본문 바로가기

도메인

벌새::Security 2011. 3. 26. 18:21 NH농협 인터넷 뱅킹 피싱(Phishing) 사이트 주의 (2011.3.26) 오늘 개인 이메일을 통하여 NH농협 인터넷 뱅킹 사이트로 위장한 피싱(Phishing) 사이트를 발견하였다는 제보를 받고 확인을 하였습니다. 참고로 현재 시간 기준으로 국내 IP 사용자는 해당 피싱 사이트 접속이 차단된 것으로 확인이 되고 있으므로 참고하시기 바랍니다. 해당 사이트는 NH농협에서 제공하는 인터넷 뱅킹 사이트로 위장을 하고 있으며, 일반적인 주요 링크는 존재하지 않으며 로그인을 통한 접속을 유도하는 것으로 추정됩니다. 사이트 개설자는 중국인으로 2011년 3월 5일에 등록된 도메인으로 확인이 되고 있으며, 실제 접속 아이피(IP)는 [174.***.9.***]으로 미국(USA)에 위치한 서버로 확인이 되고 있습니다. 해당 사이트의 로그인 화면에서는 사용자 아이디(ID), 주민등록번호, 계좌..
벌새::Analysis 2011. 3. 16. 20:16 검색 도우미 : PlusLook 국내에서 제작되어 Internet Explorer 주소 표시줄 검색 지원을 제공하는 검색 도우미 PlusLook 프로그램에 대해 살펴보도록 하겠습니다. [생성 폴더 / 파일 등록 정보] C:\Program Files\pluslook\juso.dll :: BHO 등록 파일 C:\Program Files\pluslook\pluslook.exe :: 시작 프로그램 등록 파일, 프로그램 삭제 파일 해당 프로그램은 Windows 시작시 pluslook.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다. 프로그램의 기본 기능은 웹 브라우저 주소 표시줄에 특정 검색어를 입력할 경우 프로그램이 제공하는 특정 서버를 경유하여 KT olleh 검색 결과를 보여주도록 되어 있습니다. 하지만, 테스트..
벌새::Security 2011. 3. 4. 20:44 보호나라 백신으로 홍보하는 허위 광고 주의 (2011.3.4) 3월 4일부터 발생하고 있는 DDoS 공격에 편승하여 일부 웹하드 광고가 국내 포털 사이트 스폰서 링크에 등록되면서 네이버 백신(Naver Vaccine) 보안 제품을 [보호나라 백신]이라는 편집된 그림을 포함한 광고가 노출되고 있는 것을 확인하였습니다. 국내 인터넷 사이트 대규모 DDoS 공격 소식 (2011.3.4) DDoS 감염으로 인한 하드 디스크 & 파일 손상 경고 (2011.3.4) 현재 확인된 정보에 의하면 다음(Daum) 포털 사이트 검색을 통해 DDos 검색을 시도할 경우 스폰서 링크에 [보호나라 V3 백신 다운]이라는 명칭으로 보호(boho) 도메인을 포함한 특정 사이트 링크가 존재합니다. 해당 링크는 전형적인 웹하드 광고로 연결되어 [보호나라 V3 백신.zip] 압축 파일을 다운로드하..
벌새::Computer & IT 2011. 1. 20. 14:34 한국장학재단 로그인 문제 해결 방법 정부에서 운영하는 한국장학재단 사이트를 이용하려는 인터넷 사용자 중에서 로그인이 되지 않는 문제로 고생하시는 분들이 계신 것으로 보여 해당 사이트의 로그인 문제에 대해 살펴보도록 하겠습니다. 참고로 해당 사이트를 이용하기 위해서는 반드시 ActiveX 지원을 하는 Internet Explorer를 이용하여 접속을 하시기 바랍니다. 또한 해당 사이트 도메인을 주소창에 입력시 www를 붙이지 않을 경우 웹 페이지를 찾을 수 없다는 메시지가 나오는 것을 확인하였으므로 반드시 접속 도메인에 www를 입력해야 합니다. 해당 사이트 로그인 또는 회원 가입을 시도할 경우 일부 사용자의 경우 그림과 같은 보안 프로그램이 정상적으로 설치되지 않았다는 메시지로 로그인 창이 생성되지 않는 경우가 있는 것으로 파악되고 있습니..
