국내에 지속적으로 유포되고 있었던 Cyban.exe 악성코드가 금일 Cyabc.exe 로 파일명이 변경되어 유포중인 것이 확인되었습니다.
RAR 형식으로 위장하고 있는 파일은 특정 복호화키로 암호화 되어 있습니다.
cyabc.exe
cyabc0.dll
cyabc1.dll
ieabc0.dll
cyabc0.dll
cyabc1.dll
ieabc0.dll
이번 악성코드 역시 rar 로 위장하고 있는 변종 Dropper 를 다운로드 하도록 제작되어 있습니다.
http://www.baiduqxt.생략/1h생략/ah1.rar
http://www.baiduqxt.생략/1h생략/ah.rar
암호화되어 있는 ah.rar 파일은 Temp 폴더에 ah.exe 이름으로 설치됩니다.
ah.exe 와 시스템 폴더에 생성되는 cyabc.exe 는 동일합니다.
암호화 되어 있는 파일은 바이로봇이 거의 모든 변종을 일괄(Generic) 진단하는 것 같습니다.^^b
초기 10바이트 Cut 하고 첫 번째와 두 번째 두 바이트가 반복되는 2 코드로 Hex - 계산해서 MZ 가 나오면 진단하도록 만든게 아닌가 생각되네요.
RAR 형식으로 위장하고 있는 파일은 특정 복호화키로 암호화 되어 있습니다.
댓글을 달아 주세요