태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'계정 탈취'에 해당되는 글 1건

  1. 2010.06.21 anhzxc.exe, anszxc10.dll, anszxc20.dll 이름의 악성코드 감염 주의 (2)
신종악성코드정보2010.06.21 15:20


기존에 여러가지 파일명으로 국내에 유포된 이력을 가지고 있는 온라인 게임 계정 탈취 목적의 트로이목마 계열입니다.

계속해서 다양하게 이름을 변경하고 있지요.

그럼 예전 자료를 한번 살펴볼까요?

RAR 파일 포맷으로 위장한 악성코드 유포 기법
http://viruslab.tistory.com/370

ahnsbsb.exe, ahnxsds1.dll, ahnfgss1.dll, ahnxsds0.dll, ahnfgss0.dll
http://viruslab.tistory.com/804

ahnsbsb.exe, ahnfgss0.dll, ahnfgss1.dll, ahnxsds0.dll, ahnxsds1.dll
http://viruslab.tistory.com/866

bigdoor.exe, bigie0.dll, bigmn0.dll, zoorfat.exe, zorie0.dll, zormn0.dll
http://viruslab.tistory.com/1247

cyban.exe, cyban0.dll, cyban1.dll, ieban0.dll
http://viruslab.tistory.com/1331

cyabc.exe 파일명을 변경한 악성코드 국내 유포 중
http://viruslab.tistory.com/1753

최근에는 안철수 연구소 V3 제품처럼 파일명을 위장한 형태가 지속적으로 발견되고 있습니다.

ahnabc.exe, ahnabc0.dll, ahnie0.dll 안철수연구소 프로그램 파일명처럼 위장(?)한 악성코드 전파 중
http://viruslab.tistory.com/1826

이번에는 약간 변경되었는데, 제작자가 실수로 오타를 낸 것이 아닌가 싶기도 합니다.

- anhzxc.exe
- anszxc10.dll
- anszxc20.dll



사용자 삽입 이미지

폴더 옵션의 숨김속성이 안보이도록 설정되어 있는 경우 해당 악성코드들은 보여지지 않을 수 있으며, 숨김속성 파일을 보이도록 설정해 둔 경우라도 악성코드에 감염되면 레지스트리가 변경되어 저절로 숨김속성 파일들이 보여지지 않도록 변경되기도 합니다.

Autorun.inf 기법을 악용한 악성코드의 자동실행 비활성화 방법 (두가지 방식 중 선택적으로 사용하시면 됩니다.)
■  서비스 변경 방식

시작버튼 -> 실행 -> gpedit.msc
그룹정책 -> 사용자구성 -> 관리템플릿 -> 시스템 -> 자동 실행 사용 안 함 -> 사용 ->
자동 실행 사용 안함 : 모든 드라이브

내컴퓨터 마우스오른쪽 버튼 -> 관리 -> 서비스 및 응용프로그램 -> 서비스 -> 이름 : ShellHWDetection -> Shell Hardware Detection 중지(사용안함)

■ 레지스트리 변경 방식

시작버튼 -> 실행 -> regedit.exe -> 레지스트리 편집기에서 아래 내용 확인 후 해제 값 적용

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoDriveTypeAutoRun"=dword:00000091 (자동 실행 설정/기본값)
"NoDriveTypeAutoRun"=dword:00000000 (자동 실행 설정)
"NoDriveTypeAutoRun"=dword:000000ff (자동 실행 해제)

폴더옵션은 다음과 같이 설정되어 있어야 숨겨진 악성코드가 보여집니다. 일부 악성코드가 실행(감염)되어 있을 경우에는 폴더 옵션을 변경하지 못하도록 방해하는 경우가 있기 때문에 먼저 악성코드를 제거하거나, 안전모드(F8) 등에서 폴더 옵션을 변경하여야 할 수 있습니다.

사용자 삽입 이미지



Posted by viruslab