1 요즘 PSW류의 바이러스들이 증가하고 있는 실정이다.
대체로 PSW는 자체적인 전파기능은 없지만 해킹 당한 사이트에서 다운로드 되거나 다른 악성코드를 설치하여
추가 피해를 야기시킨다.
1. 감염 경로
Trojan.Win32.PSW* 는 자체적인 전파기능은 없으며, 해킹 당한 사이트에서 다운로드 되거나 다른 악성코드(스파이웨어, 애드웨어, 드로퍼 등)에 의해 설치되는 것으로 추정된다.
2. 분석 정보
3. 생성된 Trojan.Win32.PSWMagania.85504.AQ 은 BHO로 등록되고 익스플러로 실행 시 작동한다.
@="IEHlprObj Class"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7F23592B-8F2C-4C08-83A8-BBE01BF9CC64}\InprocServer32]
@="C:\\WINDOWS\\system32\\ieban0.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7F23592B-8F2C-4C08-83A8-BBE01BF9CC64}\ProgID]
@="IEHlprObj.IEHlprObj.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7F23592B-8F2C-4C08-83A8-BBE01BF9CC64}\Programmable]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7F23592B-8F2C-4C08-83A8-BBE01BF9CC64}\VersionIndependentProgID]
@="IEHlprObj.IEHlprObj"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj\CurVer]
@="IEHlprObj.IEHlprObj.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1\CLSID]
@="{7F23592B-8F2C-4C08-83A8-BBE01BF9CC64}"
5. Trojan.Win32.PSWMagania.85504.AQ 는 사용자 계정을 가로채는 목적으로 제작되었으며, 목표로 하는 사이트 계정은 다음과 같다.
www.nate.com
www.gptem.com
knight.mgame.com
karos.paran.com
www.on3.co.kr
fifaonline.pmang.com
tz.kr.gameclub.com
netmarble.net
www.pmang.com
dho.netmarble.net
aion.plaync.co.kr
wffm.mgame.com
www.champagnemania.co.kr
12sky2.paran.com
yulgang.mgame.com
sp1.nexon.com
maplestory.nexon.com
hangame.com
df.nexon.com
'IT & Security' 카테고리의 다른 글
해킹 시 휴지통 복구하기 (0) | 2010.10.13 |
---|---|
Hack This Site Basic 11 문제 풀이 (0) | 2010.03.29 |
옥션, 개인정보 유출 확인, 가입사이트, 명의도용 이렇게 대처하자?? (2) | 2010.03.26 |
중국 해킹 사이트 (0) | 2009.07.18 |