파밍 악성코드(jpg 출력형)

끄적임 2014. 6. 25. 11:40

 

파밍 악성코드(jpg 출력형)

 

 

 

 

  

■  바이러스 토탈 정보

https://www.virustotal.com/ko/file/6f812b67ae1b4b442d334cbcb35aff3aba2c58f019a83b105f4a17b743af6df5/analysis/

 

 

■ 생성파일

     C:\Program Files\c\1.exe

     C:\Program Files\c\2.jpg

     C:\koreaautoup.bmp

     C:\Program Files\Common Files\1.exe

 

 

 

 

 

                                                                ▶ 2.jpg

  

 

■  실행압축 MEW

 

 

 

 

 

■  레지스트리 변경

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\autoup: "1.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\koreaautoup: "C:\Program Files\Common Files\1.exe"

 

 

 

■  접속 사이트

http://pv.sohu.com/cityjson?ie=gb2312

 

 

 

 ■  hosts 변조 - 피싱 사이트

115.177.179.151 www.naver.com
115.177.179.151 www.daum.net
115.177.179.151 daum.net
115.177.179.151 naver.com
115.177.179.151 kIsA.kBstor.coM
115.177.179.151 kIsA.Nenghuyp.coM
115.177.179.151 kIsA.shiNhoN.coM
115.177.179.151 kIsA.wooribenk.coM
115.177.179.151 kIsA.hoNabenk.coM
115.177.179.151 kIsA.epostbenk.go.kR
115.177.179.151 kIsA.idk.co.kR
115.177.179.151 kIsA.kcB.co.kR
115.177.179.151 kIsA.kfoc.co.kR

 

127.0.0.1 www.kbstar.com
127.0.0.1 kbstar.com
127.0.0.1 www.nonghyup.com
127.0.0.1 nonghyup.com
127.0.0.1 www.kfcc.co.kr
127.0.0.1 kfcc.co.kr
127.0.0.1 www.wooribank.com
127.0.0.1 wooribank.com
127.0.0.1 ibk.co.kr
127.0.0.1 www.shinhan.com
127.0.0.1 shinahan.com
127.0.0.1 www.hanabank.com
127.0.0.1 hanbank.com

 

저작자표시 비영리 변경금지 (새창열림)

'끄적임' 카테고리의 다른 글

랜섬웨어-Crypt0L0cker  (0) 2015.04.23
한글 악성문서 - [붙임]_정보보안_기업체_인력_채용_계획_현황.hwp  (0) 2014.06.25
해커의 피싱 사이트 등록  (0) 2014.06.20
위장용 파밍 악성코드  (0) 2014.05.26
공유기 취약점으로 인한 공유기 DNS 설정 변조  (0) 2014.05.15
Posted by Noise0
,

해커의 피싱 사이트 등록

끄적임 2014. 6. 20. 11:35

 

 

해커는 웹 호스팅 업체를 통해 저비용으로 허위 도메인을 구매하여 등록한 다음 스미싱문자 또는 PC 파밍 악성코드를 제작하여 불특정 다수에게 발송하는 것으로 추정된다.

 

 

Domain Name: EKUMYONG.COM
Registrar: HICHINA ZHICHENG TECHNOLOGY LTD.
Whois Server: grs-whois.hichina.com
Referral URL: http://www.net.cn
Name Server: DNS13.HICHINA.COM
Name Server: DNS14.HICHINA.COM
Status: ok
Updated Date: 18-jun-2014
Creation Date: 18-jun-2014
Expiration Date: 18-jun-2015

 

 

▶ 정상 금융민원센터(www.fcsc.kr)

 

 

 

 

-------------------------------<가짜 금융민원센터(www.EKUMYONG.COM)>------------------------

 

 

 

 

 

 

 

 

 

 

 

 

저작자표시 비영리 변경금지 (새창열림)

'끄적임' 카테고리의 다른 글

한글 악성문서 - [붙임]_정보보안_기업체_인력_채용_계획_현황.hwp  (0) 2014.06.25
파밍 악성코드(jpg 출력형)  (0) 2014.06.25
위장용 파밍 악성코드  (0) 2014.05.26
공유기 취약점으로 인한 공유기 DNS 설정 변조  (0) 2014.05.15
Web Browser Memory 변조를 이용한 파밍 악성코드  (0) 2014.05.07
Posted by Noise0
,

위장용 파밍 악성코드

끄적임 2014. 5. 26. 11:36

 

쉐어박스(ShareBox) 모듈을 가장한 파밍 악성코드

 

 

자바 취약점을 이용한 악성코드 배포

 

 

□ 배포지

http://news4.2ch.kr/upload/thumb/8/eerrr.exe  // 현재는 차단된 상태이며, 해당 악성코드 설치시 다량의 악성코드가 시스템에 설치된다.

 

□ 증상

 다량의 악성코드를 설치하고 Hosts.ics 파일을 수정하여 사용자 금융정보 탈취를 시도한다.

 

□ 생성 파일 정보

1. (프로그램 폴더)\V3likex 폴더를 생성하고 하위에 파일들을 생성된다.

AVICAP.DLL     AVIFILE.DLL   COMMDLG.DLL    Engine.dll     FP30TXT.DLL    FP30UTL.DLL    FP30WEC.DLL
FP30WEL.DLL    GetDT.dat      LZEXPAND.DLL   MMSYSTEM.DLL   MSVIDEO.DLLOLECLI.DLL     OLESVR.DLL     SHELL.DLL      TAPI.DLL       V3lika.exe  VER.DLL        VI30AUT.DLL    VI30WRP.DLL   

 

 

 

 

2. (윈도우 폴더)\system 폴더를 생성하고 하위에 파일들이 생성된다.

ShareBoxService.exe

GetDT.dat

Engine.dll     

GetDtFitl.exe  // V3lika.exe 파일과 동일한 파일

 

 

▶ V3like.exe 악성코드 Description 정보

 

 

 

 

 

ShareBoxService.exe 악성코드 Description 정보

 

 

 

▶ 변조된 hosts.ics 파일정보

 

 

 레지스트리 Run 줄에 등록되어 재부팅시 자동 실행된다.

▶ Run 줄에 등록된 악성코드 V3lika.exe

 

저작자표시 비영리 변경금지 (새창열림)

'끄적임' 카테고리의 다른 글

파밍 악성코드(jpg 출력형)  (0) 2014.06.25
해커의 피싱 사이트 등록  (0) 2014.06.20
공유기 취약점으로 인한 공유기 DNS 설정 변조  (0) 2014.05.15
Web Browser Memory 변조를 이용한 파밍 악성코드  (0) 2014.05.07
nprotect 모듈을 가장한 악성코드  (0) 2014.05.07
Posted by Noise0
,

티스토리툴바