본문 바로가기

스크립트

벌새::Analysis 2016. 3. 30. 18:57 지속적으로 발견되는 JS 파일을 이용한 Locky 랜섬웨어 정보 (2016.3.30) 여전히 다양한 형태의 메일을 이용하여 첨부 파일에 동봉된 JS 파일을 실행하도록 유도하여 Locky 랜섬웨어(Ransomware) 감염을 유발하는 변종 정보를 살펴보도록 하겠습니다. 스팸 메일에 첨부된 JS 스크립트 파일을 통한 Locky 랜섬웨어 감염 주의 (2016.3.17) 한글 문서(HWP)도 암호화하는 Locky 랜섬웨어 유포 주의 (2016.3.25) 특히 EXE 파일은 실행하지 않는 것과 달리 JS 스크립트 파일은 호기심에 클릭하여 실행할 수 있다는 점에서 메일에 동봉된 첨부 파일 실행은 각별히 주의하시기 바랍니다. (1) 메일 제목 : FW: Payment Receipt 첨부 파일 : PMT610ccb1.js.js (SHA-1 : 3d90e43c4396be5dc347cd2e8640a4660..
벌새::Analysis 2016. 3. 30. 13:16 Windows PowerShell을 이용해 파일 암호화를 시도하는 PowerWare 랜섬웨어 주의 (2016.3.30) Windows 운영 체제에는 기본적으로 시스템 관리용 스크립트 언어를 처리할 수 있는 Windows PowerShell이 기본 장착되어 있으며, 이를 악용한 악성코드가 점차 증가하고 있는 추세라고 합니다. 최근 메일에 동봉된 MS Word 문서(.doc)에 포함된 매크로(Macro) 기능을 통해 실행 파일없이 파일 암호화를 수행하는 Fileless 계열의 PowerWare 랜섬웨어(Ransomware)가 발견되었습니다. Threat Alert: "PowerWare," New Ransomware Written in PowerShell, Targets Organizations via Microsoft Word (2015.3.25) 기존의 랜섬웨어(Ransomware)는 감염 시 악성 실행 파일(.exe)을 ..
벌새::Analysis 2016. 3. 17. 18:14 스팸 메일에 첨부된 JS 스크립트 파일을 통한 Locky 랜섬웨어 감염 주의 (2016.3.17) 문서, 사진, 동영상 등의 파일을 암호화하여 돈을 요구하는 랜섬웨어(Ransomware) 악성코드는 취약점(Exploit)을 이용하여 웹사이트 접속 시 자동으로 감염하는 방식 외에 메일에 동봉된 첨부 파일을 통해 감염을 시킬 수 있습니다. Dridex Botnet Spreading Locky Ransomware Via JavaScript Attachments (2016.3.10) 최근 Dridex 봇넷을 통해 대량의 스팸 메일을 발송하여 메일에 동봉된 첨부 파일을 통해 Locky 랜섬웨어을 감염시키는 사례가 보고되고 있습니다. 국내에서도 2016년 3월 17일 새벽부터 다수의 메일이 발견되고 있기에 간단하게 감염 과정을 살펴보도록 하겠습니다. ● 메일 제목 : RE: KONINKLIJKE KPN NV -..
벌새::Analysis 2016. 1. 28. 21:34 DNS 네임서버 변경을 통한 "Ads by DNSUnlocker" 해외 광고 주의 ● 최초 작성 : 2016년 1월 23일 ● 1차 수정 : 2016년 1월 28일 - 추가적인 정보 수집을 통한 내용 수정 최근 블로그에서 안내하는 Runscanner 프로그램을 통한 악성 프로그램 문의를 받던 중 DNS 네임서버 주소를 변경하여 웹 브라우저 사용시 "Ads by DNSUnlocker" 광고창을 생성하는 행위가 발생하는 부분을 확인하였습니다. Trojan.DNSChanger circumvents Powershell restrictions (2016.1.22) Trojan.DNSChanger 악성코드를 통한 DNS 네임서버 주소 변경을 시도하는 감염 방식에 대한 정보는 이미 공개된 상태이므로 참고하시기 바라며, 이 글에서는 국내 인터넷 사용자 중에서 DNSChanger 악성코드 감염으로 변..
