외국 서버에 아래와 같이 다수의 폴더 내에 과거 국내 인터넷뱅킹 공격을 위해 사용된 다음 팟플레이어 파일과 악성 PotPlayer.dll, 그리고 암호화된 wc.dat가 존재한다.
하지만 이 서버에서 발견된 악성코드는 Dll Planting을 통해 금융이 아닌 RAT 활동을 한다. 기법은 이미 잘 알려진거라 딱히 설명할 일은 없을 듯하고 특이하게 폴더 별로 PotPlayer.dll이 사용하는 디지털 서명이 달라서 언급을 하고 넘어간다. 다수의 디지털 서명으로 언급했는데 3개다...;;
폴더 1100, 5566, 6677 :: Luca Marcone(인증서 해지)
폴더 1111, 2222, 3333, 3366, 6666, 6789, 7766, 9876, 9999 :: Jiangsu innovation safety assessment co., Ltd.
폴더 1258 :: Baoji zhihengtaiye co.,ltd
'국내 악성코드 정보' 카테고리의 다른 글
| 인제대학교 대학원 네이버 피싱 (0) | 2015.08.22 |
|---|---|
| 중고나라 사기꾼 활동 확인. (0) | 2015.08.22 |
| 다수의 디지털 서명을 탈취한 PotPlayer.dll (0) | 2015.08.22 |
| 차량 관련으로 위장한 도박 사이트 (0) | 2015.08.22 |
| 화장품 관련으로 위장한 도박 사이트 (0) | 2015.08.22 |
| 새로운 금융감독원 파밍 팝업창 주의 (0) | 2015.08.21 |
댓글을 달아 주세요