728x90
반응형
%system%\dllcache\winvps.exe 에 복사하고 파일 길이와 MD5 는 다음과 같다.
MD5 : 11beb92b2a269535a8ca20095d4af6d0
길이 : 126,464
AMP 샘플코드 : EC07012800005-000004_winvps.exex
내부에 별다른 봇이름은 없지만 기존과는 다소 다르다.
파일은 상용 패커로 압축되어 있다.. (http://www.ntkrnl.com/products/securesuite/default.php)
패커 덕분에 쉽게 알 수 있지만 보안 프로그램으로 오해 할 수 있다.
그리고, 아래 특징을 가지고 있다.
- IE 취약점 스크립트를 설치 (IE-0DAY 라고 표시되어있는데 VML 취약점으로 보임)
- SQL 비밀번호로 전파
- 메신저 (Yahoo, ICQ, AIM, MSN)을 스팸 발송
- 1.VBS 를 생성해 안티 바이러스 종료 (Norton AntiVirus, Panda Antivirus)
728x90
반응형
'악성코드 > 악성코드 소식' 카테고리의 다른 글
| Bot 채널 차단에 불만을 품은 악성코드 제작자 (0) | 2007.02.22 |
|---|---|
| Win32/Dellboy (Whboy, Fujacks) 제작자 검거 (0) | 2007.02.13 |
| 웹사이트 1천개 중국발 해킹에 당해 관련 (0) | 2007.02.08 |
| 세계 인터넷 통신망, 1월 6일 해킹 집중 발생 관련 (0) | 2007.02.07 |
| Win32/Dellboy 바이러스 황금 돼지 아이콘 (0) | 2007.01.26 |