본문 바로가기

네이버

벌새::Analysis 2013. 8. 6. 19:24 국내 악성코드 : conhost 시스템 시작시 자동 실행되는 conhost.exe 파일을 통해 네이버(Naver) 검색 관련 수익성 활동을 할 것으로 추정되며, 프로그램 삭제시 파일 변경을 통해 지속적인 활동을 유지하는 conhost 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 86e90ffddc94e7eff5a5932276d5a193)은 2013년 7월 29일경 배포가 시작된 것으로 보이며, Kaspersky 보안 제품에서는 UDS:DangerousObject.Multi.Generic (VT : 5/46) 진단명으로 진단되고 있습니다. 참고로 conhost.exe 파일은 Windows 7 운영 체제의 콘솔 창 호스트 파일(C:\Windows\system32\conhost.exe)과 동일한 파일명을 가지..
벌새::Analysis 2013. 7. 24. 15:50 검색 도우미 : 플러스업(Web OPU(plusup)) 인터넷 검색 과정에서 다수의 광고창을 생성하는 검색 도우미 "플러스업(Web OPU(plusup))" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : ca77cde93f754e37a5f1081fd162e24f)은 2012년 6월 초부터 배포가 이루어진 것으로 확인되고 있으며, 최근 배포되고 있는 PowerSearch 검색 도우미 프로그램을 확인하던 중 추가로 발견하였습니다. [생성 폴더 / 파일 등록 정보] C:\Program Files\plusup C:\Program Files\plusup\inst01.dat C:\Program Files\plusup\mrtg.dat C:\Program Files\plusup\msvcr71d.dll C:\Program Files\plusup..
벌새::Security 2013. 7. 24. 01:33 MSE 오진 : TrojanDownloader:JS/Renos (2013.7.24) 최근 네이버(Naver) 검색 서비스를 이용하는 과정에서 특정 검색 키워드 값을 입력할 경우 마이크로소프트(Microsoft) 업체에서 제공하는 Microsoft Security Essentials(MSE) 무료 백신이 TrojanDownloader:JS/Renos 진단명으로 진단하는 오진이 발생하고 있는 것으로 확인되고 있습니다.현재 확인된 검색 키워드는 "진격의 거인 재미없다"를 검색할 경우, MSE 보안 제품에서 "검색된 위협을 정리하고 있습니다."라는 안내창을 생성합니다.(※ 이상하게 다른 검색 키워드 중에서 동일한 오진이 발생하는 키워드는 발견하지 못했습니다. )격리된 기록을 확인해보면 인터넷 임시 폴더에 생성된 "C:\Users\(사용자 계정)\AppData\Local\Microsoft\Win..
벌새::Analysis 2013. 7. 23. 22:06 검색 도우미 : PowerSearch Windows 창의 우측 상단 영역에 네이버(Naver) 검색바를 생성하며, 인터넷 검색 중 추가적인 광고창을 생성할 수 있는 검색 도우미 PowerSearch 프로그램(MD5 : 720c15a4d2fa12c4bb2938420d03ac15)에 대해 살펴보도록 하겠습니다. ▷ 검색 도우미 : Winapp for Windows 버전 1.0.0.2 (2012.6.12) ▷ 검색 도우미 : toastpop 버전 1.0.0.1 (2013.2.28) ▷ 검색 도우미 : homewinsigntool (2013.3.11) ▷ 검색 도우미 : homeappsigntool (2013.3.15) ▷ 검색 도우미 : Microadbar (2013.3.28) 기존에 해당 프로그램과 유사성이 있는 다양한 검색 도우미 프로그램들이..
