'멀웨어'에 해당되는 글 9건

  1. 2011.06.09 Another Android Malware Utilizing a Root Exploit
  2. 2010.06.06 [멀웨어] Ahnsoft ? - ahnsbsb.exe, ahnfgss0.dll, ahnfgss1.dll, ahnxsds0.dll, ahnxsds1.dll
  3. 2009.02.23 특정 악성코드만 찾아서 제거해주는 Norman Malware Cleaner
2011. 6. 9. 19:38

Another Android Malware Utilizing a Root Exploit

Another Android malware utilizing the root exploit "Rage Against The Cage" has been found. We were able to find a sample ourselves and we now detect it as Trojan:Android/DroidKungFu.A

This new malware was embedded on a trojanized application that may require a root access in order to conceal itself. The infection occurs in two parts:

Infection: Part 1

The first part is the installation of a trojanized application that would gain root privilege and install the com.google.ssearchapplication. This application points to the Trojan:Android/DroidKungFu.A's service component that will start a servicecom.google.ssearch.Receiver. On the creation of this service, it will call the function getPermission() that will install an embedded APK.


This will call for checkPermission() that will check if com.google.ssearch.apk already exists. If not, it will install the "legacy" file, which is an APK file, to the "system/app" (the application folder).


Infection: Part 2

The second part deals with the main malware component, com.google.ssearch.apk. As we may recall, this component was also present in the trojanized application.

Here is a screenshot showing the com.google.ssearch.apk installed.


The malware appears to have a backdoor functionality. Here are some of its capabilities that we have seen:

  •  execDelete — execute command to delete a supplied file
  •  execHomepage — execute a command to open a supplied homepage
  •  execInstall — download and install a supplied APK
  •  execOpenUrl — open a supplied URL
  •  execStartApp — run or start a supplied application package

Trojan:Android/DroidKungFu.A can also obtain the following information and post it to a remote server: 

  •  imei — IMEI number
  •  ostype — Build version release, e.g., 2.2
  •  osapi — SDK version
  •  mobile — users' mobile number
  •  mobilemodel — Phone model
  •  netoperator — Network Operator
  •  nettype — Type of Net Connectivity
  •  managerid — hard-coded value which is "sp033"
  •  sdmemory — SD card available memory
  •  aliamemory — Phone available memory

Root is set to 1 as to signify with root, and these information are then sent to "http://search.gong[...].php."

The malware obtains the commands from "http://search.gong[...].php" by posting in the "imei," "managerid" and root value. It also reports the status of the commands on "http://search.gong[...].php" by posting in "imei," "taskid," "state" and "comment."

Threat Solutions post by — Zimry

-----

Updated to clarify: Original discovery of the trojan was by a research team at North Carolina State University. We were able to independently find a sample for our own analysis. 


출처 : www.f-secure.com

Trackback 1 Comment 0
2010. 6. 6. 12:02

[멀웨어] Ahnsoft ? - ahnsbsb.exe, ahnfgss0.dll, ahnfgss1.dll, ahnxsds0.dll, ahnxsds1.dll

국내 온라인 게임 사용자들을 대상으로 한 악성코드가 안철수 연구소 모듈처럼 위장하여 사용하고 있는 것이 지속적으로 발견되고 있다.

보통 다음과 같은 파일명을 사용한다.

ahnsbsb.exe
ahnfgss0.dll
ahnfgss1.dll
ahnxsds0.dll
ahnxsds1.dll


이 악성코드는 위장된 가짜 RAR 포맷을 통해서 지속적으로 변종을 감염시키고 있다.

또한 감염되면 레지스트리에 ahnsoft 라는 이름으로 자신을 등록한다.
BHO(Browser Helper Objects)에는 ahnxsds0.dll 파일이 등록되어 작동된다.

해당 파일들은 다음과 같은 온라인 게임 계정 탈취를 시도한다. 엄청나다...

