본문 바로가기

안철수연구소

벌새::Analysis 2010. 8. 30. 20:40 국내 악성코드 : Windows Synchronization 서비스 - winsync.exe 국내 블로그를 중심으로 웹하드 또는 게임 관련 패치 파일로 소개를 하면서 마이크로소프트(Microsoft)사에서 제작한 파일로 위장한 상업적 광고 목적의 악성 프로그램에 대해 살펴보도록 하겠습니다. 해당 악성코드는 7월 20일경에 블로그에 등록된 것으로 확인이 되며, 인터넷 사용자들이 많이 찾는 각종 불법 파일로 소개되어 있습니다. 다운로드 파일(MD5 : 1bd9ef37964eac51ad92388d737abcb2)은 Microsoft 업체에서 제공하는 파일로 소개되어 있으며, avast! 보안 제품에서는 Win32:Dropper-gen (VirusTotal : 14/42) 진단명으로 진단되고 있습니다. [생성 파일 진단 정보] C:\Documents and Settings\(사용자 계정)\Local S..
벌새::Analysis 2010. 8. 29. 11:12 악성코드 치료 프로그램 : 클리어 프로(Clear Pro) 국내 J1네트워크 업체에서 서비스하는 유료 악성코드 치료 프로그램 클리어 프로(Clear Pro) 제품에 대해 살펴보도록 하겠습니다. 참고로 해당 프로그램은 추가적으로 프로그램 상에서 VC Clear Pro 이라는 이름으로 표기될 수 있습니다. 해당 프로그램의 설치 파일(MD5 : b2d929ce215988e52d4a47174c284688)은 안철수연구소(AhnLab) V3 보안 제품에서 Malware/Win32.Generic (VirusTotal : 12/41) 진단명으로 사전 차단되고 있으므로 참고하시기 바랍니다. [테스트 환경] ● OS : Windows XP SP3 ● 설치 프로그램 : Setup 설치 파일 (MD5 : b2d929ce215988e52d4a47174c284688) ※ 해당 프로그램..
벌새::Analysis 2010. 8. 26. 19:47 검색 도우미 : Favoclick 국내에서 제작되어 사용자가 웹 브라우저 상에서 특정 검색어를 입력할 경우 팝업 광고가 생성되는 검색 도우미 Favoclick 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 48eb53d9449dfba48d78f99a243de364)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Agent (VirusTotal : 10/42) 진단명으로 처리되고 있으므로 참고하시기 바랍니다. 해당 프로그램은 favoclickup.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다. 프로그램의 기본적인 동작 방식은 웹 브라우저에서 특정 검색어를 입력할 경우 추가적으로 지마켓(GMarket) 사이트가 새 창 열기 방식으로 생성되는 ..
벌새::Analysis 2010. 8. 23. 11:16 Torrent를 이용한 일본 AV 스타 랭킹 관련 악성코드 유포 (2010.8.23) 국내 인터넷 게시판을 통해 일본 AV 스타 랭킹 정보를 다운로드할 수 있다는 내용으로 구성된 토렌트 시드(Torrent Seed) 파일을 이용해 사용자가 악성코드를 다운로드하도록 유도하는 행위를 확인하였습니다. 배포자가 등록한 [일본 av 배우 랭킹 100 검색기]라는 제목의 Seed 파일을 이용해 일본AV랭킹100.exe 파일을 다운로드하도록 유도하고 있습니다. 일본AV랭킹100.exe(MD5 : 9c5feb827f09493a16bcef4c5b9e5b5c) 파일은 오픈 소스(Open Source) 압축 프로그램 7-Zip SFX 압축 파일로 제작되어 있으며, 안철수연구소(AhnLab) V3 보안 제품에서는 Packed/Win32.Black (VirusTotal : 17/40) 진단명으로 진단되고 있습니..
