본문 바로가기

벌새::Analysis

벌새::Analysis 2008. 6. 18. 21:12 네이버(Naver) 교통 정보 지도 서비스는 스파이웨어(Spyware)? 안녕하세요. 네이버에서 서비스하고 있는 지역 정보 서비스의 교통 관련 지도 서비스에 대해 지적할 부분이 있어 적습니다. 해당 서비스는 국내 교통 정보를 상세하게 제공하고 있는 서비스로 버스 관련 내용을 자세히 보기 위해서는 ActiveX를 통한 추가적인 파일을 설치하고 있습니다. * 해당 분석글의 글쓴이는 보안 전문가가 아니므로 오류가 있을 수 있습니다. 스크린샷과 같이 특정 노선을 보기 위해서는 반드시 네이버에서 제공하는 ActiveX 컨트롤러를 설치해야 합니다. 해당 서비스는 네이버에서 제작한 기술이 아닌 선도소프트(http://www.sundosoft.com)에 의뢰하여 제작된 것으로 보입니다. 실제 해당 다운로드 파일을 받아서 파일을 살펴보았습니다. 붉은색 동그라미를 친 부분이 자세하게 살펴보아야..
벌새::Analysis 2008. 6. 14. 15:48 안랩(AhnLab) 스파이제로(SpyZero) 오진 - Win-Adware/Tuotu.5128192 안녕하세요. 안철수연구소의 스파이웨어 전문 보안제품 스파이제로에서 오진하는 부분이 있는 것으로 보입니다. AhnLab SpyZero : Win-Adware/Tuotu.5128192 자세한 정보 : http://kr.ahnlab.com/info/smart2u/virus_detail_16554.html 안철수연구소에서 제공하는 해당 애드웨어 분석 정보를 보면 HKEY_CLASSES_ROOT\.torrent 레지스트리 키값에 대한 진단을 포함하고 있습니다. 해당 분석에서는 Tuotu 라는 torrent 관련 공유 프로그램이 설치된 환경에서 진단하는 것으로 보입니다. 하지만 현재 글쓴이의 컴퓨터에서는 해당 프로그램이 존재하지 않습니다. 그럼, 왜 해당 레지스트리가 컴퓨터에 등록되어 있는 것인가? 이유는 비슷한 ..
벌새::Analysis 2008. 6. 14. 00:32 Trojan.NewMediaCodec 변종 UCC 등 인터넷을 통한 동영상 서비스가 발달하면서 이 부분을 악의적으로 활용하는 것 중의 하나가 특정 동영상을 보기 위해 코덱(Codec)을 설치하라는 메시지일 것입니다. 물론 인터넷 상에서 동영상을 보기 위해 반드시 추가적으로 해당 서비스에서 제공하는 것을 통해 설치해야 가능한 부분이 있지만, 이를 역이용하면 새로운 악성코드 유포 경로가 탄생하는 것이지요. 스크린샷과 같이 윈도우 미디어 플레이어의 모습을 갖추고 실시간 영상을 보기 위해 코덱을 설치하라는 메시지가 있습니다. 실제로 해당 코덱을 다운로드 하면 일반적인 코덱 파일처럼 위장하여 겉으로 알 수 없습니다. 더욱이 실제 설치 과정에서도 일반적인 정상 코덱의 모습까지 갖추고 있습니다. Rich Viedo Codec은 악성코드를 내포한 코덱 명칭으로..
벌새::Analysis 2008. 6. 10. 23:10 보안제품에 대한 도박 사이트의 공지 국내 웹사이트 게시판이나 블로그 등 글을 적을 수 있는 곳이면 수단과 방법을 가리지 않고 스팸처럼 광고하는 도박 사이트들이 있습니다. 해당 도박 사이트는 [라이브 바카라(Live Baccarat)]라는 이름을 걸고 국내 이용자를 모집하여 돈벌이를 하고 있는 것으로 보입니다. 실제 도박에 빠진 사람들로 인해 알게 모르게 해외로 돈이 빠져 나가고 있으리라 보여집니다. 해당 도박 사이트의 메인에 보면 재미있는 공지글이 하나 있습니다. 해당 공지글은 제 기억에는 올해 초봄 정도에 작성된 것으로 기억합니다. 제가 확인한 해당 도박 사이트에서 유포하는 도박 프로그램 다운로드 파일을 안철수연구소의 스파이제로에서 진단하는 것을 확인한 적이 있었습니다. 현재에는 다른 변종 다운로드가 유포되고 있고, 안랩에서 진단하지 않..
