오랜만에 malwr.com에서 1.exe, 악성코드가 흔히 사용할 것으로 추정되는 파일을 다운 받아 단순 실행만 해본 결과 파밍 서버의 DNS로 www.naver.com.kio를 사용하는 것으로 확인되었다. 아마 이건 변종일테고, www.naver.com.[임의의 숫자 혹은 공격자 의도에 따른 문자열] 형태가 되지 않을까 생각이 들었다.
snort : alert tcp any any -> any 80 (msg:"Possible Malicious Pharming Host"; flow:to_server; content:"Host: www.naver.com.kio"; sid:0;)
md5 : 746267eb8efade353b0c82e6d62e5d4b
출처 : malwr.com