본문 바로가기

레지스트리

벌새::Analysis 2013. 1. 7. 18:50 Getggin 홈 페이지 변경 프로그램을 이용한 악성코드 유포 주의 (2013.1.7) 최근 국내에서 제작된 코덱 프로그램을 통해 배포가 이루어지고 있는 "Getggin 홈 페이지(시작 페이지) 변경 프로그램"을 통해 추가적인 악성코드를 설치하는 동작이 확인되고 있습니다.프로그램의 배포는 2013년 1월 3일경부터 이루어지기 시작한 것으로 보이며, "Getggin 홈 페이지 변경 프로그램"의 설치 파일(MD5 : e519569d04082b1a9c5e30a04503992c)에 대하여 Microsoft 보안 제품에서는 Trojan:Win32/Comitsproc (VirusTotal : 10/46) 진단명으로 진단되고 있습니다.다운로드된 설치 파일(getggin_x86_2.exe)은 "nzinsoft Co., ltd" 디지털 서명이 포함되어 있으며, "getggin Start Linker" 파일..
벌새::Computer & IT 2012. 11. 3. 22:42 폴더 옵션의 "숨김 파일 및 폴더" 복원 방법 최근 온라인 게임핵(OnlineGameHack) 악성코드 유포를 통해 감염된 PC 환경에서 사용자가 악성 파일을 찾지 못하게 할 목적으로 폴더 옵션의 "숨김 파일 및 폴더" 항목 자체를 보이지 않도록 레지스트리 조작을 시도하는 부분을 확인하였습니다. ▷ 폴더 옵션의 "숨김 파일, 폴더 및 드라이브 표시" 복원 방법 (2012.3.7) 참고로 많은 악성 파일들은 자신의 존재를 숨기기 위하여 폴더 옵션 중 "숨김 파일 및 폴더 표시 (Windows XP 기준)" 또는 "숨김 파일, 폴더 및 드라이브 표시 (Windows 7 기준)" 항목을 제거하는 문제에 대한 복원 방법을 소개한 적이 있습니다. 하지만 이번에는 "숨김 파일 및 폴더" 값 자체를 폴더 옵션에서 보이지 않도록 레지스트리 값을 조작하는 방식으로 ..
벌새::Analysis 2012. 7. 7. 01:41 다운로드 도우미 : 인터넷다운로드(InternetDownload) 인터넷 상에서 파일을 다운로드할 경우 "인터넷다운로드" 창을 생성하여 파일을 다운로드하는 과정에서 광고 배너 노출 및 추가적인 수익성 프로그램 설치를 유도하는 "인터넷다운로드(InternetDownload)" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 7044276af402e9f6910c574111502471)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.179808.A (VirusTotal : 5/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다. ▷ 제휴(스폰서) 프로그램 : 파일겟(Fileget) (2010.7.26) ▷ 제휴(스폰서) 프로그램 : 파일다운(FileDown) 다운로드 도우미 (2010.12.21) ▷ 제휴(스폰서) ..
벌새::Analysis 2012. 7. 6. 11:17 Media vision 검색 도우미 프로그램 삭제 주의 (2012.7.6) 최근 국내에서 제작된 "Media vision" 프로그램을 Windows XP 운영 체제에서 제어판을 통해 삭제를 시도할 경우, 프로그램 삭제 정보를 저장하고 있는 레지스트리 값(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall) 자체를 제거하는 문제로 시스템에 문제를 유발하는 부분을 발견하였습니다. 또한 Windows 7 운영 체제에서는 제어판을 통한 프로그램 삭제가 진행되지 않는 문제가 발견되고 있습니다. 참고로 해당 프로그램의 설치 파일(MD5 : aff55e9bdc060f49ca8b117c9a367324)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.1505280 (VirusTotal : 28..
벌새::Analysis 2012. 7. 1. 19:35 WinSocketA.dll 파일을 이용한 LSP(Layered Service Provider) 변경을 하는 악성코드 유포 주의 (2012.7.1) 최근 마이크로소프트(Microsoft)사에서는 Microsoft XML Core Services 취약점을 이용하여 Internet Explorer 웹 브라우저를 이용하여 변조된 웹 사이트에 접속시 원격 코드 실행이 가능한 제로데이(0-Day) 취약점을 이용한 악성코드 유포가 2012년 5월경에 보고되어 현재 보안 패치를 준비하고 있는 상태입니다. ▷ Microsoft 제로데이 취약점 : CVE-2012-1889 (2012.6.13) 하지만 해당 CVE-2012-1889 취약점 코드가 공개되면서 이번 주말 다양한 웹 사이트를 통해 온라인 게임 계정 탈취 또는 백도어(Backdoor) 설치 목적으로 감염을 유발하는 행위가 확인되고 있는 상태입니다. 특히 이번에 유포되는 악성 파일은 과거 악성 파일 감염 기법..
벌새::Analysis 2012. 6. 18. 22:46 검색 도우미 : Windows Assist Service Internet Explorer 웹 브라우저의 주소 표시줄에 검색 키워드를 입력할 경우 광고가 생성되거나 인터넷 검색 중 광고창이 생성될 것으로 추정되는 검색 도우미 "Windows Assist Service" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 5162adf9e2132729d6f2f094d7ab5c48)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.WAS (VirusTotal : 5/42) 진단명으로 진단되고 있습니다. 프로그램 설치 과정에서 특정 서버로 사용자 Mac Address 값과 OS 정보를 체크하는 동작을 확인할 수 있습니다. 기존의 다양한 검색 도우미 프로그램에서 OS 값을 체크하는 경우가 드물었기에 Windows XP 이외에 Win..
벌새::Analysis 2012. 6. 16. 12:51 [삭제] bounce.exe 국내에서 제작된 광고 프로그램의 업데이트 기능을 이용하여 사용자 동의없이 몰래 설치되는 것으로 알려진 OpenPot 계열의 삭제 기능을 제공하지 않는 Bounce.exe 파일에 대해 살펴보도록 하겠습니다. ▷ 국내 악성코드 : OpenPot - Sysmax.exe (2012.1.29) 해당 프로그램은 기존에 소개한 Sysmax.exe 악성 파일과 유사성이 강하므로 참고하시기 바라며, 설치 파일(MD5 : 5895c5a1b4843070b2c60b7d1da53947)에 대하여 Kaspersky 보안 제품에서는 Trojan.Win32.Agent.smjj (VirusTotal : 1/42) 진단명으로 진단되고 있습니다. GET /bounce/bounce.zip HTTP/1.1 Content-Type: text/..
벌새::Analysis 2012. 6. 10. 21:19 alexa 프로그램으로 위장한 WindowsDriver.dll 악성 파일 유포 주의 (2012.6.10) 이번 주말을 이용하여 파일 다운로더 프로그램에 추가된 제휴(스폰서) 프로그램 중 "랭킹 순위 프로그램"으로 등록된 악성 프로그램을 통한 유포 행위가 기존의 WindowsLive.dll 파일에서 WindowsDriver.dll 파일로 변경이 이루어진 것을 확인하였습니다. ▷ 랭킹 순위 프로그램으로 위장한 백도어 유포 주의 (2012.6.8) 이번에 추가로 확인된 변종의 설치 파일은 7종으로 파일 정보 및 진단 상태는 다음과 같습니다. h**p://112.***.245.***/u/a.exe (MD5 : 7184b4101ba67c0e5db72abc9e0053f2) - Kaspersky : Trojan-Dropper.Win32.Agent.gupx (VirusTotal : 12/41) h**p://112.***...

티스토리툴바