본문 바로가기

전체 글

벌새::Analysis 2017. 4. 9. 20:47 한글 메시지를 생성하는 Sage 2.2 랜섬웨어 감염 주의 (2017.4.9) 2016년 12월 중순경부터 보안 패치가 제대로 적용되지 않은 PC 환경에서 웹 사이트 방문 과정에서 악성 스크립트에 노출될 경우 취약점(Exploit)을 통해 자동 감염되는 Sage 랜섬웨어(Ransomware)가 유포되기 시작하였습니다. 초기에 유포된 Sage 랜섬웨어는 다음과 같이 암호화 대상 파일을 특정 위치로 복사한 후 암호화를 진행하는 특징을 가지고 있었습니다. C 드라이브의 경우 : (원본 파일명).(원본 확장명) → %Temp%\0.tmp / 1.tmp / 2.tmp / 3.tmp → (원본 파일명).(원본 확장명).sage D 드라이브의 경우 : (원본 파일명).(원본 확장명) → D:\0.tmp / 1.tmp / 2.tmp / 3.tmp → (원본 파일명).(원본 확장명).sage 위와..
벌새::Analysis 2017. 4. 3. 21:55 자동으로 실행되는 "ESTsoft ALTools Update Service" 생성 정보 (2017.4.3) 개인적으로 이스트소프트(ESTsoft) 업체에서 제공하는 일부 알툴즈(ALTools) 제품을 설치하여 사용하고 있었는데 2017년 3월 31일경 알송(ALSong) 프로그램을 실행한 직후 "ESTsoft ALTools Update Service" 허용을 요구하는 사용자 계정 컨트롤(UAC)이 생성되는 증상이 있었습니다. 당시에는 무의식적으로 실행을 허용하였다가 평소 위와 같은 행위는 기억되지 않았기에 간단하게 살펴보았습니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALUpdateService 우선 당시 실행된 정보를 찾아보면 "ESTSoft ALTools Update Service" 서비스 항목으로 추가되어 Windows 부팅 시마다 "C:\Prog..
벌새::Analysis 2017. 4. 1. 16:14 USB 드라이브로 전파 가능한 Bondat Worm 바이러스 주의 (2017.4.1) 최근 블로그를 통해 USB 드라이브에 존재하는 Drive.bat 파일을 삭제해도 지속적으로 재생성되는 문제에 대해 문의가 들어와서 관련 정보를 살펴보도록 하겠습니다. 1차적으로 제공받은 Drive.bat 배치 파일을 확인해보면 "\\Drive\453\vjjeuhhy.js" 파일이 추가적으로 존재할 것으로 추정되기에 관련 파일을 찾아서 보내달라고 요청하였습니다. 생성 폴더 / 파일 및 진단 정보 \\Drive :: 숨김(H) 폴더 속성 \\Drive\453 :: 숨김(H) 폴더 속성 \\Drive\453\vjjeuhhy.js :: Random 파일명 - SHA-1 : ca15eb44149114eb38a67bc43029f72db2aa2c3f - 알약(ALYac) : Trojan.Bondat.JS \\Driv..
벌새::Analysis 2017. 3. 31. 19:19 검색 도우미 : NewsGo 바탕 화면에 바로 가기 아이콘 생성 및 광고창을 생성할 수 있는 국내에서 제작된 NewsGo 광고 프로그램에 대해 살펴보도록 하겠습니다. 대표적인 배포 방식을 살펴보면 네이버(Naver) 블로그를 통해 다양한 소프트웨어 다운로드를 통해 설치용 프로그램(SHA-1 : 823d8c4d18bf35aae549cb98434a4e6d043cd1ca - AVG : Win32/DH{PAkl?})을 다운로드하도록 유도합니다. 실행된 프로그램은 사용자가 원하는 소프트웨어 설치 파일을 다운로드하는 과정에서 기본값으로 체크된 NewsGo 제휴 프로그램의 설치 파일을 자동 다운로드됩니다. NewsGo 설치 파일 : h**ps://news**.kr:427/do****ad/NewsGoInst.exe (SHA-1 : 45b0b962..