벌새::Software 2015. 6. 30. 20:54 "하우리 바이로봇 7.0" 1년 무료 버전 출시 (2015.6.30) (주)하우리(Hauri) 보안 업체에서 하우리 바이로봇 7.0 버전을 출시하면서 1년 무료 체험판을 사용할 수 있는 기회를 제공하고 있습니다. [제품소식] 최신 바이로봇 7.0 무료버전(1년 체험판) 제공 안내 (2015.6.30) 그동안 ViRobot Internet Security 2011 버전 출시 후 등장한 바이로봇 7.0 버전(※ 기존의 2011 버전은 출시 연도 기준이었지만 해외 제품처럼 매년 출시를 할 수 없는 현실적 문제로 "ViRobot Desktop 5.5 → ViRobot Internet Security 2011 버전(6.0)" 후속 버전으로 출시되었습니다.)에서는 기존의 "BitDefender 엔진 + 자체 엔진" 방식의 듀얼 엔진을 포기하는 대신, "바이로봇 APT Shield 2..
벌새::Analysis 2015. 6. 3. 19:43 토렌트에 포함된 도움말(.chm) 파일을 통한 백도어(Backdoor) 감염 주의 (2015.6.3) 2015년 5월경부터 보고되고 있는 토렌트(Torrent) 파일 공유 방식으로 다운로드된 도움말(.chm) 파일을 통해 백도어(Backdoor) 악성코드를 감염시키는 사례에 대해 살펴보도록 하겠습니다. 안랩, "도움말 파일"로 위장한 토렌트 악성코드 주의보 (2015.6.3) 유포되는 대표적인 토렌트(Torrent) 파일 공유 사이트를 살펴보면 다양한 드라마, 영화 파일에 포함되어 있으며, 대표적으로 "★★감상전에 꼭 필독!!★★.chm" 도움말 파일을 통해 사용자로 하여금 실행하도록 유도하고 있습니다. 동영상 파일과 함께 다운로드된 "★★감상전에 꼭 필독!!★★.chm" 도움말 파일은 2015년 5월 25일경 최초 보고되어 다수의 사용자에게 노출된 것으로 보입니다. 사용자가 "★★감상전에 꼭 필독!!★..
벌새::Analysis 2015. 3. 19. 22:02 싸이월드(Cyworld)를 활용한 국내 광고 프로그램 배포 사례 (2015.3.19) 지속적으로 발견되고 있는 네이버(Naver) 지식iN의 답변글을 통해 다수의 국내 광고 프로그램을 설치하도록 할 목적으로 제작된 파일을 홍보하는 활동이 싸이월드(Cyworld) 서비스를 활용하고 있는 부분을 추가적으로 확인하였습니다. 텀블러(Tumblr)를 활용한 국내 광고 프로그램 배포 사례 (2015.3.18) 네이버 QR코드 주소를 이용한 국내 애드웨어 배포 방식 (2014.2.13) 이번 홍보에서는 Adobe Flash Player 10 버전 다운로드가 필요하다는 홍보성 질문글을 올린 후 다른 아이디(ID)를 이용하여 답변글을 다는 방식이며, 이를 통해 네이버 QR코드가 포함된 링크(URL)를 통해 다음과 같은 특정 네이버(Naver) 블로그 계정으로 연결이 이루어집니다.연결된 네이버 블로그 게시..
벌새::Analysis 2014. 10. 27. 21:26 불법 사이트 접속시 자동 다운로드되는 cassgameInstaller.exe 악성 파일 주의 (2014.10.27) 2014년 9월 9일경부터 특정 불법 게임 사이트 접속시 자동으로 다운로드되는 cassgameInstaller.exe 악성 파일을 통해 특정 게임 및 정보 유출, DDoS 공격 등 다양한 악의적 기능을 수행할 수 있는 악성코드 유포 사례에 대해 살펴보도록 하겠습니다.(※ 해당 정보는 분석글 작성하는 시점에서도 유효한 공격이므로 호기심에 접속하는 일이 없도록 주의하시기 바랍니다.) 문제의 불법 게임 웹 사이트 접속과 동시에 자동으로 웹 서버에서 cassgameInstaller.exe 악성 파일이 다운로드되고 있으며, 실제 웹 사이트를 신뢰하는 불법 도박 게임 이용자는 파일을 실행할 가능성이 존재합니다. [사이트 변조] 제이쿼리(JQuery)함수를 이용한 악성코드 다운로드 방식 주의!! (2014.10.7)..

티스토리툴바