블로그 이미지
쿠들릭
전자기기 사용기와 함께 악성코드 관련글과 일상을 업로드 하는 블로그 입니다.^^

calendar

      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

Notice

'온라인게임핵'에 해당되는 글 1

  1. 2011.06.12 여러 웹하드 및 각종 유포지 scvhost.exe 주의!(2)
어제 유포하길래 쓸까말까 고민 했는데 의외로 감염자 수가 많아 포스팅 해봅니다.
해당 파일은 svchost.exe 윈도우 정상파일명으로 위장한 온라인 게임핵입니다.
각종 정보에 의하면 많은 웹하드 사이트가 털리고 Adobe 제로데이 취약점으로 IE에서는 자동 다운로드합니다.
scvhost.exe를  파해쳐봅니다! 참고로 노턴의 인사이트와 소나도 통과합니다!
생성하는 파일

http://www.virustotal.com/file-scan/report.html?id=80a715c3b34069edc388f7de827663d8c75f403cff005cbcecd482730c195445-1307879873 
http://www.threatexpert.com/report.aspx?md5=92a8a413f2597e737920db00f20768c0 
이 파일은 악성파일인 lpk.dll,6549302827346110393.exe 정상파일인 lpk32.dll과 감염된시간.dll 파일을 만듭니다.
http://camas.comodo.com/cgi-bin/submit?file=80a715c3b34069edc388f7de827663d8c75f403cff005cbcecd482730c195445 
자동 분석기도 같은 결과를 보여줍니다.
lpk.dll: http://www.virustotal.com/file-scan/report.html?id=44030d5e7df325d6d42365c3d47483748f89dd33fc1e10ddaacfee38b2a3eb6f-1307879982
6549302827346110393.exe : http://www.virustotal.com/file-scan/report.html?id=131602da80074be60f9edff3aeee80738cf6214c41ededa0fb4ea21bb90bd7f3-1307879986
안철수연구소를 제외한 국내백신은 완벽한 탐지가 불가능합니다.
생각해 보니 http://cacavirus.tistory.com/46 과 같은 형태인것 같습니다.
전용백신은 http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=101
감염되신 경우 현재는 V3 Lite밖에 해결책이 없는것 같네요. 

현재7/9의 scvhost.exe 변종파일입니다.
http://www.virustotal.com/file-scan/report.html?id=8ab6b830c2f58298c4a7978c39b249858e3288b96db00c781706722b96572a29-1310207324


 
posted by 쿠들릭

댓글을 달아 주세요

  1. kthoon 2011.06.15 20:39  Addr Edit/Del Reply

    알약 2.0 잡아내었습니다.

    • 쿠들릭 2011.06.15 21:01 신고  Addr Edit/Del

      저 당시에는 미탐지 였으나 바로 긴급으로 업데이트 되더군요.^^;
      방문해주셔서 감사합니다.

prev 1 next