벌새::Analysis 2008. 6. 2. 20:47 스폰서 프로그램 - 필수코덱팩(Essential Codec Pack EX) 국내에서 제작된 프로그램들 중 설치시 스폰서 프로그램이 설치되는 프로그램에 대해 살펴보도록 하겠습니다. 스폰서 프로그램은 해당 제품의 운영 및 유지를 위해 프로그램에 추가적으로 설치될 수 있는 프로그램을 말합니다. 그러므로 정식 프로그램 자체에는 문제가 없지만, 해당 스폰서 프로그램에 대해서는 문제가 있을 수 있기에 스폰서가 들어간 제품에 대해 살펴보겠습니다. 제품명 : 필수코덱팩(Essential Codec Pack EX) 제품 버전 : 9.2.5.11 라이센스 : 스폰서형 애드웨어 (제작자 : Freeware) 제작사 홈페이지 : http://www.mysecu.net/tt 제작자 블로그(추정) : http://xneokr.tistory.com ※ 설치시 보안 상태 : F-Secure (동작) / A..
벌새::Analysis 2008. 5. 23. 20:59 Win32:Zlob-CBY (Avast) 이전에도 언급한 음란물을 보기 위해 설치를 유도하는 악성코드는 일반적으로 이메일을 통해 유포되거나 이번에 소개하는 것과 같이 특정 웹사이트를 구성하여 유포하는 방식이 있습니다. 이메일을 통한 악성코드 분석 보기 : http://hummingbird.tistory.com/235 해외 유명 동영상 공유 서비스 유튜브(YouTube)와 유사한 형태로 웹사이트를 갖추고 음란물 동영상을 서비스하는 해외 사이트들이 은근히 있습니다. 해당 사이트에서 제공하는 특정 동영상을 보도록 호기심을 자극하여 클릭을 하면 다음과 같은 화면을 출력합니다. 해당 비디오의 ActiveX 객체가 오류가 발생하여 비디오를 플레이하기 위해서는 추가적으로 제공되는 파일을 다운로드 하여 설치하라는 메시지가 나옵니다. 실제 다운로드된 파일의 모..
벌새::Analysis 2008. 5. 12. 13:00 상주시 사이버 정보화 캠퍼스 웹사이트 노출 문제점 경상북도 상주시에서 운영하는 것으로 추정되는 상주시 사이버 정보화 캠퍼스(http://cyberedu.sangju.go.kr/)의 웹사이트 문제점에 대해 살펴보도록 하겠습니다. 도메인에서 알 수 있듯이 해당 웹사이트는 정부기관 소속임을 알 수 있습니다. 해당 웹사이트는 상주시 시민들을 위한 정보화 교육을 위해 운영되고 있으며, 서비스를 이용하기 위해서는 회원 가입을 통해 이용할 수 있는 형태입니다. 해당 웹사이트의 게시판, 자료실, 잦은 질문, 시민의 소리 게시판에 접근을 하기 위해서는 반드시 로그인 과정을 거쳐야 합니다. 해당 사이트의 게시판에 있는 게시물의 제목이나 내용을 보기 위해 반드시 로그인을 해야하지만, 현재 사이트의 취약점으로 인해 게시판이 뚫리는 현상이 있습니다. 스크린샷에서 보시는 것처럼..
벌새::Analysis 2008. 5. 3. 17:52 특정 은행 해킹 목적으로 제작된 이메일 이메일을 확인하던 중에 발견한 은행 해킹을 목적으로 하는 악성코드에 관해 잠시 이야기 하겠습니다. 이 내용은 국내 은행이 아닌 미국에 소재하고 있는 Colonial Bank를 목표로 제작된 악성코드로 추정됩니다. 이메일 제목 : Colonial Bank - SSL Certificate Update 해당 이메일은 Colonial Bank을 이용하는데 사용되는 사용자의 보안 증명서가 2008년 5월 1일자로 만료가 되었으니 새롭게 갱신을 하도록 안내를 하며, 다운로드 링크를 제공하고 있습니다. 해당 이메일의 발송 주소를 보면 마치 Colonial Bank 관리자가 보낸 것처럼 잘 위장하고 있습니다. 이메일에서 제공하는 다운로드 링크를 이용하여 접근해 보았습니다. Colonial Bank 은행의 새로운 업데이..

티스토리툴바