악성코드/악성코드 소식

보안 파일 바꿔치기

쿨캣7 2007. 3. 3. 21:30
728x90
반응형
몇몇 온라인 게임 계정 탈취 프로그램은 키로거를 막기 위한 보안 프로그램을 무력화하기 위해
메모리 패치를 하지 않고 파일을 바꿔치기해서 변경하는 것으로 보인다.

프로그램의 메모리 내용 변경 방지 기능 때문이 아닐까 싶다.

최근에 분석하는 샘플 중 마이키디펜스 방해를 방해하는 파일과 동일한 샘플이 발견되었다.

%windir%\Downloaded Program Files\AKLMGame.ocx (13,824 바이트)


V3 에서는 Win-Trojan/Diskey.13824 로 진단된다.
Diskey는 Disable MyKeyDefense 에서 따왔다고 한다.

이 샘플은 안랩의 키로깅 방지 프로그램인 마이키디펜스가 설치안되는 문제에서 발견되었다.


728x90
반응형