Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
Tags
- OllyGraph
- 77 ddos
- Trup 부트 바이러스
- net-koobface
- 태백산 천제단
- AVAR
- DDoS
- printf 64비트
- ida
- 갤스
- 갤럭시s 음악끊김
- Weather & Toggle Widgets
- Protector
- MBR 부트 바이러스
- 사이버테러
- 하우리
- OllyFlow
- linux LANG
- linux 한글 깨짐
- Wingraph32
- Trup
- AVAR 2010
- facebook 쪽지 악성코드
- 갤스 음악끊김
- 7.7 ddos
- mbr
- 난독화
- 시스템파괴
- 64비트 변수 출력
- worm.win32.net-koobface
Archives
- Today
- Total
목록백화점 바이러스 (1)
Mylabs
Cdrom.sys 변조 악성코드 (백화점식 악성코드)
Win32.Protector.A~E에 이어, 이번 백화점식 악성코드가 Cdrom.sys 를 변조하기 시작했다. 역시, Cutwail 시리즈이며, 품고 있는 악성 Spam driver 를 사용해 이메일 전송을 목적으로 한다. Bredolab 과 Cutwail은 서로 PR 해주는 아주 좋은 친구 사이이다. 'ㅁ' 발견된 변종은 2종이며, Win32.Protector.F/G 가 진단명 이번 변종은 지난 ndis.sys 와 같이 정상을 품고 있는 방식은 같으나, 암호화 로직이 조금더 복잡하게 변경되었으며, 기본 코드 골격도 변경되어있었다. 아직 진단되는 수준은 미흡한 것으로 보아, 출현 된지 얼마 안된 형태 인듯 싶다. 섹션정보 역시 기존의 형태들처럼 구성되어 있으며, 정상 파일은 .reloc 안에 암호화 되어..
Malware
2010. 3. 12. 17:43