반응형
- 실행 압축이 되어 있어서 해당 샘플들 안에 아래와 같은 바이러스를 내포 하고 있습니다.
kiagen.exe : NateOn 관련 암호유출 프로그램 - serfarcp.dll 설치
serfarcp.dll è NateOn 로그인 창을 찾아 아이디와 패스워드 입력 시 특정 서버로 전송
C:\WINDOWS\System32\serfarcp.dll
C:\WINDOWS\System32\coinme.exe
80.exe : 온라인 게임 관련 암호유출 프로그램
C:\WINDOWS\System32\drivers\windf.exe
C:\WINDOWS\System32\drivers\windf.hlp
26.exe : 온라인 게임 관련 암호유출 프로그램
C:\WINDOWS\System32\nwizsys32.dll
C:\WINDOWS\System32\nwizsys32.exe
- 윈도우 시작시 자동 실행을 위해 아래와 같은 레지스트리값을 생성한다. [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="%system%\coinme.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "DF"="%system%\drivers\windf.exe"
반응형
'[Develope] > Security' 카테고리의 다른 글
| 쓰레기로 생성된 iptables의 notrack (0) | 2011.08.24 |
|---|---|
| 비밀번호 수준 체크 (0) | 2008.12.02 |