십이지천
미르의 전설
던전 앤 파이터
메이플 스토리
바람의 나라
대항해 시대
마비노기
라그나로크
리니지2
아이온
월드 오브 워 크래프트


출처 : http://viruslab.tistory.com/

Trackback 0 Comment 0
2009. 2. 23. 17:16

특정 악성코드만 찾아서 제거해주는 Norman Malware Cleaner

멀웨어[ malware ]

사용자의 의사와 이익에 반해 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어로, malicious software(악의적인 소프트웨어)의 약자이다. 보통 '악성코드'로 번역된다. 자기 복제와 파일 감염이 특징인 바이러스를 포함하는 더 넓은 개념이라고 할 수 있다. 이른바 비(非)바이러스 악성코드(non-viral malware)라고 불리는 악성코드들 중에는 바이러스 못지않은 파괴력과 위험성을 가진 것들도 많다. 트로이 목마, 키보드 입력 유출 프로그램 등이 비바이러스 악성 코드이다. 또 원격관리 프로그램과 각종 스파이웨어 등을 꼽을 수 있다. 이들은 아직까지는 일반에게 대량 유포되거나 큰 피해를 야기했다는 보고는 없지만 대형사고의 잠재 가능성은 크다.
http://terms.empas.com/dicsearch/view.html?i=1016241

Norman Malware Cleaner 2009.02.06 버젼 입니다. 

제작사/제작자 : http://www.norman.com/Virus/Virus_removal_tools/en 

제작사 다운로드 : Norman_Malware_Cleaner.exe

운영체제 : 윈도우 98/2000/XP/2003

라이센스 정보 : 프리웨어



[ Norman Malware Cleaner 특징 ]

* 감염된 프로세스 강제 종료 

* 감염된 파일 제거

* 루트킷 검색 및 제거

* 올바른 레지스트리 값 복원 기능

* 호스트 파일에서 악성프로그램에 의해 생성된 레퍼런스 제거 기능

* 악성프로그램에 의해 생성된 방화벽 규칙 제거 기능 

* Norman Malware Cleaner는 시스템에 설치된 악성프로그램과 루트킷을 찾아 제거해주는 역할을 합니다. 또한 악성프로그램에 의해 생성된 불필요한 값을 찾아 제거해주고, 잘못된 레지스트리 값을 복원해 주는 기능을 제공합니다.

* Start Scan 버튼을 눌러 시스템에서 악성프로그램을 찾아 제거할 수 있습니다.

 

[ 옵션(Switches) ]

Switches   to Norman Malware Cleaner
/iagree    Agree to license agreement (popup window suppressed)
/scan      Specify file/folder to scan
/norecurse Do not recurse into subfolders. Only valid when used with /scan
/exclude   Specify file/folder to exclude
/run       Start scanning automatically
/autoboot  Reboot automatically after scan if needed
/quiet     Do not display GUI
/log       Specify log file
/noclean   Skip the cleaning process
/nops      Skip process scanning
/nounpack  Skip archive scanning
/nosysvol  Do not scan for changes to system restore after deleting a file
/?         List switches

 

기본적으로 실시간 감시를 지원하지 않으며 설치된 악성 프로그램과 루트킷을 찾아서 제거할 수가 있는 프로그램입니다.

  • 이 프로그램은 실시간 검사를 지원하지 않습니다.
  • 자동 업데이트 기능이 없습니다. (이 부분은 해당 페이지를 방문해 최신 파일을 내려받으시면 됩니다.)
  • 안전 모드 에서 실행을 해주세요. 안전 모드 진입 방법은 시스템을 재시작 후 F8 버튼을 눌러서 안전 모드을 선택해서 진입하시면 됩니다.
그리고 해당 프로그램의 특징 입니다.
  • 감염된 프로세서를 치료할 수 있습니다.
  • ActiveX 구성 요소 나 브라우저 도우미 개체 감염된 파일을 제거할 수 있습니다.
  • 루트킷 제거 등을 지원합니다.

Trackback 0 Comment 0