위장 화면


%system%\dllcache\winvps.exe 에 복사하고 파일 길이와 MD5 는 다음과 같다.

MD5 : 11beb92b2a269535a8ca20095d4af6d0
길이 : 126,464
AMP 샘플코드 : EC07012800005-000004_winvps.exex
 
내부에 별다른 봇이름은 없지만 기존과는 다소 다르다.

파일은 상용 패커로 압축되어 있다.. (http://www.ntkrnl.com/products/securesuite/default.php)

패커 덕분에 쉽게 알 수 있지만 보안 프로그램으로 오해 할 수 있다.

그리고, 아래 특징을 가지고 있다.

- IE 취약점 스크립트를 설치 (IE-0DAY 라고 표시되어있는데 VML 취약점으로 보임)
- SQL 비밀번호로 전파
- 메신저 (Yahoo, ICQ, AIM, MSN)을 스팸 발송
- 1.VBS 를 생성해 안티 바이러스 종료 (Norton AntiVirus, Panda Antivirus)


 
Posted by mstoned7
TAG , , ,

댓글을 달아 주세요