태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010. 7. 6. 09:57


DaumSecurity.exe 이름의 악성코드
DaumSecurity 파일명의 악성코드 정보

viruslab.tistory.com

다음(Daum) 포털 사이트에서 배포하는 파일명처럼 교묘하게 위장한 악성코드가 지속적으로 발견되고 있으니 각별히 주의하시는 것이 좋겠습니다.

DaumActive.exe


현재까지 정상파일처럼 위장했었던 파일명은 다음과 같습니다.

DaumActiveMgr.dll
DaumAntiMalware.dll
DaumActive.exe
DaumActive.dll
DaumActiveX.dll
DaumCafeOn.dll
DaumBGMPlayer.dll
DaumLogin.dll
DaumSecurity.exe
DaumSecurity.dll
DaumKeysec.dll


그외 다른 파일명도 다수 존재합니다.

현재 이 시간 유포되고 있는 다음 파일은 대부분의 국내 제품에서 진단하고 있지 못하고 있으며, Virus Total 에도 등록되어 있지 않습니다.

사용자 삽입 이미지
사용자 삽입 이미지

30여개의 주요 국내외 Anti-Virus 제품으로 진단 여부 테스트를 해 본 결과 모두 미탐지 중입니다. 국지적으로 변종이 지속적으로 유포 중에 있어서 대응에 어려움이 있는 것으로 보여집니다.

기존에 유포되었던 dlh.dll 파일을 Windows 폴더에 생성하는 증상을 가지고 있습니다.

dlh 는 Daum Login Helper 의 약자이며, 실제 BHO(Browser Helper Objects)에 등록됩니다.


{

 DLH.Main.1 = s 'Daum Login Helper'

 {

  CLSID = s '{D4400857-373C-4DB4-ACCE-2E34BC7D76EE}'

 }

 DLH.Main = s 'Daum Login Helper'

 {

  CLSID = s '{D4400857-373C-4DB4-ACCE-2E34BC7D76EE}'

  CurVer = s 'DLH.Main.1'

 }

 NoRemove CLSID

 {

  ForceRemove {D4400857-373C-4DB4-ACCE-2E34BC7D76EE} = s 'Daum Login Helper'

  {

   ProgID = s 'DLH.Main.1'

   VersionIndependentProgID = s 'DLH.Main'

   ForceRemove 'Programmable'

   InprocServer32 = s '%MODULE%'

   {

    val ThreadingModel = s 'Apartment'

   }

   'TypeLib' = s '{4FAFFA88-2F7D-4666-AD8E-BD492BA967FE}'

  }

 }

}



Posted by viruslab

댓글을 달아 주세요