본문 바로가기

벌새::Analysis

벌새::Analysis 2016. 4. 26. 13:05 문서 폴더만 암호화하는 Locked 랜섬웨어 소식 (2016.4.26) 2016년 3월 중순경 이메일로 유포된 것으로 추정되는 악성 파일을 다운로드하여 실행할 경우 문서 폴더만을 표적으로 .locked 확장명으로 파일 암호화 후 금전을 요구하는 랜섬웨어(Ransomware)에 대해 살펴보도록 하겠습니다. 악성 파일은 PDF 문서 아이콘으로 위장한 Bank_Account_Summary.pdf.exe 파일명(SHA-1 : d70199063ce435bfc59a5ffafe774b3c5e2efc1e - Kaspersky : Trojan-Ransom.Win32.Crypmodadv.vpe)으로 유포된 것으로 추정되며 사용자가 PDF 문서로 오해하고 실행하도록 제작되어 있습니다. 실행된 악성 파일은 홍콩(HongKong)에 위치한 "202.181.194.227" IP 서버와 통신이 가능한..
벌새::Analysis 2016. 4. 18. 19:17 검색 도우미 : camsv service 포털 사이트 및 특정 인터넷 쇼핑몰 접속 시 광고 배너 또는 팝업창을 생성할 수 있는 국내에서 제작된 "camsv service" 광고 프로그램(SHA-1 : 821c82aadcb65aabb34da6687a3312b986b50a24 - AhnLab V3 365 Clinic : PUP/Win32.Helper.C1319745)에 대해 살펴보도록 하겠습니다. 검색 도우미 : ORUM 언인스톨 (2014.7.18) 검색 도우미 : wizbiz uninstall (2015.8.24) 검색 도우미 : QadSoftware 1.0 (2015.12.30) 검색 도우미 : smart cam bridge on service (2016.1.20) 검색 도우미 : camhost service (2016.4.17) "camsv..
벌새::Analysis 2016. 4. 17. 19:42 검색 도우미 : camhost service 특정 웹사이트에서 인터넷 검색 시 광고 배너 또는 팝업창이 생성될 수 있는 국내에서 제작된 "camhost service" 광고 프로그램(SHA-1 : d0fd37bccc73aac760a69e47c14e5d933ec8fa60)에 대해 살펴보도록 하겠습니다. 검색 도우미 : ORUM 언인스톨 (2014.7.18) 검색 도우미 : wizbiz uninstall (2015.8.24) 검색 도우미 : QadSoftware 1.0 (2015.12.30) 검색 도우미 : smart cam bridge on service (2016.1.20) 해당 광고 프로그램은 기존에 다양한 이름으로 유사한 기능을 수행하는 광고 프로그램이 존재하였으므로 참고하시기 바랍니다. 생성 폴더 / 파일 등록 정보 C:\Users\(로그인 ..
벌새::Analysis 2016. 4. 16. 21:30 검색 도우미 : infosearch 1.0 Windows 부팅 후 사용자 몰래 특정 웹사이트 접속을 통해 광고 수익을 유발하는 국내에서 제작된 "infosearch 1.0" 광고 프로그램(SHA-1 : 3b28ff3da107442d0c91aca29dfece4564b08a46 - AhnLab V3 365 Clinic : PUP/Win32.Generic.C1351012)에 대해 살펴보도록 하겠습니다.
벌새::Analysis 2016. 4. 12. 19:28 암호화된 파일을 삭제하는 Jigsaw 랜섬웨어와 복호화 도구 정보 (2016.4.12) 공포 영화 쏘우(Saw)를 모티브로 제작된 것으로 보이는 Jigsaw 랜섬웨어(Ransomware)은 인터넷 연결이 이루어지지 않는 환경에서도 파일 암호화를 수행하는 오프라인 암호화(Offline Encryption) 방식이며, 특히 1시간 단위로 암호화된 파일을 삭제하는 기능까지 포함되어 있습니다. 다행히 정보 공개와 함께 암호화된 파일을 해제할 수 있는 JigSawDecrypter 복호화 도구가 공개된 상태입니다. 유포 방식은 확인되지 않았지만 사용자를 속여서 악성 파일(SHA-1 : 27d99fbca067f478bb91cdbcb92f13a828b00859 - AhnLab V3 : Trojan/Win32.Jigsaw.C1373537) 다운로드 및 실행을 하도록 유도하는 것으로 추정됩니다. 생성 폴더 ..
벌새::Analysis 2016. 4. 11. 18:54 FTP 서버 해킹을 통한 비트코인(BitCoin) 가상 화폐 채굴 프로그램 유포 주의 (2016.4.11) 다수의 FTP 서버 해킹을 통해 비트코인(BitCoin) 채굴 클라이언트를 설치하는 악성 프로그램 유포 사례가 확인되어 살펴보도록 하겠습니다.(※ 정보를 제공해주신 바이러스 제로 시즌 2 보안 카페 철이님에게 감사드립니다. ) 국내 특정 호텔 관련 사이트에 접속할 경우 자동으로 Photo.scr 화면 보호기 파일을 다운로드하는 시도를 확인할 수 있습니다. 연결 정보를 확인해보면 사이트 접속 과정에서 악성 iFrame을 로딩하여 동일 서버에서 Photo.scr 파일이 자동 다운로드될 수 있습니다. 다운로드된 Photo.scr 화면 보호기 파일(SHA-1 : aeccba64f4dd19033ac2226b4445faac05c88b76 - 알약(ALYac) : Misc.Riskware.BitCoinMiner, A..
벌새::Analysis 2016. 4. 10. 15:29 검색 도우미 : Windows Application TopsAdon 인터넷 검색 시 광고창 생성 및 Windows 보안 기능을 방해하는 추가적인 악성 광고 기능을 설치하는 국내에서 제작된 "Windows Application TopsAdon" 광고 프로그램(SHA-1 : 691613101516c704e6689d94ef50bc30935befb6 - AhnLab V3 365 Clinic : PUP/Win32.WindViewer.C1324898)에 대해 살펴보도록 하겠습니다.
벌새::Analysis 2016. 4. 9. 15:00 검색 도우미 : Microsoft Platform SmartRun Management Tools 인터넷 검색 시 자동으로 광고창을 생성하며 추가적인 인터넷 쇼핑몰 바로가기 아이콘을 생성할 수 있는 국내에서 제작된 "Microsoft Platform SmartRun Management Tools" 광고 프로그램(SHA-1 : 4c7b90a1fee6b61bd6c2cb404ba548c5a73c55b1 - Kaspersky : not-a-virus:AdWare.Win32.PopAd.big)에 대해 살펴보도록 하겠습니다. 동의없이 광고 프로그램을 대량 설치하는 "Windows Network IP Manager" 프로그램 주의 (2016.3.22) 해당 광고 프로그램은 다수의 광고 프로그램을 사용자 몰래 설치하는 배포 프로그램을 통해 설치될 수 있으므로 주의하시기 바랍니다. 생성 폴더 / 파일 등록 정보 C:..

티스토리툴바