악성파일92 [악성코드 분석] 111.exe (랜섬웨어) 111.exe 악성코드 분석 보고서 1. 분석 정보 http://3****r****n****l***o.com/wp-includes/Text/111.exe 에서 다운로드된 악성코드 111.exe는 특정된 유포경로가 없으나, 웹사이트에 삽입된 익스플로잇이나 이메일을 통해 전파된 것으로 보인다. 111.exe는 사용자 동의없이 PC의 특정 파일들을 암호화하여 사용할 수 없게 하며, 원상복구 대가로 금액을 요구하는 이른바 랜섬웨어다. 실행 시 주요 파일들을 암호화하여 원본파일과 동일한 위치에 원본파일명.ccc 파일을 만들고 원본을 삭제한다. [그림] 감염 전 후 파일비교 모든 폴더에는 복호화 방법을 설명하는 두 파일(_how_recover_kug.html과 _how_recover_ kug.txt)을 생성하고, .. 2015. 12. 21. [악성코드 분석] winhost.exe winhost.exe 악성코드 분석 보고서 1. 분석 정보1.1. 개요고객의 신고에 의해 접수되어 유포 경로가 확인되지 않은 winhost.exe 파일은 실행된 PC에 동작 중이던 정상 프로세스들에 악성코드를 인젝션 하는 동작을 수행한다. 인젝션 된 악성코드는 추가적으로 악성파일 또는 악성코드를 다운로드 한다. 1.2. winhost.exewinhost.exe 파일을 실행하면 현재 동작중인 프로세스 중에서 “explorer.exe” 를 찾는다. 이후 정상 동작 중이던 explorer.exe 프로세스 및 하위 프로세스들에 악성동작을 하기 위한 특정 코드를 인젝션한다. 1.3. 감염된 프로세스 winhost.exe 파일에 의해 정상 프로세스에 인젝션 된 코드는 winhost.exe 파일을 숨기기 위해.. 2015. 12. 16. [악성코드 분석] ver.exe (백신설치 여부 확인) ver.exe 악성코드 분석 보고서 1. 분석 정보 악성파일 ver.exe는 http://l****o***b.co.kr/upload/ver.exe 로부터 최초 발견 되었으며 유포경로가 특정 지어지지 않았다. 다운로드 경로인 해당 사이트(l****o***b.co.kr) 는 이용자가 많은 컴퓨터분야 사이트이기에 사이트의 규모, 크기에 상관없이 공격 표적이 될 수 있음을 보여준다. ver.exe 는 실행 시 C:\Program Files\ 하위에 fuck.dll 파일을 생성하고, 이 파일을 사용하여 서비스를 생성하며 동작을 마친 ver.exe는 자신을 삭제하고 종료한다. [그림]다운로드된 ver.exe fuck.dll을 사용해 생성된 악성 서비스의 이름은 I16410687K이며 “Microsoft Device.. 2015. 11. 26. [악성코드 분석] df.exe (계정정보 탈취) df.exe 악성코드 분석 보고서 1. 분석 정보 df.exe는 출판사 홈페이지 http://www.a****o*k.net/upload_data/temp_files/df/df.exe 에서 발견됐으며 정확한 유포경로는 밝혀지지 않았다. 악성코드 df.exe는 260140.txt(랜덤숫자.txt)의 특정 파일을 임시폴더에 생성하고 실행시킨 후 자신을 삭제한다. 생성된 파일은 확장자명이 txt지만 사실 dll파일이며 *rundll32.exe를 통해 실행된다. (*rundll32.exe : 자체적으로 실행할 수 없는 dll 파일을 실행할 때 사용되는 윈도우 정상 프로그램) 260140.txt 는 rundll32.exe를 사용해 함수 xx를 호출한다. 함수 xx는 레지스트리 키 HKEY_CURRENT_USER\S.. 2015. 11. 25. [악성코드 분석] Duuzer Duuzer 악성코드 분석 보고서 1. 개요 1.1. 분석환경 운영체제 Windows XP SP3 32bit (한글) 분석도구 IDA, PEview, OllyDbg 등 1.2. Duuzer 개요 Duuzer는 C&C형 악성코드로, 해커에게 감염PC에 대해 명령어를 통한 원격제어 등 대부분의 권한을 가질 수 있게 한다. 악성코드 Brambul, Joanap과 함께 동작하는 것으로 알려져 있어 본 보고서에 각 악성파일 분석 정보를 함께 담았다. Duuzer의 경우 특히 정교한 파일 제어와 코드분석에 대한 방어 동작이 있어 PC내 특정 데이터를 노린 숙련된 해커가 만든 것으로 보인다. 2. 분석정보2.1. Duuzer 악성 동작Duuzer는 32bit 및 64bit 시스템 모두 동작하도록 설계돼있다... 2015. 11. 24. [악성코드 분석] dcujl.exe (금융 파밍) dcujl.exe 악성코드 분석 보고서 1. 유포 경로 특정 화장품 판매 쇼핑몰 웹서버(http://www.g*****e.co.kr/**c/***2/dcujl.exe)에 악성파일이 업로드되어 유포되었다. 유포된 dcujl.exe 파일은 정상 wininet.dll 파일 버전정보를 사용하여 사용자가 악성파일로 의심하지 않도록 한다. [그림]dcujl.exe 버전정보 2. 악성 동작 2.1. DCUJL.EXE dcujl.exe 파일은 C:\Documents and Settings\Administrator\Local Settings\Temp경로에 랜덤 크기 문자열을 추가한 자가 복제본을 랜덤한 문자열로 생성 후 실행한다. 실행된 Temp경로 파일 (예: ycepl.exe)은 아래 2개 파일을 생성한다. C:\w.. 2015. 11. 9. 이전 1 2 3 4 5 6 7 8 ··· 16 다음
