본문 바로가기

벌새::Analysis

벌새::Analysis 2017. 4. 15. 21:31 네이버 지식인 첨부 파일로 유포된 DDoS 악성코드 주의 (2017.4.15) 2017년 4월 15일 오후 4시 15분경 네이버 지식인에 마인크래프트(Minecraft) 노더스 관련 파일을 EGG 압축 파일로 첨부하여 질문글을 올렸기에 매우 의심이 가서 간단하게 살펴보았습니다. 신노더스.egg 압축 파일 내부에는 노더스.exe 실행 파일이 동봉되어 있으며, 게시자는 반드시 관리자 권한으로 실행하도록 유도하고 있습니다. 노더스.exe (SHA-1 : 300f7943545a27eadcdb58e63392feabd59d845b - AhnLab V3 : Win-Trojan/Scar.109568.U) 노더스.exe 파일 속성값을 확인해보면 중국(China)에서 제작된 툴로 생성된 것으로 보이는 일명 서버(Server) 파일임을 알 수 있습니다. 생성 파일 및 진단 정보 C:\Windows\S..
벌새::Analysis 2017. 4. 14. 20:13 가짜 Internet Explorer 오류 메시지를 이용한 고포류 게임을 노리는 악성코드 유포 주의 (2017.4.14) 최근 특정 웹 사이트에 접속할 경우 가짜 Internet Explorer 웹 페이지 오류 메시지를 생성하여 다운로드되는 파일을 실행할 경우 국내 특정 고포류 게임을 표적으로 악성코드에 감염되는 사례가 공개되어 간단하게 살펴보도록 하겠습니다. 상대방의 패를 엿볼 수 있는 사행성 도박 게임용 악성파일 유포 중! (2017.4.14) 알약(ALYac) 블로그에서 공개한 정보에 의하면 북한(North Korea)말을 사용하는 공격자가 2016년 하반기경부터 국내를 표적으로 지속적인 악성코드 유포가 이루어지고 있음을 간접적으로 언급하고 있습니다. 어떤 방식으로 문제의 웹 사이트로 접속을 유도하는지 알 수 없지만 접속할 경우 "Internet Explorer에서 웹 페이지를 표시할 수 없습니다."라는 전형적인 오류..
벌새::Analysis 2017. 4. 11. 19:42 국내에서 제작되어 공개된 RensenWare 랜섬웨어 정보 (2017.4.11) 최근 디시인사이드 커뮤니티에 본인이 제작한 RensenWare 랜섬웨어(Ransomware)에 감염되었다는 게시글이 올라왔는데 어떤 이유로 해외에서 RensenWare 랜섬웨어 정보가 공유되는 일이 있었습니다. 내가 만든 랜섬웨어에 내가 감염됐다 (2017.4.6) 특히 2015년경부터 급격하게 증가하기 시작한 랜섬웨어(Ransomware)로 인하여 감시가 심한 상태에서 호기심 또는 교육 목적으로 제작되어 소스가 공개되어 악용되는 일이 있기에 더욱 이슈가 된 것 같습니다. 련선웨어 해제 툴 만들었다 (2017.4.7) 제작자의 의도와는 다르게 해외에서 정보가 공유됨에 따라 제작자는 RensenWare 랜섬웨어에 대한 해제툴을 GitHub에 공개한 상태이며, 국내 보안 업체에 관련 정보를 제공하여 피해가 ..
벌새::Analysis 2017. 4. 9. 20:47 한글 메시지를 생성하는 Sage 2.2 랜섬웨어 감염 주의 (2017.4.9) 2016년 12월 중순경부터 보안 패치가 제대로 적용되지 않은 PC 환경에서 웹 사이트 방문 과정에서 악성 스크립트에 노출될 경우 취약점(Exploit)을 통해 자동 감염되는 Sage 랜섬웨어(Ransomware)가 유포되기 시작하였습니다. 초기에 유포된 Sage 랜섬웨어는 다음과 같이 암호화 대상 파일을 특정 위치로 복사한 후 암호화를 진행하는 특징을 가지고 있었습니다. C 드라이브의 경우 : (원본 파일명).(원본 확장명) → %Temp%\0.tmp / 1.tmp / 2.tmp / 3.tmp → (원본 파일명).(원본 확장명).sage D 드라이브의 경우 : (원본 파일명).(원본 확장명) → D:\0.tmp / 1.tmp / 2.tmp / 3.tmp → (원본 파일명).(원본 확장명).sage 위와..
