울지않는벌새 | 악성코드 유포 - 인터넷 서점 알라딘
독도 광고 모금 캠페인
울지않는벌새 위치로그  |  태그  |  미디어로그  |  방명록
icon 악성코드 유포 - 인터넷 서점 알라딘
벌새::Analysis | 2008/07/06 13:41
사용자 삽입 이미지

안녕하세요.

인터넷 서점 알라딘 웹사이트가 변조되어 악성코드를 유포하고 있는 것을 확인하였습니다.
hxxp://211.174.62.82/index.htm
 - hxxp://211.174.62.82/H.exe

* 해당 링크는 컴퓨터를 감염시킬 수 있으므로 주의하시기 바랍니다.

[index.htm]
Antivirus Version Last Update Result
AhnLab-V3 2008.7.4.1 2008.07.05 -
AntiVir 7.8.0.64 2008.07.05 JS/Drop.Agent.RH
Authentium 5.1.0.4 2008.07.06 -
Avast 4.8.1195.0 2008.07.05 -
AVG 7.5.0.516 2008.07.05 -
BitDefender 7.2 2008.07.06 -
CAT-QuickHeal 9.50 2008.07.04 -
ClamAV 0.93.1 2008.07.06 -
DrWeb 4.44.0.09170 2008.07.05 -
eSafe 7.0.17.0 2008.07.03 -
eTrust-Vet 31.6.5929 2008.07.05 -
Ewido 4.0 2008.07.05 -
F-Prot 4.4.4.56 2008.07.06 -
F-Secure 7.60.13501.0 2008.07.03 -
Fortinet 3.14.0.0 2008.07.05 -
GData 2.0.7306.1023 2008.07.05 -
Ikarus T3.1.1.26.0 2008.07.06 JS.Drop.Agent.RH
Kaspersky 7.0.0.125 2008.07.06 -
McAfee 5332 2008.07.04 -
Microsoft 1.3704 2008.07.06 -
NOD32v2 3244 2008.07.05 -
Norman 5.80.02 2008.07.04 -
Panda 9.0.0.4 2008.07.05 -
Prevx1 V2 2008.07.06 -
Rising 20.51.42.00 2008.07.04 -
Sophos 4.31.0 2008.07.06 -
Sunbelt 3.1.1509.1 2008.07.04 -
TheHacker 6.2.96.373 2008.07.05 -
TrendMicro 8.700.0.1004 2008.07.05 -
VBA32 3.12.6.8 2008.07.05 -
VirusBuster 4.5.11.0 2008.07.05 -
Webwasher-Gateway 6.6.2 2008.07.05 Script.Drop.Agent.RH
Additional information
File size: 1743 bytes
MD5...: 905dafe0d87b5ec4eaa16855ad596f44
SHA1..: 8e32ecdf796dfa651b29f529f417d664cd415ee4
SHA256: 4ae2869dd5d9b8919a6322e347aa191efce79f104c275cb566399684f9b6534f
SHA512: 100ae593a4a8074cb8aca3f1905b974503041ca85d2cec4aa94f032fbe697217
4d08992c7580e64751a23f44f50d9ae0279e67cba353c7d86bfdbd30edd0c296

사용자 삽입 이미지


해당 악성코드는 MS06-014 보안 취약점을 이용하여 추가적으로 트로이목마를 다운로드하고 있습니다.
[H.exe]
Antivirus Version Last Update Result
AhnLab-V3 2008.7.4.1 2008.07.05 -
AntiVir 7.8.0.64 2008.07.05 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.07.06 W32/Onlinegames.gen
Avast 4.8.1195.0 2008.07.05 Win32:Oliga
AVG 7.5.0.516 2008.07.05 PSW.OnlineGames.BR
BitDefender 7.2 2008.07.06 Packer.Malware.NSAnti.BD
CAT-QuickHeal 9.50 2008.07.04 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.07.06 -
DrWeb 4.44.0.09170 2008.07.05 modification of Trojan.Nsanti.Packed
eSafe 7.0.17.0 2008.07.03 Suspicious File
eTrust-Vet 31.6.5929 2008.07.05 -
Ewido 4.0 2008.07.05 -
F-Prot 4.4.4.56 2008.07.06 W32/Onlinegames.gen
F-Secure 7.60.13501.0 2008.07.03 -
Fortinet 3.14.0.0 2008.07.05 -
GData 2.0.7306.1023 2008.07.05 Trojan-GameThief.Win32.Nilage.dus
Ikarus T3.1.1.26.0 2008.07.06 Trojan-Spy.Win32.OnLineGames.ZDR
Kaspersky 7.0.0.125 2008.07.06 Trojan-GameThief.Win32.Nilage.dus
McAfee 5332 2008.07.04 -
Microsoft 1.3704 2008.07.06 TrojanSpy:Win32/OnLineGames.ZDR
NOD32v2 3244 2008.07.05 a variant of Win32/Pacex.Gen
Norman 5.80.02 2008.07.04 -
Panda 9.0.0.4 2008.07.05 Suspicious file
Prevx1 V2 2008.07.06 Rootkit
Rising 20.51.42.00 2008.07.04 -
Sophos 4.31.0 2008.07.06 Mal/EncPk-CE
Sunbelt 3.1.1509.1 2008.07.04 Packed.Win32.NSAnti.e
Symantec 10 2008.07.06 -
TheHacker 6.2.96.373 2008.07.05 -
TrendMicro 8.700.0.1004 2008.07.05 PAK_Generic.005
VBA32 3.12.6.8 2008.07.05 Malware-Cryptor.Win32.NSAnti
VirusBuster 4.5.11.0 2008.07.05 Trojan.Lineage.Gen!Pac.3
Webwasher-Gateway 6.6.2 2008.07.05 Trojan.Crypt.XPACK.Gen
Additional information
File size: 90429 bytes
MD5...: 9dc5b784ae873a792f0fabcc0d66c956
SHA1..: 12bd61f6a02c75a48f6781c1e9d24ce95803bb4e
SHA256: e202f517f8462d9816bbee90155baffc467650bfd98777a1b84fba09f0d17218
SHA512: 9cf98e866c0bdf56f5d5f3cdb50bcb1abbdfe63d0d8e721550ca7dd5cbe5ecb1
35d0b045610a946fb1a0070b38c6bec629de972814349017430d56cdede7f87e