벌새::Event 2013. 7. 10. 15:17 [이벤트] 네이버(Naver) 해타새 설정 캠페인 (2013.7.10) 국내 포털 사이트 네이버(Naver)에서 2013년 7월 정보보호의 달을 맞이하여 네이버 계정을 악용하는 사이버 범죄 행위에 대한 회원 정보 보호를 위해 "네이버 해타새 설정 캠페인"을 진행하고 있습니다. ▷ 네이버(Naver) 해외 IP 차단 설정 기능 추가 (2013.2.6) ▷ 네이버(Naver) 타지역 로그인 차단 설정 기능 추가 (2013.5.29) ▷ 네이버(Naver) 새로운 기기 로그인 알림 기능 추가 (2013.6.29) 최근까지 네이버(Naver)에서는 안전한 로그인 보안을 위한 목적으로 "해외 지역 로그인 차단, 타 지역 로그인 차단, 새로운 기기 로그인 알림" 기능을 단계적으로 추가한 소식을 전한 적이 있습니다.각각의 로그인 안전 관리 기능을 모두 체크하여 네이버(Naver) 로그인..
벌새::Analysis 2013. 7. 3. 15:42 알약(ALYac) 아이콘으로 위장한 Win-Trojan/Urelas 악성코드 유포 주의 (2013.7.3) 최근 유해 사이트 차단 프로그램으로 알려진 아이세이프플러스(iSafePlus) 프로그램이 설치되는 과정에서 사용자 몰래 "FGSVC32(freeguService32)" 서비스 항목을 등록하는 악성 행위에 대해 소개한 적이 있습니다. ▷ 국내 악성코드 : iSafePlus ver 2.0 (2013.6.30) 당시 분석 시점에서는 등록된 서비스를 통해 자동 실행된 "C:\Program Files\freegu\FGSVC32.exe" 파일(MD5 : e71a83b81b702faa3e183bfc1180ca51 - AhnLab V3 : Trojan/Win32.Agent (VT : 6/47))이 특정 서버에 등록된 freeguService.dat 값을 체크하는 부분에 대해서 언급을 하였지만, 실제적인 다운로드 등의 ..
벌새::Analysis 2013. 7. 2. 00:55 네이버(Naver)에 광고를 생성하는 Lyrics Shout 프로그램 주의 (2013.7.2) 올해(2013년) 국내 인터넷 사용자들 중에서 유독 네이버(Naver) 포털 사이트에 접속할 경우 메인 페이지를 비롯한 각종 서비스 서비스에서 광고 배너가 나타나는 문제가 있다는 글을 볼 수 있었습니다. 해당 광고를 생성하는 프로그램의 정체에 대해 최근까지 알려진 정보는 다음과 같습니다. 다음(Daum) 등 타 포털 사이트에서는 생성되지 않는다. 해외 광고로 추정된다. 브라우저 도우미 개체(BHO) 방식으로 구현된다. 제어판의 삭제 항목에서 쉽게 발견되지 않는다. 이를 근거로 몇 개월 동안 추적하던 중 최근에 무료 VPN 프로그램으로 유명한 Hotspot Shield 사용 중 다운로드되는 파일을 통해 다수의 광고 프로그램이 강제적으로 설치되는 과정에서 네이버(Naver) 웹 사이트에서 광고를 노출하는 파..
벌새::Security 2013. 6. 29. 18:52 네이버(Naver) 새로운 기기 로그인 알림 기능 추가 (2013.6.29) 국내 최대 포털 사이트 네이버(Naver)에서는 회원의 계정 정보 보호를 위해 다양한 로그인 보안 정책을 추가하고 있습니다. ▷ 네이버(Naver) 해외 IP 차단 설정 기능 추가 (2013.2.6) ▷ 네이버(Naver) 타지역 로그인 차단 설정 기능 추가 (2013.5.29) 이미 해외 IP 차단 기능과 국내 IP에서도 지역별 로그인 차단 기능을 추가하여 회원 이외에 외부에서 악의적 목적으로 로그인하는 행위를 차단하려고 노력하고 있습니다. 위와 같은 노력에도 불구하고 사이버 범죄자들은 해외 IP가 차단된 경우 국내의 다양한 지역별 IP를 이용하여 로그인에 성공하고 있기에 최근 "새로운 기기 로그인 알림" 기능을 추가로 제공하기 시작하였습니다."내 정보 보호 → 로그인 관리 → 로그인 안전 관리" 메뉴..

티스토리툴바