벌새::Analysis
2012. 2. 4. 19:22
wshtcpip.dll + safemon.dll 파일을 이용한 계정 정보 수집 악성코드 주의 (2012.2.4)
이번 주말을 기점으로 중국발 계정 정보 수집 목적의 악성코드가 wshtcpip.dll 시스템 파일을 패치하는 방식으로 새롭게 변경이 이루어져서 유포가 이루어지고 있는 것이 확인되고 있습니다. ▷ version.dll + safemon.dll 파일을 이용한 계정 정보 수집 악성코드 주의 (2012.1.17) 이는 기존의 version.dll + safemon.dll 유포 방식에서 변화를 준 형태로 이전에 작성한 분석 내용을 함께 참고하시기 바랍니다. 이번에 사용된 "C:\WINDOWS\system32\wshtcpip.dll" 시스템 파일은 "Windows Sockets Helper DLL" 기능을 하며, 보통 외부 네트워크와 연결된 프로세스에 추가되어 동작하는 것으로 판단됩니다. 실제로 감염되지 않은 정상..