.

1.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . 1.exe의 파일 정보 1.exe File size: 75264 bytes MD5...: 60d06e2d9ec29c7bac43722f58a6e15e 1.exe의 바이러스 토탈 검사 결과 검사 파일: 1.exe 전송 시각: 2009.02.16 17:46:51 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.16 - AhnLab-V3 5.0.0.2 2009.02.16 - AntiVir 7.9.0.79 2009.02.16 - Authentium 5.1.0.4 2009.02.16 - Avast 4.8.1335.0 2009.02.16 Win32:Rootkit-gen AVG 8.. 2009. 2. 17.

YahooDLL.dll YahooDLL.dll 의 파일 정보 YahooDLL.dll File size: 49931 bytes MD5...: eed0e7dd5e1d913b30c428952a2e9222 YahooDLL.dll 은 다른 다운로더에 의하여 다운로드되는 파일로 주로 윈도우 루트에 자리를 잡는다고 합니다 . 또한 다양한 여러 프로세스로 인젝션이 이루어진다고 합니다 . 이 파일이 시스템에 존재한다는 것은 감염을 의미 합니다 . YahooDLL.dll 의 바이러스 토탈 검사 결과 검사 파일: YahooDLL.dll 전송 시각: 2009.02.16 20:18:41 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.16 Riskware.Monitor.Win32.SpyAgent.. 2009. 2. 17.

urko.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . urko.exe의 파일 정보 urko.exe File size: 69118 bytes MD5...: 666c3ebdaec4dec99f2a19fb28191363 urko.exe의 바이러스 토탈 검사 결과 검사 파일: urko.exe 전송 시각: 2009.02.15 22:55:00 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.15 Trojan.Delf.Inject!IK AhnLab-V3 5.0.0.2 2009.02.15 - AntiVir 7.9.0.79 2009.02.15 DR/Delphi.Gen Authentium 5.1.0.4 2009.02.15 - Avast 4.. 2009. 2. 16.

load.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . load.exe 의 파일 정보 load.exe File size: 26112 bytes MD5...: 1ceed35235c14d6510e5cb5e6ed4319a load.exe 의 바이러스토탈 검사 결과 검사 파일: load.exe 전송 시각: 2009.02.15 09:09:35 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.15 Trojan-Dropper.Win32.Emold!IK AhnLab-V3 5.0.0.2 2009.02.14 - AntiVir 7.9.0.79 2009.02.13 - Authentium 5.1.0.4 2009.02.14 - Avast 4.8... 2009. 2. 15.

sunrise.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . sunrise.exe의 파일 정보 sunrise.exe File size: 68608 bytes MD5...: c461135a04bc10985b24d17cbf8aa57c sunrise.exe의 바이러스 토탈 검사 결과 검사 파일: sunrise.exe 전송 시각: 2009.02.14 18:43:25 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.14 PWS.Win32!IK AhnLab-V3 5.0.0.2 2009.02.14 - AntiVir 7.9.0.79 2009.02.13 TR/PSW.Zbot.G.4 Authentium 5.1.0.4 2009.02.14 - Av.. 2009. 2. 15.

update.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . update.exe 의 파일 정보 update.exe File size: 69120 bytes MD5...: f335e16d8b887f12aaa972bb13b9f6de update.exe 의 바이러스 토탈 검사 결과 검사 파일: update.exe 전송 시각: 2009.02.14 18:14:06 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.14 - AhnLab-V3 5.0.0.2 2009.02.13 - AntiVir 7.9.0.79 2009.02.13 - Authentium 5.1.0.4 2009.02.14 - Avast 4.8.1335.0 2009.02.14 W.. 2009. 2. 15.

load.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . load.exe 파일 정보 load.exe File size: 51200 bytes MD5: 383b92120c551163113324d4f410fbde load.exe 바이러스 토탈 검사 결과 검사 파일: load.exe 전송 시각: 2009.02.14 17:34:22 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.14 Virus.Win32.Dropper.BEJ!IK AhnLab-V3 5.0.0.2 2009.02.13 - AntiVir 7.9.0.79 2009.02.13 TR/Crypt.XPACK.Gen Authentium 5.1.0.4 2009.02.14 - Av.. 2009. 2. 15.