벌새::Security 2017. 3. 30. 23:24 업데이트 : Chrome 57.0.2987.133 구글(Google) 업체에서 제공하는 Chrome 웹 브라우저의 다중 보안 취약점 문제를 해결한 Chrome 57.0.2987.133 버전이 업데이트 되었습니다. 이번 업데이트에서는 Pwn2Own 2017 해킹 대회에 참여한 Tencent 보안 업체의 Team Sniper가 시스템 레벨 권한 상승을 유발하는 Chrome 웹 브라우저 취약점(CVE-2017-5053)을 포함한 5건의 보안 패치가 포함되어 있습니다. ■ Critical 등급 CVE-2017-5055 : Use after free in printing. ■ High 등급 CVE-2017-5052 : Bad cast in Blink. CVE-2017-5053 : Out of bounds memory access in V8. CVE-2017-50..
벌새::Analysis 2017. 3. 25. 14:51 mp4 동영상으로 위장한 MBR 변조 악성 파일 유포 주의 (2017.3.25) 최근에 토렌트(Torrent) 파일 공유 서비스를 통해 동영상 파일(.mp4)처럼 확장명을 조작한 악성 실행 파일(.exe)이 유포된다는 제보와 함께 실행 시 Master Boot Record (MBR) 변조를 통해 시스템 부팅에 실패하도록 하는 악의적인 행위가 있기에 살펴보도록 하겠습니다. English.srt :: 영어(English) 자막 파일 Fabricated.City.2017.HDRip.1080p.eXe.mp4 :: RIGHT-TO-LEFT OVERRIDE (RLO) 방식으로 유니코드 확장명 조작이 이루어진 악성 실행 파일 Fabricated.City.2017.HDRip.1080p.eXe.nfo :: 동영상 릴리즈 정보 파일 poster.jpg :: 조작된 도시 영화 포스터 사진 파일 제보해준..
벌새::Analysis 2017. 3. 24. 19:20 암호화된 파일이 삭제되지 않는 CryptoShield 2.0 랜섬웨어 주의 (2017.3.24) 2017년 2월경에 보안 패치가 제대로 이루어지지 않은 PC 환경에서 웹 사이트 접속 과정에서 취약점(Exploit)을 통해 CryptoShield 2.0 랜섬웨어(Ransomware)에 감염되어 문서, 사진, 음악 등의 개인 파일이 암호화될 수 있었습니다. 그런데 특이한 점은 암호화된 파일이 다음과 같이 비정상적인 확장명으로 변경됨으로 인하여 Windows 운영 체제에서 파일을 인식하지 못하는 문제가 발생합니다. 한글 파일명 : (원본 파일명).(Random).[R_SP@INDIA.COM].ID[(Random)].CRYPTOSHIELD. 영문 파일명 : (Random 파일명).(Random).[R_SP@INDIA.COM].ID[(Random)].CRYPTOSHIELD. 예를 들어 암호화된 파일의 맨 뒷..
벌새::Computer & IT 2017. 3. 21. 12:06 Windows 10 Version 1607 누적 업데이트 : KB4015438 (2017.3.21) Windows 10 RS1 운영 체제의 품질 개선을 위한 누적 업데이트(KB4015438)가 Windows 업데이트를 통해 배포되기 시작하였습니다. 이번 업데이트는 2017년 3월 정기 보안 업데이트를 통해 배포된 KB4013429 누적 업데이트 이후 발생한 충돌 문제를 해결하였습니다. ■ Windows 10 Version 1607(KB4015438)용 누적 업데이트(OS 빌드 14393.969) Addressed a known issue with KB4013429 that caused Windows DVD Player (and 3rd party apps that use Microsoft MPEG-2 handling libraries) to crash. Addressed a known issue with..

티스토리툴바