설치 데이터베이스가 URL에 있는 경우 설치 관리자는 설치를 시작하기 전에 데이터베이스를 캐시 위치로 다운로드합니다. 또한 설치 관리자는 사용자의 선택에 적합한 파일 및 캐비닛 파일을 인터넷 소스에서 다운로드합니다. 자세한 내용은 URL 기반 Windows 설치 관리자 설치 예제를 참조하십시오. 이 취약점의 악용다운로드 및 다음 명령 줄을 통해 Windows 설치 를 통해 zus.msi 레이블 악성 MSI 패키지의 설치에 이르게 : 나는 실수로 msiexec.exe, 윈도우에서 .msi 파일을 실행하는 Windows 설치 프로그램 실행 파일을 삭제 생각합니다 10. 따라서, 균열을 다운로드하고 그들을 호스팅 사이트를 방문에서 자신을 자제 – 급류, warez. 이러한 웹 사이트는 거의 엄격하게 규제되지 않으며 사용자 상호 작용없이 악성 코드 페이로드를 다운로드하고 실행하는 악성 JavaScript[2]로 삽입 될 수 있습니다. [3] 이러한 경우 광고 블록은 이러한 동작을 중지합니다. 일단 다운로드, 윈도우 설치 프로그램 (msiexec.exe) 시스템에 MSIL 또는 델파이 바이너리를 설치 진행합니다. 다운로드 한 MSI 패키지에 따라, 그것은 다음 실제 페이로드에 대 한 로더 역할을 크게 난독 된 마이크로소프트 중간 언어 (MSIL) 또는 델파이 바이너리 파일을 포함 될 수 있습니다. 프로그램 이름: msiexec.exe게시: 알 수 없는 파일 출처: Msiexec.exe 는 Windows XP에서 일반적으로 사용되는 파일이기 때문에 이 컴퓨터에서 하드 드라이브, 7, 8, 또는 10, 악성 행위자는 그 이름을 사용하여 악성 코드를 위장 할 수 있습니다. 예를 들어, 소프트웨어 나 비디오 게임을 해적하기 위해 균열 및 keygens[1]를 다운로드하는 사용자는 백그라운드에서 실행되는 실행 프로그램의 악의적 인 버전을 찾을 수 있으며 그 파급 효과는 재앙이 될 수 있습니다.

따라서 컴퓨터에 의심스러운 징후(예: 시스템 속도 저하, 오류, 높은 CPU 사용량, 예기치 않은 마우스 이동 등)가 표시되면 Msiexec.exe 위치를 확인하는 것이 가장 좋습니다 . 악성 코드는 정말 MSI 패키지를 통해 자신을 설치할 필요가 적이있다. msiexec.exe를 사용 하는 대부분의 악성 코드와는 달리, 우리가 분석 하는 악성 코드는 바이너리 또는 그 프로세스를 수정 하지 않고 이렇게, 악성 코드를 설치 하는 Windows Installer의 사용 가능한 기능을 사용 하 여. 또한, MSI 패키지는 일반적으로 악의적인 목적을 위해 악용 될 가능성이 원치 않는 응용 프로그램을 설치 하려면 (PUA) 그리고 하지 악성 코드에 의해. 이것은 악성 코드 제작자에 대 한 새로운 방향. 그림 4: msiexec 다운로드 및 설치. msiexec.exe 이진 파일 이름 MSIFD83.tmp msiexec.exe (msiexec 는 윈도우 설치 구성 요소에 대 한 의미) 설치 하는 데 사용 하는 Windows NT/2000/XP 일반 프로세스를 제공 합니다., 수정, 윈도우 설치 프로그램 패키지에 포함 된 프로그램을 제거 (확장 .msi). 다른 기존 악성 코드 가족 msiexec.exe를 사용 하는 동안, 안드로메다 봇넷 등 (ANDROM 가족으로 트렌드 마이크로에 의해 감지), 차이점은이 방법은 설치 프로그램을 사용 하는 방법.

Category : Uncategorized