국내 악성코드 정보2015. 10. 23. 16:06

최근 파밍 조직들이 특정 애드웨어 업데이트 서버를 공격하면서 일부 애드웨어를 공략하기 시작했는데 오늘 바이러스 제로 2 매니저 아재하고 벌새님께서 떡밥을 주시길래 걍 적음.


아무튼 고클린 설치하고 난 뒤, 실행하면 혹은 설치된 상태에서 파일을 실행하면 해당 업데이트 서버의 설정 파일로 연결되어 무결성 검사 없이 '고클린 업그레이드'라는 형태로 '새버전(1.4.5)이 나왔습니다. 업그레이드를 시작합니다.'라는 창을 통해 악성코드 다운로드 및 실행이 이루어진다.





파밍 해커의 조작에 의해 변조된 UpgradeRedirectURL 값을 참조하여 악성코드 다운로드. 업데이트 파일이 내려갔다가 다시 공격받아서 새로 등록 -> 다시 초기화

 

기존의 1.4.5 업그레이드 파일은 ReadMe.txt(PE파일)로 바꾸어놓은 듯하다. //  수정된 듯하다.


https://www.virustotal.com/ko/file/86b86c5bcbf009531f7987012f8c5e0e92bbc2b1441afe9ed9dac754eb5086ee/analysis/




* 고클린 공지 참조 : http://bbs.gobest.co.kr/gb4/bbs/board.php?bo_table=goclean4&wr_id=2777&page=0




관련 파일 MD5 : 87301FBE7E2233F81EFD54E595442413, 93CFB753F1617E6446A2B58D032BF3EF





23.231.144.50    www.shinhan.com

23.231.144.50    search.daum.net

23.231.144.50    search.naver.com

23.231.144.50    www.kbstar.com.ki

23.231.144.50    www.knbank.co.kr.ki

23.231.144.50    openbank.cu.co.kr.ki

23.231.144.50    www.busanbank.co.kr.ki

23.231.144.50    www.nonghyup.com.ki

23.231.144.50    www.shinhan.com.ki

23.231.144.50    www.wooribank.com.ki

23.231.144.50    www.hanabank.com.ki

23.231.144.50    www.epostbank.go.kr.ki

23.231.144.50    www.ibk.co.kr.ki

23.231.144.50    www.idk.co.ki

23.231.144.50    www.keb.co.kr.ki

23.231.144.50    www.kfcc.co.kr.ki

23.231.144.50    www.lottirich.co.ki

23.231.144.50    www.nlotto.co.ki

23.231.144.50    www.gmarket.net

23.231.144.50    nate.com

23.231.144.50    www.nate.com

23.231.144.50    daum.com

23.231.144.50    www.daum.net

23.231.144.50    daum.net

23.231.144.50    www.zum.com

23.231.144.50    zum.com

23.231.144.50    naver.com

23.231.144.50    www.nonghyup.com

23.231.144.50    www.naver.com

23.231.144.50    

23.231.144.50    www.nate.net

23.231.144.50    hanmail.net

23.231.144.50    www.hanmail.net

23.231.144.50    www.hanacbs.com

23.231.144.50    kfcc.co.ki

23.231.144.50    www.kfcc.co.ki

23.231.144.50    www.daum.net

23.231.144.50    daum.net

23.231.144.50    www.kbstir.com

23.231.144.50    www.nonghuyp.com

23.231.144.50    www.wooribank.com

23.231.144.50    www.ibek.co.ki

23.231.144.50    www.epostbenk.go.ki

23.231.144.50    www.hanabenk.com

23.231.144.50    www.keb.co.ki

23.231.144.50    www.citibank.co.ki

23.231.144.50    www.citibank.co.kr.ki

23.231.144.50    www.standardchartered.co.kr.ki

23.231.144.50    www.standardchartered.co.ki

23.231.144.50    www.suhyup-bank.com.ki

23.231.144.50    www.suhyup-bank.com

23.231.144.50    www.kjbank.com.ki

23.231.144.50    www.kjbank.com

23.231.144.50    openbank.cu.co.kr.ki

23.231.144.50    openbank.cu.co.ki

23.231.144.50    www.knbank.co.ki

23.231.144.50    www.knbank.co.kr.ki

23.231.144.50    www.busanbank.co.kr.ki

23.231.144.50    www.busanbank.co.ki

23.231.144.50    www.suhyup-bank.com

23.231.144.50    www.suhyup-bank.com.ki

23.231.144.50    www.standardchartered.co.kr.ki

23.231.144.50    www.nonghuyp.com.ki


Posted by Ec0nomist

댓글을 달아 주세요

  1. opto0142

    관리자의 승인을 기다리고 있는 댓글입니다

    2015.10.23 18:19 [ ADDR : EDIT/ DEL : REPLY ]