<유포경로><2007.11.29>
참고링크 : http://fantasy-actuality.tistory.com/184
원닥터 <Win-Doctor> 에 의해 생성되는
jdnder.exe 는 특정 애드웨어를 설치하는 것과 더불어 특정파일을 시스템 폴더에 다운로드하고 윈도우 서비스 프로세스에 등록한다.
접속을 시도하는 페이지 ...
hxxp://xxx.hot24.xx.kr/xxxx/jm_dnlist.php'
hxxp://xxx.doctorxxx.com/xxxxx/bootcnt.php'
hxxp://xxx.doctorxxx.com/xxxxx/downcnt.php?pgm='
hxxp://xxx.hot24.xx.kr/xxxx/jm_downcnt.php?pgm='
다운로드 하는 파일 일부
hxxp://xxx.hot24.xx.kr/xxx/servcproc.exe
hxxp://xxx.hot24.xx.kr/xxx/runproc.exe
hxxp://xxx.hot24.xx.kr/xxx/instsrv.exe
hxxp://xxx.hot24.xx.kr/xxx/srvany.exe
< 부팅전 >
시작프로그램에 등록되는 목록
[windows jdn] C:\Program Files\common files\wjdcom\jdnder.exe
최초 다운로더에 의해 설치되었을 때 삽입되는 레지스터리 일부 값
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\jdnder
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\servcproc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servcproc
최초 다운로더에 의해 설치되었을 때 일부 파일 정보
< 재부팅후 변경사항 >
jdnder.exe 은 재부팅후 자신은 삭제하고 다운로드한 파일들을 시스템 서비스 프로세스에
등록한다.
시작프로그램에 아래 파일을 등록
[windows jdn] C:\Program Files\common files\wjdcom\jdnder.exe
[ksvsrv] C:\Program Files\Common Files\ksv\ksvsrv.exe
메모리에 아래 파일을 상주 시킨다.
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\servcproc.exe
레지스터리 삽입 값 일부
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\wdqdd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ksvsrv
HKEY_LOCAL_MACHINE\SOFTWARE\servcproc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\servcproc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servcproc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_SERVCPROC
일부 파일 정보
<진단 내역>
File : jdnder.exe received on 12.03.2007
MD5: 134a7dab57648696500e4d182f2f6ed5
http://www.virustotal.com/resultado.html?624bce974d0ddb3af530eecdc3cc295f
안철수 연구소 빛자루 안티바이러스 진단 상황 (V3)
2007년 12월 3일 월요일 오후 9:58:25 Win-Trojan/Downloader.210944.B jdnder.exe
File : srvany.exe received on 12.03.2007
MD5: 4635935fc972c582632bf45c26bfcb0e
http://www.virustotal.com/resultado.html?19948fc6d226f1890d40e45b8cfe832a
File : servcproc.exe received on 12.03.2007
MD5: 4676b690afac3e7804e69dee54e28fa4
http://www.virustotal.com/resultado.html?d22229a096ffa420bd2eb85f402c469c
안철수 연구소 빛자루 안티스파이웨어 진단 상황 (SZ)
2007년 12월 3일 월요일 오후 10:09:58 Win-Downloader/Hot24.264192 servcproc.exe
File : instsrv.exe received on 12.03.2007
MD5: 9f7acaad365af0d1a3cd9261e3208b9b
http://www.virustotal.com/resultado.html?97a3c2bb3b174c61396aae02820247fe
File : wdqdd.exe received on 12.03.2007
MD5: e4cccb1329a4059020e0435229aed5be
http://www.virustotal.com/resultado.html?06e6b122396606f29ff960fc4848aa67
File : ksvsrv.exe received on 12.03.2007
MD5: 78f269ed5e8121367161c3fdfec8a27b
http://www.virustotal.com/resultado.html?010f1e0b424232323cc89ee2c2677222
안철수 연구소 빛자루 안티스파이웨어 진단 상황 (SZ)
--> 파일을 진단한 것이 아닌 .. 레지스터리 삽입값을 진단
2007년 12월 3일 월요일 오후 10:07:15 Win-Downloader/Hot24.333312 HKLM\SOFTWARE\Microsoft\Internet Explorer\ksvsrv "MsgDate"="2007-12-03"
2007년 12월 3일 월요일 오후 10:07:14 Win-Downloader/Hot24.333312 HKLM\Software\Microsoft\Windows\CurrentVersion\Run "ksvsrv"="C:\Program Files\Common Files\ksv\ksvsrv.exe"
참고링크 : http://fantasy-actuality.tistory.com/184
원닥터 <Win-Doctor> 에 의해 생성되는
jdnder.exe 는 특정 애드웨어를 설치하는 것과 더불어 특정파일을 시스템 폴더에 다운로드하고 윈도우 서비스 프로세스에 등록한다.