r.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . 파일 정보 r.exe File size: 68608 bytes MD5...: 1ed1d899561e79488132cd59dfd2d3b4 r.exe 의 바이러스 토탈 검사 결과 검사 파일: r.exe 전송 시각: 2009.02.13 17:20:36 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.13 Virus.Win32.Zbot!IK AhnLab-V3 5.0.0.2 2009.02.13 Win-Trojan/Agent.68608.CM AntiVir 7.9.0.79 2009.02.13 TR/Spy.ZBot.mtu Authentium 5.1.0.4 2009.02.13 - A.. 2009. 2. 14.

twixz.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . 파일 정보 twixz.exe File size: 66560 bytes MD5...: 5b012d459d7e129826f82a223991a44e 바이러스 토탈 검사 결과 검사 파일: twixz.exe 전송 시각: 2009.02.12 21:29:15 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.12 Trojan-Spy.Win32.Zbot!IK AhnLab-V3 5.0.0.2 2009.02.12 - AntiVir 7.9.0.76 2009.02.12 TR/Spy.ZBot.mpr Authentium 5.1.0.4 2009.02.12 - Avast 4.8.1335.0 200.. 2009. 2. 13.

keygen.LimeWire.5.0.6.PRo.exe keygen.LimeWire.5.0.6.PRo.exe File size: 121513 bytes MD5...: d14d543522d106f91ad4be47f61a6cc4 위 파일 실행시 아래의 파일이 system32에생성됨. CMVideo.dll File size: 155648 bytes MD5...: 6407e93b8a0ab79720d2c651f1ec5242 keygen.LimeWire.5.0.6.PRo.exe가 시스템에 준 변화 폴더/파일생성 C:\program files\CMVideoPlugin 폴더 생성 C\WINDOWS\SYSTEM32\CMVideo.dll 생성 레지스트리 생성 [HKEY_LOCAL_MACHINE\Classes\AppID\{E006ADC6-996A-4EE2-9D63-E6E6074.. 2009. 2. 6.

loader.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . loader.exe File size: 68608 bytes MD5 : 6868efcdc10ebd4ebf344fc311ea6a5d twex.exe File size: 395776 bytes MD5 : 577285b393d6c3b95a2712c434e9df33 loader.exe 의 바이러스 토탈 검사 결과 검사 파일: loader.exe 전송 시각: 2009.02.04 19:39:10 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.04 Trojan-Spy.Win32.Zbot!IK AhnLab-V3 5.0.0.2 2009.02.04 - AntiVir 7.9.0.74 .. 2009. 2. 5.

rege.exe rege.exe File size: 66560 bytes MD5 : 7fe517a3889c587f6affbafb16c3fe83 파일②는 rege.exe 생성시 생성 . 파일③은 바로 아래 ②twex.exe 가 실행시 변경 >생성되는 파일 ② twex.exe File size: 571904 bytes MD5 : bdefdfbf085050213d36a5406fa83fb3 ③ twex.exe File size: 782336 bytes MD5 : c1c439ac342d4b8651827cf319ba87b6 rege.exe 의 바이러스 토탈 검사 결과 검사 파일: rege.exe 전송 시각: 2009.02.04 17:12:07 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93.. 2009. 2. 5.

ldr.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . 시스템에 ldr.exe 이란 파일이 다운로드되어 실행될 시 변경 사항입니다 . 파일 추가 사항 C:\WINDOWS\system32\twext.exe 레지스트리 변경 사항 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt \currentversion\winlogon] "userinit"="C:\WINDOWS\system32userinit.exe," 위 정상 값이 아래 값으로 변경됨 . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt \currentversion\winlogon] "userinit"="C:\WINDOWS\system32us.. 2009. 2. 3.

이전 1 2 다음

티스토리툴바