악성파일92 [악성코드 분석] nasdfgf.exe (사용자 정보유출) nasdfgf.exe 악성코드 분석 보고서 1. 유포 경로 nasdfgf.exe는 가짜 네이버 사이트를 통해 유포된다. 가짜 네이버 사이트 http://www.n****r.com 는 실제 네이버 사이트와 유사한 URL을 사용하고 동일한 화면을 출력하기때문에 구분하기가 어렵다. 가짜 네이버 사이트에 접속시 사용자 모르게 http://www.n****r.com/nasdfgf.exe 가 다운로드 및 실행되고, 실행된 nasdfgf.exe는 http://182.***.***.107/polo/polo17.exe 를 다운받아 실행한다. polo17.exe는 또다시 서비스용 dll을 드랍하고 이 dll파일을 이용하여 서비스를 생성한다. [그림]자동실행 등록된 레지스트리 [그림]nasdfgf.exe 아이콘 2. 악성 .. 2015. 11. 5. [악성코드 분석] skype_utility.exe (스카이프 프로필 변경, 스팸 발송) skype_utility.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 skype_utility.exe 파일크기 45,056 byte 진단명 Trojan/W32.Agent.45056.BXY 악성동작 스카이프 프로필 변경 / 등록 연락처 대상 스팸 메시지 발송 1.2. 분석환경 운영체제 Windows XP SP3 32bit (한글) 분석도구 PEview, OllyDbg , VB Decompiler 2. 분석정보2.1. 수집 경로본 악성파일은 메일로 수집되었다. 악성파일을 분석한 결과 스카이프(인터넷 음성통화, 메시지 전송 프로그램) 사용자를 대상으로 제작된 것으로 보이지만 복제 및 전파, 은닉 루틴이 발견되지 않아 그 피해 및 파급력은 크지 않을 것으로 보인다. 2.2. 파일 분.. 2015. 11. 3. [악성코드 분석] ebay_4181254791235_091015.exe ebay_4181254791235_091015.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 kaulj.exe 진단명 Trojan/W32.Yakes.41984.I 악성동작 termservice 시작, MpsSvc와 WinDefend 서비스 중지 특징 Ebay 를 사칭한 메일에 첨부되어 배포되는 악성파일 2. 분석정보 2.1. 파일 유포 경로 본 악성파일은 ebay를 사칭한 메일을 업체 그룹메일(외부 공개용)에 전송한다. 해당 메일은 “모니터링하거나 응답하는 주소가 아니니 답장하지 말아주십시오. 청구서를 보려면 첨부파일을 확인하십시오. 첨부파일은 PDF 형식으로 되어있어 열람을 위해서는 Adobe Acrobat Reader 가 필요합니다.” 는 내용과 첨부파일로 구성되있다. [.. 2015. 10. 30. [악성코드 분석] kaulj.exe (인터넷 뱅킹 파밍, 인증서 탈취) kaulj.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 kaulj.exe 파일크기 96,710 byte 진단명 Trojan/W32.KRBanker.96710 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 특징 hosts 및 hosts.ics파일 변조를 통한 위조 사이트 유도 및 인증서 탈취 자동실행으로 지속적인 악성동작 유지 파일 드랍 1.2. 분석환경 운영체제 Windows XP SP3 32bit (한글) 분석도구 IDA, PEview, OllyDbg, ProcExp 등 2. 분석정보 2.1. 파일 유포 경로 이번 샘플은 10월 첫째 주 주말 동안 *******wire.com외 의류쇼핑몰, 건강식품쇼핑몰, 어린이집 등 40여개에 이르는 사이트를 통해 유포되었다. ******.. 2015. 10. 23. [악성코드 분석] BERPOY.exe (인터넷 뱅킹 파밍, 인증서 탈취) BERPOY.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 BERPOY.exe 파일크기 79,368 byte 진단명 Trojan/W32.KRBanker.79368 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 연결대상 **7.**3.**9.**8 특징 DNS 및 host 파일 변조, 인증서를 네트워크로 전송 1.2. 분석환경 운영체제 Windows XP SP3 분석도구 Process Monitor, Process Explorer, Autorun, Regshot, Wireshark 1.3. 전체흐름도 2. 분석정보 2.1. 파일 유포 방식 특정 학회 웹 서버에 업로드된 악성파일 (http://ch*********.net/ba********/*/ BERPOY.exe) 이 다운로드 .. 2015. 10. 22. [악성코드 분석] system1.exe (인터넷 뱅킹 파밍, 인증서 탈취) system1.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 system1.exe 파일크기 145,408 byte 진단명 Trojan/W32.KRBanker.145408.B 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 특징 hosts 및 hosts.ics 파일 변조를 통해 가짜 사이트로 유도 인증서를 드라이브, 폴더 별로 압축하여 보관 자동실행으로 지속적 인증서 탈취 1.2. 분석환경 운영체제 Windows XP SP3 32bit (한글) 분석도구 Process Explorer, Wireshark, NetMon, OllyDbg 등 1.3. 전체흐름도 2. 분석정보 2.1. 파일 유포 방식 온라인 쇼핑몰 www.we******ak**.com 로 접속 시 98.***.***... 2015. 10. 16. 이전 1 ··· 3 4 5 6 7 8 9 ··· 16 다음