접속을 시도하는 페이지 ...
hxxp://xxx.hot24.xx.kr/xxxx/jm_dnlist.php'
hxxp://xxx.doctorxxx.com/xxxxx/bootcnt.php'
hxxp://xxx.doctorxxx.com/xxxxx/downcnt.php?pgm='
hxxp://xxx.hot24.xx.kr/xxxx/jm_downcnt.php?pgm='
다운로드 하는 파일 일부
hxxp://xxx.hot24.xx.kr/xxx/servcproc.exe
hxxp://xxx.hot24.xx.kr/xxx/runproc.exe
hxxp://xxx.hot24.xx.kr/xxx/instsrv.exe
hxxp://xxx.hot24.xx.kr/xxx/srvany.exe
< 부팅전 >
시작프로그램에 등록되는 목록
[windows jdn] C:\Program Files\common files\wjdcom\jdnder.exe
최초 다운로더에 의해 설치되었을 때 삽입되는 레지스터리 일부 값
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\jdnder
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\servcproc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servcproc
최초 다운로더에 의해 설치되었을 때 일부 파일 정보
| c:\Program Files\Common Files\wjdcom | |||
| jdnder.exe | 2007-11-30 00:25.29 | 210,944 | |
| c:\WINDOWS\system32 | |||
| instsrv.exe | 2007-11-30 00:25.47 | 32,256 | |
| servcproc.exe | 2007-11-30 00:25.47 | 264,192 | |
| srvany.exe | 2007-11-30 00:25.47 | 8,192 | |
< 재부팅후 변경사항 >
jdnder.exe 은 재부팅후 자신은 삭제하고 다운로드한 파일들을 시스템 서비스 프로세스에
등록한다.
시작프로그램에 아래 파일을 등록
[windows jdn] C:\Program Files\common files\wjdcom\jdnder.exe
[ksvsrv] C:\Program Files\Common Files\ksv\ksvsrv.exe
메모리에 아래 파일을 상주 시킨다.
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\servcproc.exe
레지스터리 삽입 값 일부
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\wdqdd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ksvsrv
HKEY_LOCAL_MACHINE\SOFTWARE\servcproc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\servcproc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servcproc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_SERVCPROC
일부 파일 정보
| c:\ | |||
| $$$$$111.bat | 2007-12-03 18:55.59 | 144 | |
| wdqdd.exe | 2007-12-03 18:55.39 | 212,480 | |
| c:\Program Files\Common Files\ksv | |||
| ksvsrv.exe | 2007-12-03 18:56.03 | 333,312 | |
| c:\WINDOWS | |||
| instsrv.exe | 2007-11-30 00:25.47 | 32,256 | |
| srvany.exe | 2007-11-30 00:25.47 | 8,192 | |
| servcproc.exe | 2007-12-03 18:55.58 | 264,192 | |
<진단 내역>
File : jdnder.exe received on 12.03.2007
MD5: 134a7dab57648696500e4d182f2f6ed5
http://www.virustotal.com/resultado.html?624bce974d0ddb3af530eecdc3cc295f
안철수 연구소 빛자루 안티바이러스 진단 상황 (V3)
2007년 12월 3일 월요일 오후 9:58:25 Win-Trojan/Downloader.210944.B jdnder.exe
File : srvany.exe received on 12.03.2007
MD5: 4635935fc972c582632bf45c26bfcb0e
http://www.virustotal.com/resultado.html?19948fc6d226f1890d40e45b8cfe832a
File : servcproc.exe received on 12.03.2007
MD5: 4676b690afac3e7804e69dee54e28fa4
http://www.virustotal.com/resultado.html?d22229a096ffa420bd2eb85f402c469c
안철수 연구소 빛자루 안티스파이웨어 진단 상황 (SZ)
2007년 12월 3일 월요일 오후 10:09:58 Win-Downloader/Hot24.264192 servcproc.exe
File : instsrv.exe received on 12.03.2007
MD5: 9f7acaad365af0d1a3cd9261e3208b9b
http://www.virustotal.com/resultado.html?97a3c2bb3b174c61396aae02820247fe
File : wdqdd.exe received on 12.03.2007
MD5: e4cccb1329a4059020e0435229aed5be
http://www.virustotal.com/resultado.html?06e6b122396606f29ff960fc4848aa67
File : ksvsrv.exe received on 12.03.2007
MD5: 78f269ed5e8121367161c3fdfec8a27b
http://www.virustotal.com/resultado.html?010f1e0b424232323cc89ee2c2677222
안철수 연구소 빛자루 안티스파이웨어 진단 상황 (SZ)
--> 파일을 진단한 것이 아닌 .. 레지스터리 삽입값을 진단
2007년 12월 3일 월요일 오후 10:07:15 Win-Downloader/Hot24.333312 HKLM\SOFTWARE\Microsoft\Internet Explorer\ksvsrv "MsgDate"="2007-12-03"
2007년 12월 3일 월요일 오후 10:07:14 Win-Downloader/Hot24.333312 HKLM\Software\Microsoft\Windows\CurrentVersion\Run "ksvsrv"="C:\Program Files\Common Files\ksv\ksvsrv.exe"
'Analysis > 유포 프로그램' 카테고리의 다른 글
| Adware/Rogue - pcsave < 별칭 : pcsave 삭제 / 피씨세이브 > (0) | 2007.12.10 |
|---|---|
| Adware/Rogue - ViKill < 별칭 : 바이러스킬 / 동의없이 설치되며, Virut 감염까지 > (4) | 2007.12.06 |
| Adware - savemoneyshop <별칭 :세이브머니샵> (5) | 2007.12.02 |
| Adware - Internet Explorer storia Guide <다른이름 : Internet Explorer Guide> (1) | 2007.11.30 |
| Adware/Rogue - 원닥터 < 별칭 : 윈닥터 / windoctor > <2종이상의 애드웨어를 설치함> (1) | 2007.11.30 |
