국방부 "한미, 北핵시설 면밀히 감시하고 있다".hwp

NK 2015. 6. 24. 19:39




국방부 "한미, 北핵시설 면밀히 감시하고 있다".hwp









 증상 : 키로깅 


 생성파일

%appdata%\sso\config.ini        // MAC Adress

%appdata%\sso\key.hlp           // 사용자 키로깅 파일

%appdata%\sso\pnipcn.dll.url    // 사용자 키로깅 암호화 바이너리

%appdata%\sso\pnipcn.dll        // injection

%appdata%\sso\svchost.exe      // 정상파일



■ 접속 사이트

190.123.36.139

저작자표시 비영리 변경금지 (새창열림)

'NK' 카테고리의 다른 글

한수원 - 원전반대그룹  (0) 2015.07.13
북한 전산망  (0) 2015.07.06
가입원서.hwp  (0) 2015.06.26
Posted by Noise0
,

랜섬웨어-Crypt0L0cker

끄적임 2015. 4. 23. 09:36

 

국내 상륙한 한글판 랜섬웨어(Cryt0L0cker) 

- 재앙은 시작되었다 -

 

 

 

 

클리앙 유포지 :

http://row.bottomwebsites.xyz/[J5yEDRtHtVz5MW2NpX-IAK3avXWbbMvmXS6C76FmQBfJePZ5]

(뒷쪽 주소는 세션기반 랜덤 문자열 주소)

 

▶ C&C 서버 : lepodick.ru

 

 

 

 클리앙 - 2015. 4. 21

 

 

 

 

 

시코(www.seeko.co.kr) - 2015. 4. 22

 

 

 

 

 

 

응모 이벤트 관련 사이트 감염 추정 - 2015. 4. 28

 

▶ C&C 서버 : qwokeris.ru

▶ 파일명 : exeterac.exe

▶ 레지스트리 : Run "epusysgg"=""C:\WINDOWS\exeterac.exe""

 

 

유포지

http://row.bottomwebsites.xyz/...
http://res.startnetingswapp.xyz/...

 

 

랜섬웨어 감염 분석

[파일생성]
 [공통]
 C:\WINDOWS\(랜덤8자리).exe

 [Win XP]
 C:\Documents and Settings\All Users\Application Data\yfysozezamyhirug\00000000
 C:\Documents and Settings\All Users\Application Data\yfysozezamyhirug\01000000
 C:\Documents and Settings\All Users\Application Data\yfysozezamyhirug\02000000
 C:\Documents and Settings\All Users\Application Data\yfysozezamyhirug\03000000
 C:\Documents and Settings\All Users\Application Data\yfysozezamyhirug\04000000
 C:\Documents and Settings\All Users\Application Data\yfysozezamyhirug\05000000
 C:\Documents and Settings\All Users\Application Data\yfysozezamyhirug\06000000

 [Win 7]
 C:\ProgramData\yfysozezamyhirug\00000000
 C:\ProgramData\yfysozezamyhirug\01000000
 C:\ProgramData\yfysozezamyhirug\02000000
 C:\ProgramData\yfysozezamyhirug\03000000
 C:\ProgramData\yfysozezamyhirug\04000000
 C:\ProgramData\yfysozezamyhirug\05000000
 C:\ProgramData\yfysozezamyhirug\06000000

 

파일명.encrypted
DECRYPT_INSTRUCTIONS.html
DECRYPT_INSTRUCTIONS.txt


[레지스트리]
 [공통]
 키: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 이름: (랜덤8자리)
 값: "C:\WINDOWS\(랜덤8자리).exe"

 

[특징]
explorer.exe Injection

 

 

 

 

 

저작자표시 비영리 변경금지 (새창열림)

'끄적임' 카테고리의 다른 글

한수원 해킹_John_kdfifj1029  (0) 2015.07.08
좀비 PC 제어  (0) 2015.07.01
한글 악성문서 - [붙임]_정보보안_기업체_인력_채용_계획_현황.hwp  (0) 2014.06.25
파밍 악성코드(jpg 출력형)  (0) 2014.06.25
해커의 피싱 사이트 등록  (0) 2014.06.20
Posted by Noise0
,

한글 악성문서 - [붙임]_정보보안_기업체_인력_채용_계획_현황.hwp

끄적임 2014. 6. 25. 14:29

[붙임]_정보보안_기업체_인력_채용_계획_현황.hwp

 

 

 

 

■ 개요

해킹메일을 이용하여 특정기관의 구성원에게 발송하여 악성코드가 심어진 한글문서([붙임]_정보보안_기업체_인력_채용_계획_현황.hwp) 를 첨부하여 발송함. 특이하게도 이번 한글 악성문서는 해커가 잘못 만들어서 정상 한글파일이 보여지지 않음.

 

■ 생성파일

[붙임]_정보보안_기업체_인력_채용_계획_현황.hwp

   ㄴC:\Documents and Settings\Administrator\Local Settings\Temp\system32.dll  // Dropper

       ㄴC:\Documents and Settings\Administrator\시작 메뉴\프로그램\시작프로그램\AdobeAssist.exe   // Backdoor

 

■ 접속 사이트

Sb8MAv9rTi0EbT3vTbB79.PassAs.us

 

■ 바이러스 토탈

https://www.virustotal.com/ko/file/17250d9e757d8781e1657126c86dfcc097e91e8375b5d51376be8c5b359e0a38/analysis/

저작자표시 비영리 변경금지 (새창열림)

'끄적임' 카테고리의 다른 글

좀비 PC 제어  (0) 2015.07.01
랜섬웨어-Crypt0L0cker  (0) 2015.04.23
파밍 악성코드(jpg 출력형)  (0) 2014.06.25
해커의 피싱 사이트 등록  (0) 2014.06.20
위장용 파밍 악성코드  (0) 2014.05.26
Posted by Noise0
,

티스토리툴바