벌새::Analysis 2010. 8. 22. 22:02 Spam 이메일 : 성인 화상 채팅 샘플 동영상 파일로 위장한 악성코드 - LiveCamPlayer.exe (2010.8.22) 최근 국내 인터넷 사용자를 대상으로 성인 화상 채팅 홍보 및 샘플 동영상으로 위장한 스팸(Spam) 이메일을 통해 사용자 시스템을 악성코드로 감염시키는 것을 확인하였습니다. 이메일 방식은 그림과 같이 사용자가 메일을 읽기 위해 열었을 경우 어떠한 정보도 포함되어 있지 않지만, 스크립트에 의하여 사용자가 마우스를 공백에 올려놓았을 경우 특정 도메인이 자동으로 열리도록 제작되어 있습니다. 열린 도메인은 국내 단축 URL로 구성되어 있으며 사용자를 자극하는 샘플 동영상 감상을 원할 경우 해당 광고 배너 또는 문구를 클릭하도록 유도하고 있습니다. 최종적으로 제시되는 사이트에서는 각종 화상 채팅 사이트 바로가기 링크에 추천인 아이디가 포함되어 있으며, 하단의 [샘플 동영상 보기] 버튼을 통해 LiveCamPlay..
벌새::Analysis 2010. 8. 22. 10:49 마이센스(Mysense) 코드를 통한 악성코드 유포 (2010.8.22) 최근 발생한 구글 애드센스(Google Adsense) 부정 클릭 방지 서비스인 마이센스(Mysense) 코드에 악성 iframe을 추가하여 악성코드를 유포하는 행위가 이번 주말에 재발생하고 있는 부분을 확인하였습니다. 마이센스(Mysense) 코드를 통한 블로그 악성코드 유포 문제 안내 (2010.8.17) 사용자가 마이센스에서 발급받은 스크립트 소스 [h**p://adsystem.kr/adinfo/mysense.js.html?id=(사용자 ID)&time=(시간)&count=(횟수)] 내부에 악성 iframe을 추가하여 해킹된 국내 J 웹하드 업체 서버에서 각종 악성 스크립트와 온라인 게임 계정 탈취 목적의 트로이목마를 다운로드하도록 구성되어 있습니다. [악성코드 유포 경로] h**p://****.j..
벌새::Analysis 2010. 8. 18. 22:04 검색 도우미 : 위즈팝(WizPop) 국내에서 제작된 검색 도우미 위즈팝(WizPop) 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : aa82f5201d44a22889ba7afa31f8d332)에 대하여 Kaspersky 보안 제품에서는 Trojan-Downloader.Win32.Genome.ayiv (VirusTotal : 7/41) 진단명으로 진단되고 있으므로 참고하시기 바랍니다. 해당 프로그램은 Windows 시작시 WizPop.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다. [WizPop.exe 네트워크 연결 정보] GET /core/ver/update_i001.html HTTP/1.1 User-Agent: WizPop Host: wiz***.co.kr GET /core/xm..
벌새::Analysis 2010. 8. 17. 23:55 네이트온(NateOn) 메신저 악성코드 : vfkdls.exe (2010.8.17) 네이트온(NateOn) 메신저를 통해 유포되는 것으로 알려진 온라인 게임 계정 정보 수집을 목적으로 한 vfkdls.exe 악성 파일이 최근 꾸준히 유포되고 있는 것을 확인하였습니다. [악성코드 유포 경로] h**p://www.tvnx****.com ㄴ h**p://www.mirror*****.com/14sjdfpg/vfkdls.exe 네이트온 메신저를 이용한 대화창, 쪽지 등을 통해 악의적인 링크를 통해 사이트 접속을 유도하여 최종적으로 다운로드되는 vfkdls.exe(MD5 : 7a45c1b1374b00c6db6eadd77a05b207) 파일은 그림 파일 아이콘으로 위장하여 사용자 눈을 속이고 있습니다. 해당 파일에 대해서는 현재 안철수연구소(AhnLab) V3 보안 제품에서 Dropper/Malwa..

티스토리툴바