올 초에 확인 된 악성코드인데 기록용으로 남기기 위해서 걍~ 포스트 한다.
해당 악성코드는 이미 예전에 Crypt2.dll 로 많이 알려져 있으며, 이름과 저장위치만 다르고 동작방식은 동일하다.
- 파일명은 TeUpdate.dll이며 레지스트리에 Ginadll로 등록되어 로컬로그인 및 터미널 원격접속 시
faxmode.inc 파일을 생성하여 사용자 계정정보를 탈취하는 키로그 형태의 공격으로 확인 되었음.
| <파일위치> c:\Windows\system32 |
- 해당 악성파일이 Winlogon.exe 프로세스에 Inject 되어 있음
- Winlogon 레지스트리에 Ginadll로 등록이 되어 있음
| <키로거 저장 위치> C:\WINDOWS\system32\spool\drivers\color\faxmode.inc |
- faxmode.inc 내용
| <제거 방법> 1. 레지스트리 ginadll 검색하여 해당 내용 삭제 2. 안전모드로 재부팅 후 C:\Windows\system32\teupdate.dll 파일 삭제 3. faxmode.inc 파일은 맘대로 하시면 됨 |
'할롬::컴터 > 악성코드분석' 카테고리의 다른 글
| [악성코드분석] 변조된 사이트 접속시 악성코드 감염주의 (0) | 2011.08.04 |
|---|---|
| [악성코드분석] 정상적인 lpk.dll 시스템 파일 변조하는 악성코드 (0) | 2011.06.29 |
| [악성코드분석] 광고성 악성코드 분석 (0) | 2011.06.21 |
| [악성코드분석] ws2help.dll 악성파일 분석 (10) | 2011.06.21 |
| [악성코드분석] Winweng.exe 악성코드 분석 (0) | 2011.05.26 |