국내 악성코드 정보2015. 8. 22. 13:51

외국 서버에 아래와 같이 다수의 폴더 내에 과거 국내 인터넷뱅킹 공격을 위해 사용된 다음 팟플레이어 파일과 악성 PotPlayer.dll, 그리고 암호화된 wc.dat가 존재한다.




하지만 이 서버에서 발견된 악성코드는 Dll Planting을 통해 금융이 아닌 RAT 활동을 한다. 기법은 이미 잘 알려진거라 딱히 설명할 일은 없을 듯하고 특이하게 폴더 별로 PotPlayer.dll이 사용하는 디지털 서명이 달라서 언급을 하고 넘어간다. 다수의 디지털 서명으로 언급했는데 3개다...;;




폴더 1100, 5566, 6677 :: Luca Marcone(인증서 해지)



폴더 1111,  2222, 3333, 3366, 6666, 6789, 7766, 9876, 9999 :: Jiangsu innovation safety assessment co., Ltd.





폴더 1258 :: Baoji zhihengtaiye co.,ltd








Posted by Ec0nomist

댓글을 달아 주세요