벌새::Computer & IT 2011. 1. 19. 10:44 유효하지 않은 ActiveX를 노출하는 정부 사이트 국가에서 운영하는 도메인(go.kr) 중에서 유효 기간이 지난 디지털 서명이 포함된 ActiveX를 노출하는 사이트가 있는 것을 확인하였습니다. 해당 사이트는 부산에 위치한 특정 자원봉사센터로 사이트 접속시 다음과 같은 유효한(설치 가능한) ActiveX 3개를 사이트 방문자에게 노출하여 설치를 유도하고 있습니다. ExcelExport.cab / eDocEngineX.cab / Rexpert25Viewer.cab 컨트롤러는 모두 해당 사이트에서 제공하는 특정 콘텐츠를 볼 수 있도록 지원하는 플러그인으로 추정되며, 현재 정상적으로 설치가 이루어지고 있습니다.(※ 해당 3개의 ActiveX는 문제가 없으며, 하단의 인증서가 만료된 nprw.cab 업체와는 관계가 없음을 밝힙니다.) 하지만 추가적으로 보안 경..
벌새::Security 2011. 1. 10. 14:32 V3 Lite 보안 제품을 모방한 그리드 제거 프로그램 VG Lite 작년 하반기에 국내 웹하드 등과 같은 서비스에서 그리드(Grid) 서비스를 추가하여 사용자 인터넷 자원을 이용하는 문제에 대하여 인터넷 사용자들이 해당 서비스를 제거할 수 있는 프로그램을 공개한 적이 있었습니다. 비슷한 시기에 네이버(Naver) 카페를 통해 국내 보안 업체 안철수연구소(AhnLab)의 무료 백신 V3 Lite와 유사한 이름과 바로가기 아이콘 등으로 만들어진 VG Lite라는 그리드 제거 프로그램이 등장하게 되어 일부 사용자들이 설치를 하게 된 것으로 보입니다. 해당 프로그램은 현재는 서비스가 중지된 상태이며 실행시 정상적으로 기능은 동작하지만, 프로그램의 삭제 기능을 제공하지 않는 문제가 있기에 살펴보도록 하겠습니다. 프로그램의 설치 단계에서는 안철수연구소 V3 보안 제품 패키지 박스 ..
벌새::Analysis 2011. 1. 10. 00:02 웹하드 종합 포인트핵의 정체 최근 블로그 등을 통해 국내 웹하드 포인트핵으로 위장한 단독 실행 파일이 유포되고 있으며, 해당 파일을 실행할 경우 특정 웹하드에 추천인 아이디 등록을 유도하는 것을 확인하였습니다. 큐다운(QDown) 포인트핵 7.0 버전의 정체 (2010.4.18) 온디스크(OnDisk) 포인트핵의 정체 (2010.5.21) 온디스크(OnDisk) 포인트핵의 정체 2탄 (2010.9.10) 국내 악성코드 : 온디스크(OnDisk) 추천인 아이디 등록을 추가하는 ondisk.exe (2010.10.14) 추천인 아이디는 금전과 연관이 되는 부분으로 예전부터 다양한 형태의 웹하드 포인트핵이 발견되고 있으므로 참고하시기 바랍니다. 이번에 확인된 포인트핵 실행 파일은 그림과 같은 아이콘으로 구성되어 있으며, 해당 파일은 특정..
벌새::Analysis 2011. 1. 3. 15:19 메가VPN(MegaVPN) 서비스를 악용한 악성 프로그램 유포 주의 (2010.1.3) 국내에서 정상적으로 서비스되는 고정 IP 솔루션 프로그램 메가VPN(MegaVPN) 서비스에 악성 프로그램을 추가하여 유포하는 사례가 확인되어 소개해 드리겠습니다. 참고로, 악의적 목적으로 이용되는 메가VPN(MegaVPN) 서비스는 정상적인 서비스임을 분명히 밝힙니다. 해당 유포 도메인에서는 국내 메가VPN 홈페이지에서 제공하는 콘텐츠 일부를 그대로 도용하여 마치 정상적인 서비스로 사용자를 속이고 있습니다. 사이트에서는 해당 프로그램을 이용할 경우 PC방 IP를 개인집에서 이용할 수 있다는 홍보 문구를 통해 광고를 하고 있으며, 첨부 파일을 다운로드할 수 있도록 제공하고 있습니다. 해당 첨부 파일(SHA1 : 2d5fa18ec13a3f55a5420be8d275ff813e2ad5ad)은 안철수연구소(Ah..

티스토리툴바