태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010. 5. 25. 11:21


국내에 지속적으로 유포되고 있었던 Cyban.exe 악성코드가 금일 Cyabc.exe 로 파일명이 변경되어 유포중인 것이 확인되었습니다.

cyabc.exe
cyabc0.dll
cyabc1.dll
ieabc0.dll


이번 악성코드 역시 rar 로 위장하고 있는 변종 Dropper 를 다운로드 하도록 제작되어 있습니다.

http://www.baiduqxt.생략/1h생략/ah1.rar
http://www.baiduqxt.생략/1h생략/ah.rar

암호화되어 있는 ah.rar 파일은 Temp 폴더에 ah.exe 이름으로 설치됩니다.
ah.exe 와 시스템 폴더에 생성되는 cyabc.exe 는 동일합니다.

암호화 되어 있는 파일은 바이로봇이 거의 모든 변종을 일괄(Generic) 진단하는 것 같습니다.^^b

초기 10바이트 Cut 하고 첫 번째와 두 번째 두 바이트가 반복되는 2 코드로 Hex - 계산해서 MZ 가 나오면 진단하도록 만든게 아닌가 생각되네요.

http://www.virustotal.com/ko/analisis/8e3d7c2a70598dd156b32f77dfd37b80e809ecffcb11949f3b7891aec30ac0f4-1274753183

사용자 삽입 이미지

RAR 형식으로 위장하고 있는 파일은 특정 복호화키로 암호화 되어 있습니다.

사용자 삽입 이미지



Posted by viruslab

댓글을 달아 주세요