벌새::Analysis 2017. 4. 3. 21:55 자동으로 실행되는 "ESTsoft ALTools Update Service" 생성 정보 (2017.4.3) 개인적으로 이스트소프트(ESTsoft) 업체에서 제공하는 일부 알툴즈(ALTools) 제품을 설치하여 사용하고 있었는데 2017년 3월 31일경 알송(ALSong) 프로그램을 실행한 직후 "ESTsoft ALTools Update Service" 허용을 요구하는 사용자 계정 컨트롤(UAC)이 생성되는 증상이 있었습니다. 당시에는 무의식적으로 실행을 허용하였다가 평소 위와 같은 행위는 기억되지 않았기에 간단하게 살펴보았습니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALUpdateService 우선 당시 실행된 정보를 찾아보면 "ESTSoft ALTools Update Service" 서비스 항목으로 추가되어 Windows 부팅 시마다 "C:\Prog..
벌새::Analysis 2017. 4. 1. 16:14 USB 드라이브로 전파 가능한 Bondat Worm 바이러스 주의 (2017.4.1) 최근 블로그를 통해 USB 드라이브에 존재하는 Drive.bat 파일을 삭제해도 지속적으로 재생성되는 문제에 대해 문의가 들어와서 관련 정보를 살펴보도록 하겠습니다. 1차적으로 제공받은 Drive.bat 배치 파일을 확인해보면 "\\Drive\453\vjjeuhhy.js" 파일이 추가적으로 존재할 것으로 추정되기에 관련 파일을 찾아서 보내달라고 요청하였습니다. 생성 폴더 / 파일 및 진단 정보 \\Drive :: 숨김(H) 폴더 속성 \\Drive\453 :: 숨김(H) 폴더 속성 \\Drive\453\vjjeuhhy.js :: Random 파일명 - SHA-1 : ca15eb44149114eb38a67bc43029f72db2aa2c3f - 알약(ALYac) : Trojan.Bondat.JS \\Driv..
벌새::Analysis 2017. 3. 31. 19:19 검색 도우미 : NewsGo 바탕 화면에 바로 가기 아이콘 생성 및 광고창을 생성할 수 있는 국내에서 제작된 NewsGo 광고 프로그램에 대해 살펴보도록 하겠습니다. 대표적인 배포 방식을 살펴보면 네이버(Naver) 블로그를 통해 다양한 소프트웨어 다운로드를 통해 설치용 프로그램(SHA-1 : 823d8c4d18bf35aae549cb98434a4e6d043cd1ca - AVG : Win32/DH{PAkl?})을 다운로드하도록 유도합니다. 실행된 프로그램은 사용자가 원하는 소프트웨어 설치 파일을 다운로드하는 과정에서 기본값으로 체크된 NewsGo 제휴 프로그램의 설치 파일을 자동 다운로드됩니다. NewsGo 설치 파일 : h**ps://news**.kr:427/do****ad/NewsGoInst.exe (SHA-1 : 45b0b962..
벌새::Analysis 2017. 3. 25. 14:51 mp4 동영상으로 위장한 MBR 변조 악성 파일 유포 주의 (2017.3.25) 최근에 토렌트(Torrent) 파일 공유 서비스를 통해 동영상 파일(.mp4)처럼 확장명을 조작한 악성 실행 파일(.exe)이 유포된다는 제보와 함께 실행 시 Master Boot Record (MBR) 변조를 통해 시스템 부팅에 실패하도록 하는 악의적인 행위가 있기에 살펴보도록 하겠습니다. English.srt :: 영어(English) 자막 파일 Fabricated.City.2017.HDRip.1080p.eXe.mp4 :: RIGHT-TO-LEFT OVERRIDE (RLO) 방식으로 유니코드 확장명 조작이 이루어진 악성 실행 파일 Fabricated.City.2017.HDRip.1080p.eXe.nfo :: 동영상 릴리즈 정보 파일 poster.jpg :: 조작된 도시 영화 포스터 사진 파일 제보해준..

티스토리툴바