ATC 악성코드

끄적임 2016. 1. 27. 15:49



ATC




■ 개요

프린터 서비스 파일로 위장한 악성코드(Print Spooler Service)


■ 파일 생성


SpoolerInst.exe

  -> SpoolerSvc.exe // 서비스로 등록


■ SpoolerSvc.exe 내부 스트링


M:\TASK\ProgamsByMe(2015.1~)\MyWork\Relative Backdoor\New Backdoor2.3\Release\Backdoor.pdb





Wine Command Prompt






■ 생성위치 

  C:\.\WINDOWS\system32\SpoolerSvc.exe



■ 동작형태


80 포트를 이용하여 Bot 동작형태로 패킷을 발송


- 178.20.153.95

- 178.20.153.44

- 31.169.92.34

37.59.219.176

195.210.46.57

103.242.134.4

186.202.161.36

- 185.57.173.68



저작자표시 비영리 변경금지 (새창열림)

'끄적임' 카테고리의 다른 글

랜섬웨어 - 화면 잠그기  (0) 2016.02.04
발전소 공격 악성메일  (0) 2016.02.02
北, 정찰총국 삼성 메신저 위장 악성코드 유포  (0) 2016.01.25
매크로 활용한 랜섬웨어 감염  (0) 2016.01.22
대한민국 공군 특정인을 겨냥한 APT 공격  (0) 2016.01.18
Posted by Noise0
,

北, 정찰총국 삼성 메신저 위장 악성코드 유포

끄적임 2016. 1. 25. 14:30


北, 정찰총국 삼성 메신저 위장 악성코드 유포



▶ 마이싱글 메신저(삼성 내부 메신저)





 버전 : 6.5.1501.1419 버전

 이름 : mySingleMessenger.exe





▶ 원격 데스크톱 하위 프로세서 생성(은닉을 위한 가장 프로세서 로드)






▶ 파일 생성 일자  : 2015/04/10




▶ 파일내부 스트링




▶ 네트워크 접속 : 94.199.145.55:443(영국)




▶ 네트워크 접속 : 206.248.59.124:443(미국)






<바이러스 토탈>

https://www.virustotal.com/ko/file/44884565800eebf41185861133710b4a42a99d80b6a74436bf788c0e210b9f50/analysis/


<보도기사>

北, 산업기밀 빼내 팔아넘기려 한 듯… 외화벌이용 사이버 테러

http://news.donga.com/home/3/all/20160125/76105487/1

저작자표시 비영리 변경금지 (새창열림)

'끄적임' 카테고리의 다른 글

발전소 공격 악성메일  (0) 2016.02.02
ATC 악성코드  (0) 2016.01.27
매크로 활용한 랜섬웨어 감염  (0) 2016.01.22
대한민국 공군 특정인을 겨냥한 APT 공격  (0) 2016.01.18
청와대 외교안보실을 사칭한 해킹 메일  (0) 2016.01.15
Posted by Noise0
,

매크로 활용한 랜섬웨어 감염

끄적임 2016. 1. 22. 15:29


Office 문서의 매크로를 활용한 랜섬웨어 감염



■ 매크로 기능 활성화와 유도




■ 접속 URL

http://104.223.89.152/la.mmp


■ 생성파일

C:\DOCUME~1\test1\LOCALS~1\Temp\\diskdfrg764.exe





저작자표시 비영리 변경금지 (새창열림)

'끄적임' 카테고리의 다른 글

ATC 악성코드  (0) 2016.01.27
北, 정찰총국 삼성 메신저 위장 악성코드 유포  (0) 2016.01.25
대한민국 공군 특정인을 겨냥한 APT 공격  (0) 2016.01.18
청와대 외교안보실을 사칭한 해킹 메일  (0) 2016.01.15
매크로(Macro) 악성코드  (0) 2016.01.14
Posted by Noise0
,

티스토리툴바