본문 바로가기

ws2help2

wshtcpip.dll 파일을 변경하는 온라인게임핵 발견 온라인게임 사용자의 아이템과 사이버머니 탈취를 목적으로 하는 온라인게임핵이 교체하는 파일이 변경되었다. 지금까지 해당 악성코드가 변경시킨 윈도우 주요 구성파일은 imm32.dll, comres.dll, lpk.dll, ws2help.dll, version.dll 등이었으며, 작년 하반기부터 ws2help.dll를 악성코드로 교체하는 유형이 가장 많이 발견되었다. 지금도 ws2help.dll을 대상으로 하는 악성코드도 많이 발견되고 있다. 이러한 종류의 악성코드들은, 출현한지 오래되면 보안업체에서 대응하는 능력이 향상됨에 따라 감염 PC의 수가 줄어들게 된다. 이에 따라 악성코드 제작자들은 새로운 감염 대상을 물색하게 되는데, 이번에 발견된 wshtcpip.dll 파일을 교체하는 경우가 이러한 유형에 해당.. 2012. 2. 6.
시스템 파일을 변조하는 온라인 게임핵 악성코드 변경 1. 서론 최근 윈도우 시스템 파일을 악성으로 변조하는 온라인 게임핵 악성코드가 다수 발견되고 있다. 이러한 악성코드는 대부분 웹사이트를 통해 유포되는데 계속해서 새로운 변종을 만들고 있어 많은 사용자가 감염이 되어 정보공유 차원에서 작성을 한다. 2. 악성코그 감염 경로 해당 악성코드는 웹사이트를 통해 유포되며 유포방법은 총 3가지 취약점을 이용한다. 1) Adobe Flash Player, CVE-2011-0611 위 취약점은 SWF 파일을 이용한 취약점으로 주소 banner숫자.swf, nb.swf 등의 파일명으로 유포가 이루어 진다. 분석을 해보면 아래와 같이 SWF 파일 내부에 쉘코드가 포함된 것을 확인할 수 있다. [그림 1] SWF 파일 분석 화면 해당 쉘코드를 분석하면 아래와 같이 jpg을.. 2011. 6. 19.