파밍 악성코드(jpg 출력형)

 

 

 

 

  

■  바이러스 토탈 정보

https://www.virustotal.com/ko/file/6f812b67ae1b4b442d334cbcb35aff3aba2c58f019a83b105f4a17b743af6df5/analysis/

 

 

■ 생성파일

     C:\Program Files\c\1.exe

     C:\Program Files\c\2.jpg

     C:\koreaautoup.bmp

     C:\Program Files\Common Files\1.exe

 

 

 

 

 

                                                                ▶ 2.jpg

  

 

■  실행압축 MEW

 

 

 

 

 

■  레지스트리 변경

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\autoup: "1.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\koreaautoup: "C:\Program Files\Common Files\1.exe"

 

 

 

■  접속 사이트

http://pv.sohu.com/cityjson?ie=gb2312

 

 

 

 ■  hosts 변조 - 피싱 사이트

115.177.179.151 www.naver.com
115.177.179.151 www.daum.net
115.177.179.151 daum.net
115.177.179.151 naver.com
115.177.179.151 kIsA.kBstor.coM
115.177.179.151 kIsA.Nenghuyp.coM
115.177.179.151 kIsA.shiNhoN.coM
115.177.179.151 kIsA.wooribenk.coM
115.177.179.151 kIsA.hoNabenk.coM
115.177.179.151 kIsA.epostbenk.go.kR
115.177.179.151 kIsA.idk.co.kR
115.177.179.151 kIsA.kcB.co.kR
115.177.179.151 kIsA.kfoc.co.kR

 

127.0.0.1 www.kbstar.com
127.0.0.1 kbstar.com
127.0.0.1 www.nonghyup.com
127.0.0.1 nonghyup.com
127.0.0.1 www.kfcc.co.kr
127.0.0.1 kfcc.co.kr
127.0.0.1 www.wooribank.com
127.0.0.1 wooribank.com
127.0.0.1 ibk.co.kr
127.0.0.1 www.shinhan.com
127.0.0.1 shinahan.com
127.0.0.1 www.hanabank.com
127.0.0.1 hanbank.com

 

Posted by Noise0
,

 

 

해커는 웹 호스팅 업체를 통해 저비용으로 허위 도메인을 구매하여 등록한 다음 스미싱문자 또는 PC 파밍 악성코드를 제작하여 불특정 다수에게 발송하는 것으로 추정된다.

 

 

Domain Name: EKUMYONG.COM
Registrar: HICHINA ZHICHENG TECHNOLOGY LTD.
Whois Server: grs-whois.hichina.com
Referral URL: http://www.net.cn
Name Server: DNS13.HICHINA.COM
Name Server: DNS14.HICHINA.COM
Status: ok
Updated Date: 18-jun-2014
Creation Date: 18-jun-2014
Expiration Date: 18-jun-2015

 

 

▶ 정상 금융민원센터(www.fcsc.kr)

 

 

 

 

-------------------------------<가짜 금융민원센터(www.EKUMYONG.COM)>------------------------

 

 

 

 

 

 

 

 

 

 

 

 

Posted by Noise0
,

 

쉐어박스(ShareBox) 모듈을 가장한 파밍 악성코드

 

 

자바 취약점을 이용한 악성코드 배포

 

 

□ 배포지

http://news4.2ch.kr/upload/thumb/8/eerrr.exe  // 현재는 차단된 상태이며, 해당 악성코드 설치시 다량의 악성코드가 시스템에 설치된다.

 

□ 증상

 다량의 악성코드를 설치하고 Hosts.ics 파일을 수정하여 사용자 금융정보 탈취를 시도한다.

 

□ 생성 파일 정보

1. (프로그램 폴더)\V3likex 폴더를 생성하고 하위에 파일들을 생성된다.

AVICAP.DLL     AVIFILE.DLL   COMMDLG.DLL    Engine.dll     FP30TXT.DLL    FP30UTL.DLL    FP30WEC.DLL
FP30WEL.DLL    GetDT.dat      LZEXPAND.DLL   MMSYSTEM.DLL   MSVIDEO.DLLOLECLI.DLL     OLESVR.DLL     SHELL.DLL      TAPI.DLL       V3lika.exe  VER.DLL        VI30AUT.DLL    VI30WRP.DLL   

 

 

 

 

2. (윈도우 폴더)\system 폴더를 생성하고 하위에 파일들이 생성된다.

ShareBoxService.exe

GetDT.dat

Engine.dll     

GetDtFitl.exe  // V3lika.exe 파일과 동일한 파일

 

 

▶ V3like.exe 악성코드 Description 정보

 

 

 

 

 

ShareBoxService.exe 악성코드 Description 정보

 

 

 

▶ 변조된 hosts.ics 파일정보

 

 

 레지스트리 Run 줄에 등록되어 재부팅시 자동 실행된다.

▶ Run 줄에 등록된 악성코드 V3lika.exe

 

Posted by Noise0
,