악성코드 썸네일형 리스트형 Encrypt By Dadong's JSXX 0.41 VIP 샘플 분석 Encrypt By Dadong's JSXX 0.41 VIP 이란 주석을 가지고 있는 자바스크립트 악성 코드가 근래 들어 많이 보인다고 한다. 샘플 : (해당 샘플을 사용하고 생기는 책임은 모두 다운로드 받는 본인에게 있다는 걸 명심하세요, 비밀번호 : virus) 중국에서 만든 난독화 코드인데 dadong을 거꾸로 하면 gondad가 되는데 이는 중국어로 공격이라는 뜻이란다. 해당 난독화 코드는 사실 난독화를 풀지 않고도 분석이 가능하다. 해당 글에서는 해당 악성코드를 해결하는 두가지 방법을 제시 할 것이다. 하나는 아주 간단하게 쉘코드만을 얻어와 쉘코드 분석을 통해 추가적으로 어떠한 행동을 하는지 파악하는 방법이고 또 하나 방법은 난독화 코드 자체를 해독하는 방법이다. 일단은 난독화 코드 자체를 해독.. 더보기 악성코드(word.vbe) 간단한 추가 분석 너무너무 궁금해서 결국 분석환경에서 간단히 어떠한 동작을 하는지 보았다. 온라인 게임 계정탈취 악성코드는 아닌듯 하고, 200~으로 시작하는 파일이 Alcrm32.exe파일을 Drop해 실행시킨다. 또, logo09.exe파일은 레지스트리 중 Ahnlab Tray 레지스트리에 자신을 등록하게 삭제 된다. 나머지 파일 하나는 그냥 백도어 프로그램 이다.. 그리고 나서 200~ 파일은 인터넷 접속을 시도 하고, site/main/b.txt를 받으려고 하나 해당 사이트에서 조치가 취해졌는지 파일이 없어 다운받지 못하고 404 페이지만 서버로부터 받는다. [그림 1 - 패킷 스트림 모습] 해당 사이트는 현재 공사중이라고 표시되고 b.txt 파일은 다운로드 되지 않으므로 주소를 공개한다. 과연 저 b.txt파일에.. 더보기 악성코드(word.vbe) 분석(2011. 12. 14 수정) 네이버 지식인 모니터링 중 어떤 질문자가 다급하게 링크를 올리며 질문을 했던 적이 있었다(SIS 공부 기간에) 네이트온 쪽지로 이상한 URL이 왔다고 알아봐 달라는 질문 이었다. 바로 URL로 들어가니 어떠한 파일을 다운받는 링크가 나왔고 다운 받으니 word.vbe라는 VB Script 파일이었다. 네이트온 쪽지로 왔으니 악성코드가 맞는 것은 100% 일 것!! 하지만, 그때는 공부중이어서 분석을 하지 못했고, 오늘에서야 분석을 하게 되었다. 분석시간이 너무 걸려 중간에 그만 뒀지만 그래도 공부는 됬을거라 생각 된다. 바이러스 토탈로 검사 해 본 결과로는 많은 AV에서 탐지하지 못하고 있다는 것이다. 바이러스 토탈에서 이 악성코드를 탐지하는 AV는 4개정도밖에 없었다. 인증샷을 보여주고 싶지만, 현재 .. 더보기 네이트온 쪽지 악성코드 분석(Player.exe) 네이버 지식인을 둘러보던 중 어떤 질문자가 네이트온 쪽지 악성코드 다운로드 URL을 링크 시켜놨길래 언능 받아 분석을 해보았다. VirusTotal로 보니 벌써 일부 백신에서는 감지를 하고 있는 파일이었다. 그래도 오랜만에 분석도 해볼겸 VM에 구축해놓은 환경으로 옴긴 뒤 분석을 시도 하였다. 악성코드 파일에 기본 정보 Ghost Security라는 보안회사로 속이고 있다. 어이가 없을 뿐. 파일에 행동과, 코드를 보기 위해 Filemon, OllyDBG를 켜놓은 상태에서 해당 악성코드 파일을 실행했을 때 아래와 같은 이미지에 경고 문구가 등장하면서 실행이 되지 않는다. OllyDBG 켜놓았을 때 FileMon 켜놓았을 때 대부분의 글씨가 깨져서 알아볼수는 없지만(어차피 중국어니까 못알아보는) 대충 이해.. 더보기 난 이래서 크롬이 좋다! 인터넷 뉴스를 보던 중.. 아x경x 뉴스 사이트에 들어갔을 때 이러한 메시지를 크롬으로부터 받았다. 상세한 정보를 봤더니... 꽤나 상세하게 리포팅을 해주었다. 크롬 사용한지는 얼마안됐지만, 사용하면 할수록 속도나 여러 측면에서 좋은 브라우저 같다. 역시 크롬!!! 더보기 이전 1 2 다음
