블로그 보관함

2014년 3월 3일 월요일

[파밍 악성코드] hosts, hosts.ics 파일 변조시 IP주소 가져오는 방법

최근 파밍 악성코드가 급증하고 있습니다. 점점 금융권 웹페이지와 파밍 웹사이트의 구별이 어려워지고 있습니다. 이처럼 악성코드 제작자의 기술은 점점 고도화되고 있는 가운데 제가 주목한 것은 hosts, hosts.ics 파일의 변조시 사용하는 IP 주소를 가져오는 방법입니다.

QQ 메신저 서비스의 특정 유저 정보 페이지에서 hosts, hosts.ics 파일의 변조시 사용하는 IP 주소를 가져옵니다. 이러한 방법은 정상 서비스를 이용하는 것이기 때문에 백신을 우회하는 방법중에 하나입니다.
http://user.qzone.qq.com/[ID]

[그림 1] hosts, hosts.ics 변조시 사용하는 IP 주소








[그림 1]에서 보듯 QQ 메신저 서비스의 유저 정보 페이지에서 #과 #사이에 IP주소를 표기해두었습니다. 유저의 이름 정보가 표시된 곳에 IP 주소를 표기하여 그 정보를 파싱한 다음 hosts, hosts.ics 변조시 사용합니다.

악성코드 제작자들의 백신을 우회하는 흥미로운 방법이지 않나요?


댓글 없음:

댓글 쓰기