|
http://www.hackerschool.org/HS_Boards/zboard.php?AllArticle=true&no=1909 [º¹»ç]
-----------------------------------------------------------netbus-------------------------------------------------------
///////////////////////////////////////////////////////
patch.exe
///////////////////////////////////////////////////////
°¢Á¾ ¶óÀ̺귯¸®¸¦ ·ÎµåÇÔ
C:\WINDIOWS\patch.ini ÆÄÀÏÀ» »ý¼º
C:\WINDIOWS\patch.exe ÆÄÀÏÀ» »ý¼º(°°ÀºÆÄÀÏ)
C:\WINDOWS\KeyHook.dll ÆÄÀÏÀ» »ý¼º
-> ¿ø·¡ Á¸Àç ÇÏÁö ¾Ê´Â ¶óÀ̺귯¸®·Î ³Ý¹ö½º ¼¹ö ½ÇÇà½Ã¿¡ »ý¼ºµÈ´Ù.
12345,12346 ¹ø Æ÷Æ®¸¦ ÀÌ¿ëÇØ Åë½ÅÇÔ
HKLM\System\CurrentControlSet\Control\SafeBoot\Option
À§ »çÇ×À» º¯°æÇÏ´Â °ÍÀ¸·Î º¸¾Æ ¾ÈÀü¸ðµå ºÎÆÃÀ» ¸·´Â °ÍÀ¸·Î º¸ÀÓ
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\patch
->½ÃÀÛÇÁ·Î±×·¥¿¡ µî·Ï
///////////////////////////////////////////////////////
-----------------------------------------------------------beast--------------------------------------------------------
**¼Ò´Ð°ÔÀÓ ÆÄÀÏ°ú beast ¼¹öÆÄÀÏÀ» bind ÇÑ °æ¿ìÀÔ´Ï´Ù.
///////////////////////////////////////////////////////
sonic3k (server + sonic3k)
///////////////////////////////////////////////////////
process create ¸¦ ÅëÇØ
C:\DOCUME~1\admin1\LOCALS~1\Temp\server.exe
C:\DOCUME~1\admin1\LOCALS~1\Temp\SONIC3K.EXE
À§ µÎ°³ ÆÄÀϵéÀ» »ý¼ºÇÑ´Ù.
///////////////////////////////////////////////////////
C:\DOCUME~1\admin1\LOCALS~1\Temp\SONIC3K.EXE
//////////////////////////////////////////////////////
bind ½ÃŲ ¼¹öÆÄÀÏÀÌ ºÐ¸®µÈ Á¤»óÀûÀÎ ÆÄÀÏ·Î º¸ÀÓ
//////////////////////////////////////////////////////
C:\DOCUME~1\admin1\LOCALS~1\Temp\server.exe
//////////////////////////////////////////////////////
µ¿Àû ¶óÀ̺귯¸®¸¦ ·ÎµåÇÏ°í
-> ¹«°á¼º °Ë»ç°á°ú ¶óÀ̺귯¸®´Â °ÇµéÁö ¾ÊÀ½
svchost.exe¸¦ C:\WINDOWS Æú´õ¿¡ »ý¼º
¸í·ÉÇÁ·ÒÆ÷Æ®(cmd)¸¦ ÅëÇØ ÀÚ±âÀÚ½ÅÀ» »èÁ¦ÇÔ
//////////////////////////////////////////////////////
C:\WINDOWS\svchost.exe
//////////////////////////////////////////////////////
mssock.dll ¶óÀ̺귯¸®¸¦ ÅëÇØ ³×Æ®¿öÅ©Åë½Å
msgdho.com ÆÄÀÏÀ» ½ÃÀÛÇÁ·Î±×·¥¿¡ µî·Ï
-> ms****.com (**** ºÎºÐÀº ·£´ý)
msrlec.com ÆÄÀÏÀ» ½ÃÀÛÇÁ·Î±×·¥¿¡ µî·Ï
/* process monitor ÀÇ Boot Logging ±â´É
(Options - Enable boot logging) À» ÀÌ¿ëÇØ
ºÎÆýà ·Î±×¸¦ ³²°ÜÁØ´Ù. ±×¸®°í ÀçºÎÆÃÀ» Çؼ
ÀúÀåÀ» ÇÏ°í ½ÇÇàÀ» Çؼ ÀúÀå ÈÄ ºÐ¼® ½ÃÀÛ*/
//////////////////////////////////////////////////////
msgdho.com
//////////////////////////////////////////////////////
ºÎÆ÷α׸¦ ºÐ¼®ÇÏ¿© msgdho.com ¸¦ ÇÊÅÍ
Àç ºÎÆýà ½ÇÇàÀ̵ÇÁö¾Ê´Â svchost.exe ¸¦ ½ÇÇà½ÃÄ´Ù
///////////////////////////////////////////////////////
msrlec.com
///////////////////////////////////////////////////////
³×Æ®¿öÅ© Åë½Å¿¡ ÇÊ¿äÇÑ ¶óÀ̺귯¸®¸¦ ·ÎµåÇÔ
ws2_32.dll
mswsock.dll
wsock.dll
msgdho.com °¡ Á¤»óÀûÀÎ ½ÇÇàÀÌ ¾Æ´Ò°æ¿ì ´Ù½Ã½ÇÇà½ÃÄÑÁÜ
»ç¿ë Åø : ÇÁÀÍ,ÇÁ¸ð |
Hit : 8801 Date : 2011/12/26 06:48
|
1619, 
1/81 
