태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2011.01.04 15:28


최근에 시스템 파일인 ComRes.dll 파일을 변조하는 피해가 보고되고 있습니다.

사용자 삽입 이미지

기존 네이트온쪽지 악성파일이 원본을 x_com.dll 로 보관하던 방법과 다르게, 이번 변형은 ComResA.dll 파일명으로 보관하는 특징이 있습니다.


변조된 ComRes.dll 만 치료(삭제)할 경우 윈도우가 정상적으로 구동되지 않을 수 있으므로, 반드시 Anti-Virus 제품은 치료 기능이 구현되어야 합니다.

[관련 정보]
http://viruslab.tistory.com/2006
http://viruslab.tistory.com/2051

예전 샘플 자료

PUSH EDX ; /C:\WINDOWS\system32\sfc_my.dll
CALL DWORD PTR DS:[] ; \LoadLibraryA
PUSH 5 ; /ProcNameOrOrdinal = #5
PUSH EAX ; |hModule
CALL DWORD PTR DS:[] ; \GetProcAddress
...
PUSH EDX ; c:\windows\system32\comres.dll
PUSH 0
CALL EBP ; sfc_my.#5


Posted by viruslab