해당 스크립트에서 받는 ma.exe를 실행 시켜 보았습니다. 처음에는 그냥 뭐 그럴려니 하고 실행시켰습니다. 실행 아이콘도 모업체의 게임인 던젼 앤 파이터 모양이어서 그럴사하게 만들었더라고요.. 어쨌든 실행결과는 많은 파일들을 떨어뜨리고 그 때문에 많은 프로세서의 실행이 있었습니다.
처음 ma.exe를 실행했을때는 old.dll , game_loginfo.log 가 C:\WINDOWS\system32 에 생성되고 그 다음에는 성인 사이트로 연결시켜주는 IeProtect360a.exe (27.9KB) 가 시작 프로그램에 생성됩니다. 추가적으로 C:\Program Files 에 ma1.exe , yk.exe , br.exe 가 각각 생성됩니다. 그 파일 중에는 다운로더 하는 역활이 있어서 Ahnlab : Drooper/Flystud.1490549 를 가져오게 됩니다. 그 파일이 실행된 결과 저의 D드라이브 exe 가 모두 감염되는것을 보였으며 추가적으로는 한글 2007 파일과 파이썬 파일에 exe 파일이 감염된것을 보았습니다. 또한 미쳐 수집하지 못한 프로세서에 1.exe , 2.exe , 3.exe 까지 생성됨을 확인하였습니다. 오랜만에 그냥 까보니 아무 가상 머신도 없이 열어봤더니 포맷까지는 아니어도.. 많이 당황 하였습니다. 역시 시스템은 가상에서 하는게 제일 좋은거 같습니다 .
[MD5 값]
* 스크립트는 많으므로 생략합니다 !
ma.exe : MD5 : a2560b96d0b56b932699015343238854
ma1.exe : MD5 : 92367dcdbd72f7fc387e9797db2336d6
ole.dll : MD5 : 898f95a123f9a96b0cc80d481b39d1c9
game_loginfo.log : MD5 : 898f95a123f9a96b0cc80d481b39d1c9
br.exe : MD5 : 442351c79b56c7d669172343ee9e34bc
IeProtect360a.exe : MD5 : 0f0050528d332034869bd5eed46fda5d
yk.exe : MD5 : a6c8020f3895784b63c8e5d2e8a4c49b
'security > 악성코드 유포' 카테고리의 다른 글
| Increase 를 이용한 악성 스크립트는 제작자의 실수 !! (2) | 2010.10.18 |
|---|---|
| Increase 를 이용한 악성 스크립트 ! (2) | 2010.10.17 |
| [악성코드 유포] 3차 유포 취업사이트 또 다시 악성코드 삽입 !! (3) | 2010.10.04 |
| 악성코드 유포 !! 그들의 유포는 언제까지 계속 되는건가 ?? (2) | 2010.10.01 |
| [악성코드 유포] 알라딘 너희만 유포하냐?? 취업 , 포털 사이트인 우리도 질 수 없다. (1) | 2010.10.01 |
