faxmode.inc

Security 2008.06.01 01:27

최근에 일부사이트에 삽입되는 악성코드원인을 찾던중

해당서버에서 발견되는 파일들 입니다.

faxmode.inc , ginastub.dll , crypt2.dll

Windows Server 에서 발견되는 faxmode.inc 파일을 열어보면

다음과 같이 로그인 정보가  존재하며 외부(중국)로 8000 포트가

열려있더군요. (악성코드가 삽입된 웹사이트에 방문한 사용자  PC도 점검이 필요합니다.)

샘플 faxmode.inc 입니다.

게임 계정 탈취가 목적인것으로 보이며 첨부파일과 같은 쉘파일이 발견됩니다.

위치는 winnt\system32 또는 winnt\system32\mui 에서 발견됩니다.




.cer 파일로도 위장되어 저장되기때문에 서버점검시 .cer 파일도 점검 하셔야 합니다.

'Security' 카테고리의 다른 글

zone-h.org 테러??  (0) 2008.06.08
경찰청 본청 해킹 기사  (0) 2008.06.04
호스팅 서비스를 이용한 경찰 제1기동대  (0) 2008.06.03
한나라당 웹변조 관련  (0) 2008.06.02
zone-h Block  (0) 2008.06.01
faxmode.inc  (0) 2008.06.01
Posted by r00t.hack3d

댓글을 달아 주세요