본문 바로가기

security/악성코드 유포

m914.txt 악성코드 내에 일부분!

Agent.aye         V3LTray.exe         nsavsvc.npc         ws2_32.dll  WSCEnumProtocols    % w s   o v e r   % w s     W i n S o c k e t A . d l l     WSCWriteProviderOrder   WSCInstallProvider  WSCGetProviderPath  ole32.dll   CoCreateGuid    SHLWAPI.dll StrStrIW    WSCDeinstallProvider    SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\   LoadAppInit_DLLs    W i n S o c k e t A     %s.%s.tmp   \WindowsEx.dll  \WinSocketA.dll \lpk.dll    shlwapi.dll PathFileExistsA PromptOnSecureDesktop   EnableLUA   ConsentPromptBehaviorAdmin  SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System   RegCloseKey RegSetValueExA  RegOpenKeyA ADVAPI32.dll    %s\%s   \ws2helpxp.dll  \ws2help.dll    GetMessageA GetInputState   PostThreadMessageA  user32.dll


PASSWORD    World   USERNAME    \AionLog.ini    PM_shareReadWrite   var mystr =     b98tyu43213456789fucp569876 asd2g93kliportyt5uoanrbyvuc versionno=  firefoxpi=  strEncData= LoginID=    szPasswd    c   teencash.co.kr  userID= dk.halgame.com  &pwd=   game_id=13& aion.plaync.co.kr   pw  mabinogi.nexon.com  %*[^=]=%[^&]&%*[^=]=%[0-9a-zA-Z]    &password   accountName kr.battle.net   left    strLeftPw=  strLeftID=  right   no  &id=    dflogin=    info4=8 &sbanner=   nexon.com   %*[^=]=%[^&]&[0-9]  g_txtAuthNum=   gnxMapleOTPLoginAuthContainer   &strPassword=   &strEmail=  &keyname=   nxtURL= hangame.com %*[^=]=%[^&]&%*[^=]=%[^&]&  l_pwd=  l_id=   netmarble.net   l_domain=www.netmarble.net  %*[^=]=%[^&]&   usrid=  passwd= page_gameid=raycity page_gameid=fifaonline  page_gameid=www page_domain=pmang.com   pmang.com   this.AosGetText4 = function (elementObj){var e1=aos_get_text4(elementObj,1);var e2="";if(elementObj.value.length > 12){e2 = aos_get_text4(elementObj,2);}e2=aos_get_text2(elementObj);return [e1,e2];}/*------------------------------------------------------*/    this.AosGetText4 = function (elementObj)    function aos_get_text4(obj,order){var a="";try{a=MKD25.GetText4(obj,order);document.getElementById("sbanner").value=MKD25.GetText2(obj);return a;}catch(e){}return a;}/*------------*/  function aos_get_text4( obj, order )    NgbClientForm.AddChildForSubform( 'strLeftID', %s );

NgbClientForm.AddChildForSubform( 'strLeftPw', %s );


airyclient.exe LUOHAN  \LUOHANLog.ini  GetWindowTextA                                                                                                                                                                                                                                             ff2client.exe   FIFA    \FFLog.ini  InterlockedIncrement    kernel32.dll    iexplore.exe                                        dnf.exe                                             MapleStory.exe                                      lin.bin                                             ff2client.exe                                       heroes.exe                                          ExLauncher.exe                                      TERA.exe                                            OTP.exe                                             AION.bin                                            wow.exe                                             explorer.exe                                        raycity.exe         dkonline.exe        x2.exe              InphaseNXD.exe                                      AYAgent.aye                                         AYUpdSrv.aye                                        AYServiceNT.aye                                     AYRTSrv.aye                                         ALYac.aye                                           SystemMon.exe                                       SkyMon.exe                                          nsvmon.npc                                          nvc.npc                                             nvcagent.npc                                        Nsavsvc.npc                                         NaverAgent.exe                                      V3LTray.exe                                         V3LSvc.exe                                          V3Light.exe                                         SgSvc.exe                                           InjectWinSockServiceV3.exe                          aosrts.exe                                          aosbackv.exe                                        procscan                                            fairyclient.exe                                     aostray.exe                                         Diablo III.exe                                      

ws2helpxp.dll  WahCloseApcHelper   WahCloseHandleHelper    WahCloseNotificationHandleHelper    WahCloseSocketHandle    WahCloseThread  WahCompleteRequest  WahCreateHandleContextTable WahCreateNotificationHandle WahCreateSocketHandle   WahDestroyHandleContextTable    WahDisableNonIFSHandleSupport   WahEnableNonIFSHandleSupport    WahEnumerateHandleContexts  WahInsertHandleContext  WahNotifyAllProcesses   WahOpenApcHelper    WahOpenCurrentThread    WahOpenHandleHelper WahOpenNotificationHandleHelper WahQueueUserApc WahReferenceContextByHandle WahRemoveHandleContext  WahWaitForNotification  cationHandleHelper  c : \ W i n d o w s \ c o m     WSPStartup  ws2help.dll alyac   sgrun.exe   


전형적인 게임 탈취 목적으로 보이는 악성코드 같이 보인다! 

특히 ws2helpxp.dll로 바꿔치기하는 전형적인 방법이 아직도 쓰이는걸 보니...

아직도 꽤 많은 이용자가 이 방법을 통해 유출이 되는거 같다! 게임탈취뿐 아니라 OTP에 백신까지도

정말 생각을 많이 하는거 같다!


이제는 사후가아닌 사전에 막는것이 되어서 사용자가 이런일이 없도록 방지하는 방법이 정착이 되었으면 한다!


PS. 올만에 실행시켰더니 ㅠㅠㅠㅠㅠ 버벅버벅 힘들다 ㅠㅠㅠㅠ