Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 |
Tags
- Protector
- OllyFlow
- OllyGraph
- mbr
- Wingraph32
- 시스템파괴
- 갤럭시s 음악끊김
- worm.win32.net-koobface
- ida
- MBR 부트 바이러스
- Trup 부트 바이러스
- DDoS
- 갤스 음악끊김
- 태백산 천제단
- 하우리
- linux LANG
- facebook 쪽지 악성코드
- Trup
- 77 ddos
- 64비트 변수 출력
- 사이버테러
- 갤스
- AVAR
- net-koobface
- 7.7 ddos
- 난독화
- Weather & Toggle Widgets
- linux 한글 깨짐
- AVAR 2010
- printf 64비트
Archives
- Today
- Total
Mylabs
Cdrom.sys 변조 악성코드 (백화점식 악성코드) 본문
Win32.Protector.A~E에 이어, 이번 백화점식 악성코드가 Cdrom.sys 를 변조하기 시작했다.
역시, Cutwail 시리즈이며, 품고 있는 악성 Spam driver 를 사용해 이메일 전송을 목적으로 한다.
Bredolab 과 Cutwail은 서로 PR 해주는 아주 좋은 친구 사이이다. 'ㅁ'
발견된 변종은 2종이며, Win32.Protector.F/G 가 진단명
이번 변종은 지난 ndis.sys 와 같이 정상을 품고 있는 방식은 같으나,
암호화 로직이 조금더 복잡하게 변경되었으며, 기본 코드 골격도 변경되어있었다.
아직 진단되는 수준은 미흡한 것으로 보아, 출현 된지 얼마 안된 형태 인듯 싶다.
[섹션정보]
섹션정보 역시 기존의 형태들처럼 구성되어 있으며, 정상 파일은 .reloc 안에 암호화 되어 있다.
ndis.sys 처럼 IoCallDriver 후킹을 하는지는 아직 미확인된 상태인듯 하다.
EP 코드
[헤더파싱 루틴 및 복호화 루틴]
[ 복호화 ]
당분간 백화점은 안갈것 같다.... -0-;ㅋ
'Malware' 카테고리의 다른 글
| MBR 악성코드 - 다수의 Adware를 설치하는 MBR 악성코드 (0) | 2010.07.08 |
|---|---|
| 7.7 DDOS - 2009년 남은 좀비 PC?? (3) | 2010.07.08 |
| 네이트온 쪽지 바이러스 (8) | 2010.03.08 |
| [ 'feng' 계정 생성 악성코드 : DB시스템에 다수 발생 ] (0) | 2009.12.16 |
| Usp10.dll 교체 (?) 악성코드 (13) | 2009.11.26 |
'Malware' Related Articles
more
