Agent.aye V3LTray.exe nsavsvc.npc ws2_32.dll WSCEnumProtocols % w s o v e r % w s W i n S o c k e t A . d l l WSCWriteProviderOrder WSCInstallProvider WSCGetProviderPath ole32.dll CoCreateGuid SHLWAPI.dll StrStrIW WSCDeinstallProvider SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ LoadAppInit_DLLs W i n S o c k e t A %s.%s.tmp \WindowsEx.dll \WinSocketA.dll \lpk.dll shlwapi.dll PathFileExistsA PromptOnSecureDesktop EnableLUA ConsentPromptBehaviorAdmin SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System RegCloseKey RegSetValueExA RegOpenKeyA ADVAPI32.dll %s\%s \ws2helpxp.dll \ws2help.dll GetMessageA GetInputState PostThreadMessageA user32.dll
PASSWORD World USERNAME \AionLog.ini PM_shareReadWrite var mystr = b98tyu43213456789fucp569876 asd2g93kliportyt5uoanrbyvuc versionno= firefoxpi= strEncData= LoginID= szPasswd c teencash.co.kr userID= dk.halgame.com &pwd= game_id=13& aion.plaync.co.kr pw mabinogi.nexon.com %*[^=]=%[^&]&%*[^=]=%[0-9a-zA-Z] &password accountName kr.battle.net left strLeftPw= strLeftID= right no &id= dflogin= info4=8 &sbanner= nexon.com %*[^=]=%[^&]&[0-9] g_txtAuthNum= gnxMapleOTPLoginAuthContainer &strPassword= &strEmail= &keyname= nxtURL= hangame.com %*[^=]=%[^&]&%*[^=]=%[^&]& l_pwd= l_id= netmarble.net l_domain=www.netmarble.net %*[^=]=%[^&]& usrid= passwd= page_gameid=raycity page_gameid=fifaonline page_gameid=www page_domain=pmang.com pmang.com this.AosGetText4 = function (elementObj){var e1=aos_get_text4(elementObj,1);var e2="";if(elementObj.value.length > 12){e2 = aos_get_text4(elementObj,2);}e2=aos_get_text2(elementObj);return [e1,e2];}/*------------------------------------------------------*/ this.AosGetText4 = function (elementObj) function aos_get_text4(obj,order){var a="";try{a=MKD25.GetText4(obj,order);document.getElementById("sbanner").value=MKD25.GetText2(obj);return a;}catch(e){}return a;}/*------------*/ function aos_get_text4( obj, order ) NgbClientForm.AddChildForSubform( 'strLeftID', %s );
NgbClientForm.AddChildForSubform( 'strLeftPw', %s );
airyclient.exe LUOHAN \LUOHANLog.ini GetWindowTextA ff2client.exe FIFA \FFLog.ini InterlockedIncrement kernel32.dll iexplore.exe dnf.exe MapleStory.exe lin.bin ff2client.exe heroes.exe ExLauncher.exe TERA.exe OTP.exe AION.bin wow.exe explorer.exe raycity.exe dkonline.exe x2.exe InphaseNXD.exe AYAgent.aye AYUpdSrv.aye AYServiceNT.aye AYRTSrv.aye ALYac.aye SystemMon.exe SkyMon.exe nsvmon.npc nvc.npc nvcagent.npc Nsavsvc.npc NaverAgent.exe V3LTray.exe V3LSvc.exe V3Light.exe SgSvc.exe InjectWinSockServiceV3.exe aosrts.exe aosbackv.exe procscan fairyclient.exe aostray.exe Diablo III.exe
ws2helpxp.dll WahCloseApcHelper WahCloseHandleHelper WahCloseNotificationHandleHelper WahCloseSocketHandle WahCloseThread WahCompleteRequest WahCreateHandleContextTable WahCreateNotificationHandle WahCreateSocketHandle WahDestroyHandleContextTable WahDisableNonIFSHandleSupport WahEnableNonIFSHandleSupport WahEnumerateHandleContexts WahInsertHandleContext WahNotifyAllProcesses WahOpenApcHelper WahOpenCurrentThread WahOpenHandleHelper WahOpenNotificationHandleHelper WahQueueUserApc WahReferenceContextByHandle WahRemoveHandleContext WahWaitForNotification cationHandleHelper c : \ W i n d o w s \ c o m WSPStartup ws2help.dll alyac sgrun.exe
전형적인 게임 탈취 목적으로 보이는 악성코드 같이 보인다!
특히 ws2helpxp.dll로 바꿔치기하는 전형적인 방법이 아직도 쓰이는걸 보니...
아직도 꽤 많은 이용자가 이 방법을 통해 유출이 되는거 같다! 게임탈취뿐 아니라 OTP에 백신까지도
정말 생각을 많이 하는거 같다!
이제는 사후가아닌 사전에 막는것이 되어서 사용자가 이런일이 없도록 방지하는 방법이 정착이 되었으면 한다!
PS. 올만에 실행시켰더니 ㅠㅠㅠㅠㅠ 버벅버벅 힘들다 ㅠㅠㅠㅠ
'security > 악성코드 유포' 카테고리의 다른 글
[Sophos] 9백만 대 이상의 PC 감염 - 제로액세스 봇넷 무방비 (0) | 2012.10.02 |
---|---|
이제는 지친다! inews24.com 악성코드 유포지 총 정리!! (0) | 2012.09.21 |
http://www.inews24.com 악성코드 유포중 ! (0) | 2012.09.01 |
인제대학교 일어일문학과 http://homepage.inje.ac.kr/~japan/xe/index.php?mid=main 악성 코드 유포중 ! (0) | 2012.08.25 |
[JS/Obfuscated.HN] http://insaweb9.cafe24.com/bbs/login.php?id=best 악성 스크립트 유포 정리 ! (0) | 2012.08.11 |