진단명으로 보면 리니지 온라인 게임을 표적으로 하는 악성코드로 보입니다.
1. 파일 생성

%System%\drivers\windf.EXE
%System%\drivers\windf.hlp - 키보드 모니터링 기능

2. 프로세서 생성

windf.exe - %System%\drivers\windf.exe - 200,704 bytes 

컴퓨터 감염시 프로세서가 상주하여 키스트로킹을 감시하여 외부로 전송하는 것으로 보입니다.

인터넷 서점의 경우 금전 거래가 이루어지는 웹사이트 특성상 웹사이트 변조에 대해 빠른 조치가 요구됩니다. 특히 주말을 이용한 공격은 많은 피해를 볼 수 있습니다.
크리에이티브 커먼즈 라이선스
Creative Commons License
이올린에 북마크하기(0) 이올린에 추천하기(0)

'벌새::Analysis' 카테고리의 다른 글

악성코드 유포 - 조선대학교 치과대학  (0) 2008/07/18
악성코드 유포 - 계동철강  (4) 2008/07/18
Trojan-Downloader.Win32.Agent.wgb (Kaspersky)  (0) 2008/07/17
Kaspersky 오진 - 나우콤(Nowcom) 관련 파일  (12) 2008/07/15
Kaspersky 오진 - Trojan-Downloader.Win32.Agent.vmp  (0) 2008/07/08
악성코드 유포 - 인터넷 서점 알라딘  (0) 2008/07/06
악성코드 유포 - 울산매일 신문  (2) 2008/07/04
악성코드 유포 - (주)시큐리티 트러스트 (Security Trust)  (4) 2008/06/29
Kaspersky 오진 - Trojan.Win32.StartPage.bhf  (0) 2008/06/29
악성코드 유포 - MBC 게임  (4) 2008/06/28
인터넷 명의도용 검색 서비스 - IDChecker  (6) 2008/06/27

arrow 태그 : , , , , ,
arrow 트랙백1 | 댓글0
이 글의 관련글(트랙백) 주소 :: http://hummingbird.tistory.com/trackback/362
Tracked from metavital's me2DAY 2008/07/06 15:28 x
제목 : meta의 생각
인터넷 서점 알라딘, 현재 웹사이트가 변조되어 악성코드 유포 중. 이용에 주의하시기 바람.

아이디 :
비밀번호 :
홈페이지 :
  비밀글로 등록
내용 :
 



[PREV] [1] ... [105][106][107][108][109][110][111][112][113] ... [447] [NEXT]
관리자  |   글쓰기
BLOG main image
울지않는벌새가 되고 싶은 나..
- 로그인을 하지 않아도 댓..
 Category
분류 전체보기 (447)
벌새::Analysis (89)
벌새::Computer (29)
벌새::Copy (10)
벌새::Education (6)
벌새::Life (31)
벌새::Movie (123)
벌새::Music (4)
벌새::Secuity (98)
벌새::Sites (4)
벌새::Thinking (39)
벌새::Utilities (14)
 TAGS
 Recent Entries
 Recent Comments
 Recent Trackbacks
 Calendar
 Archive
 Link Site
 Visitor Statistics
Total : 165202
Today : 343
Yesterday : 2016
0
믹시추적버튼-이 블로그의 인기글을 실시간 추적중입니다.
블로그코리아
web tracker

rss
위치로그 : 태그 : 방명록 : 관리자
벌새's Blog is powered by Daum / Designed by plyfly.net