반응형 twext.exe7 ldr2.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . ldr2.exe 의 파일 정보 및 바이러스 토탈 검사 결과 검사 파일: ldr2.exe 전송 시각: 2009.03.01 19:13:25 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.101 2009.03.01 Trojan-Spy.Win32.Zbot!IK AhnLab-V3 5.0.0.2 2009.02.27 - AntiVir 7.9.0.98 2009.02.28 TR/Dropper.Gen Authentium 5.1.0.4 2009.02.28 - Avast 4.8.1335.0 2009.02.28 Win32:Zbot-APR AVG 8.0.0.237 2009.03.01 PSW.Generic6.B.. 2009. 3. 2. shop1.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . shop1.exe의 파일 정보 shop1.exe File size: 67584 bytes MD5...: 308f71700170045c8c8507deb396b4ac shop1.exe의 바이러스 토탈 검사 결과 검사 파일: shop1.exe 전송 시각: 2009.02.25 20:12:41 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.25 - AhnLab-V3 2009.2.26.0 2009.02.25 - AntiVir 7.9.0.88 2009.02.25 - Authentium 5.1.0.4 2009.02.25 - Avast 4.8.1335.0 2009.02.25 - A.. 2009. 2. 26. twext.exe 다음과 같은 문의를 받았습니다. 답변을 드리면, 제가 악성 파일들을 분석해 보자고 마음먹고, 분석해 보기 시작한 후 100개 이상의 악성 코드를 실행해 본 것 같은데 twext.exe는 다른 악성 파일에 의하여 생성되는 파일로 보입니다. 여기서 조금만 첨언하면 저의 분석은 악성 파일 성질이 무엇이냐 그 것이 어떤 일을 하느냐 이런데 초점을 맞춘 것은 아니고 악성 파일이 존재할 때 시스템 변화를 기록하여 제거에 초점을 맞춘 것들입니다. 그럼에도 불구하고 답변을 드릴 수 없는 이유는, .reg파일을 등록해 드릴 수 없는 이유는 위 굵은 빨간 글씨 부분과 같은 이유때문입니다.......... 이와 거의 똑같은 경우가 다운로더 역할을 하는 악성 코드가 라이브러리(.dll) 수준의 파일들을 다운로드해서 여기 저기.. 2009. 2. 17. urko.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . urko.exe의 파일 정보 urko.exe File size: 69118 bytes MD5...: 666c3ebdaec4dec99f2a19fb28191363 urko.exe의 바이러스 토탈 검사 결과 검사 파일: urko.exe 전송 시각: 2009.02.15 22:55:00 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.15 Trojan.Delf.Inject!IK AhnLab-V3 5.0.0.2 2009.02.15 - AntiVir 7.9.0.79 2009.02.15 DR/Delphi.Gen Authentium 5.1.0.4 2009.02.15 - Avast 4.. 2009. 2. 16. load.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . load.exe 파일 정보 load.exe File size: 51200 bytes MD5: 383b92120c551163113324d4f410fbde load.exe 바이러스 토탈 검사 결과 검사 파일: load.exe 전송 시각: 2009.02.14 17:34:22 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.14 Virus.Win32.Dropper.BEJ!IK AhnLab-V3 5.0.0.2 2009.02.13 - AntiVir 7.9.0.79 2009.02.13 TR/Crypt.XPACK.Gen Authentium 5.1.0.4 2009.02.14 - Av.. 2009. 2. 15. ldr.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . 시스템에 ldr.exe 이란 파일이 다운로드되어 실행될 시 변경 사항입니다 . 파일 추가 사항 C:\WINDOWS\system32\twext.exe 레지스트리 변경 사항 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt \currentversion\winlogon] "userinit"="C:\WINDOWS\system32userinit.exe," 위 정상 값이 아래 값으로 변경됨 . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt \currentversion\winlogon] "userinit"="C:\WINDOWS\system32us.. 2009. 2. 3. svchost.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다. 악성 svchost.exe를 다운로드받게 되었는데 여러 사이트에서 뿌려질 수 있으리라 보여져 정리를 해 봅니다. 다운로드 받은 악성코드 파일 정보입니다. 아래 그림은 정상적인 svchost.exe의 정보입니다. 두 파일을 비교해 보면 위에 보이는 악성코드 파일은 프로그램 탭과 메모리 탭으로 볼 때, 도스용 프로그램임을 알 수 있습니다. 그리고 제공자의 정보도 없습니다. 아래 그림의 정상 svchost.exe는 그 파일 버젼에서 정상적인 XP SP2의 파일임이 유추되며 또 회사 - Microsoft라고 표시되어 있습니다. 위 악성코드인 svchost.exe이 실행되면 twext.exe이 system32에 생성됩니다. 그리고 .. 2009. 1. 31. 이전 1 다음 반응형
