3wPlayer
3wPlayer3wPlayer는 미디어 플레이어로 위장하는 악성 프로그램이다.그것은 마이크로소프트 윈도우를 실행하는 컴퓨터들을 감염시킬 수 있다.동영상 파일을 다운로드하는 사용자를 악용해 동영상을 볼 수 있도록 프로그램을 다운로드해 설치하도록 지시하는 것이다.3wPlayer는 컴퓨터를 감염시키기 위해 일종의 사회공학을 사용한다.최근 영화처럼 바람직해 보이는 비디오 파일은 비트토렌트나 다른 유통 채널을 통해 공개된다.이 파일들은 기존의 AVI 파일과 유사하지만 대부분의 미디어 플레이어 프로그램에서 재생될 때 메시지를 표시하도록 설계되어 사용자가 3wPlayer 웹사이트를 방문하고 동영상을 보기 위해 소프트웨어를 다운로드하도록 지시한다.
3wPlayer는 트로이 목마에 감염되었다.Win32.Obfusced.en[1] Symantec에 따르면 3wPlayer는 애드웨어라고 부르는 애드웨어를 "다운로드"할 수 있다고 한다."Internet Explorer에 자체 도구 모음과 검색 버튼을 추가"[3]하는 Lop.[2]
온라인에 게시된 펄 스크립트는 3wplayer 파일을 다시 AVI로 해독할 수 있다고 한다.[4]의도된 AVI 파일이 원하는 비디오 파일이 아닌 경우가 드물기 때문에 이 주장은 혼합된 결과를 가지고 테스트되었다.일부 개발자들은 3wPlayer 암호화된 파일을 자동으로 식별하는 애플리케이션을[5] 만들었다.
클론
여러 개의 3wPlayer 클론이 있음:
DivoCodec 및 X3Codec
DivoCodec 또는 Divo Codec 또는 X3Codec도 3wPlayer와 유사한 트로이 목마로 식별되었다.사용자들은 종종 P2P 프로그램을 통해 다운로드되는 AVI/MP4/MP3/WMA 파일을 보거나 재생하기 위해 코덱을 다운로드하라는 지시를 받는다.
DivoCodec은 실제 코덱 대신 사용자 컴퓨터에 악성코드를 설치한다.DivoCodec은 다형성이며 구조를 바꿀 수 있다.또 다른 프로세스의 가상 메모리(프로세스 하이잭킹)에도 쓰는 것으로 알려져 있다.
돔플레이어
DomPlayer는 DivoCodec 및 3wPlayer와 유사하다.사용자들은 또한 AVI 파일을 보기 위해 플레이어를 다운로드하라는 지시를 받는다.
DivoCodec과 마찬가지로, 파일 기간 때문에 거짓 .avi가 쉽게 발견되는데, 그 중 10-12초는 파일 크기에도 불구하고 파일 크기가 영화/TV 시리즈일 가능성이 없다고 결론을 내릴 수 있다.그러나 최근 많은 유통업체들이 정상적인 기간과 파일 크기를 표시하기 위해 파일 메타 데이터를 위조하기 시작했기 때문에 항상 그렇지는 않다.
x3 플레이어
x3 플레이어는 DomPlayer와 유사하며 사용자에게 이 플레이어를 다운로드하여 avi 파일을 보도록 지시한다.또한 이 플레이어를 설치하도록 사용자에게 지시하는 MP3 파일로 위장한 5초짜리 ASF 비디오도 유포되고 있다.
참조
- ^ 트로이 목마.Win32.난독화.en Wayback Machine에 2007-09-14 보관.
- ^ 3wPlayer - 기술 세부 정보, 2008/07/24일 액세스
- ^ Adware.Lop, 2008/07/24일에 액세스
- ^ 미니노바 포럼: 3w 플레이어 등등...Wayback Machine에 보관된 2008-05-26, 2007년 10월 3일에 액세스
- ^ 2013/11/11에 액세스한 3WLER 디코더
외부 링크
- Symantec 보안 브리핑
- 플레이어 관련 데이터에서 avi 파일 지우기
- [https://web.archive.org/web/20071102131716/http://www.goitexpert.com/entry.cfm?entry=DomPlayer-3wPlayer-Fix 약간의 설명만 있으면 위와 같다(avi 파일에서 잘못된 헤더 제거)
