본문 바로가기

알약

벌새::Analysis 2012. 8. 9. 13:31 FlashUpdater.exe 파일을 이용한 프로그램 정보 수집 악성코드 유포 주의 (2012.8.9) 최근 네이버(Naver) 블로그의 게시글을 통해 변조된 패스트핑(FastPing) 설치 파일을 첨부 파일로 등록하여 사용자가 실행시 감염을 유도하는 사례가 빈번하게 발생하고 있습니다. 이번에 확인된 악성코드는 Adobe Flash Player 프로그램의 업데이트 파일로 위장하여 사용자가 실행한 응용 프로그램의 정보를 수집하여 외부로 전송하는 기능을 가지고 있습니다. fastpingsetup.exe (MD5 : bad5ef7db4053af8ffa884b29365c423) - AhnLab V3 : Dropper/Win32.Mudrop (VirusTotal : 8/42) 유포 방식을 해킹(?)된 네이버(Naver) 계정 블로그를 이용하여 변조된 패스트핑(FastPing) 설치 파일을 첨부 파일로 등록하고 있습..
벌새::Analysis 2012. 7. 21. 19:47 국내 백신 업데이트를 방해하는 wshtcpip.dll 온라인 게임핵 유포 주의 (2012.7.21) Adobe Flash Player, Oracle JRE 등의 보안 취약점을 이용한 주말 유포 사례에서 감염시 국내 대표적인 백신 프로그램의 업데이트 서버 접속을 방해하는 방식이 지속적으로 발견되고 있습니다. 이로 인하여 감염된 환경에서는 백신 프로그램 동작에는 문제가 없는데 AhnLab V3 백신의 경우 "업데이트 중 오류가 발생했습니다. (-1073741819)" 메시지 표시나 알약(ALYac) 백신에서는 "업데이트 서버와 연결에 실패하였습니다."라는 메시지를 통해 최신 DB 업데이트를 하지 못하도록 업데이트 서버를 차단하는 것을 확인할 수 있습니다. 현재 확인된 이번 주말 유포 행위 중 wshtcpip.dll 시스템 파일 패치를 통해 온라인 게임 계정 정보를 수집하는 악성코드 감염으로 인한 사례를 통..
벌새::Analysis 2012. 7. 16. 22:48 ASD 진단 방해 기능을 추가한 온라인 게임핵 유포 주의 (2012.7.16) 최근 안랩(AhnLab) 백신의 ASD 기능 향상을 통한 진단 능력이 강화되면서 주말을 중심으로 활발하게 유포가 이루어지고 있는 중국발 온라인 게임핵 악성코드가 변화를 시도하였습니다. 이번 변화는 감염시 호스트 파일(C:\WINDOWS\system32\drivers\etc\hosts) 변조를 통해 AhnLab V3 백신 프로그램을 사용하는 사용자가 ASD 서버와 연결되지 못하도록 "127.0.0.1 gms.ahnlab.com"을 추가한 방식이 등장하였습니다. 예를 들어 정상적인 PC 환경에서는 ASD 서버로 핑(Ping)을 전송하면 ASD 서버의 응답을 받을 수 있습니다. 하지만 감염 과정에서 호스트 파일이 변조된 PC 환경에서는 AhnLab V3 백신 프로그램이 ASD 서버에 연결을 시도할 경우, 호스..
벌새::Analysis 2012. 7. 13. 16:59 가짜 Microsoft Internet Explorer 웹 사이트를 이용한 온라인 게임핵 유포 주의 (2012.7.13) 2012년 5월 24일에 해외에서 등록된 가짜 Microsoft Internet Explorer 웹 사이트를 이용하여 Oracle JRE 취약점 및 제공되는 Internet Explorer 9.0 설치 파일을 이용하여 온라인 게임핵을 유포하는 행위를 확인하였습니다. 특히 해당 유포에서는 국내 도메인 서비스를 운영하는 W 업체의 웹로그 서버가 해킹되어 숙주로 악용되는 부분이 확인되고 있습니다. 현재 유포가 이루어지고 있는 웹 사이트 모습을 살펴보면 Microsoft Internet Explorer 웹 사이트처럼 구성되어 있으며, 아마 국내 인터넷 사이트 게시판(게시글) 등을 통해 접속을 유도하지 않았을까 추정됩니다. 해당 웹 사이트에서는 "Internet Explorer 9 다운로드" 버튼을 클릭할 경우 ..
벌새::Analysis 2012. 7. 1. 19:35 WinSocketA.dll 파일을 이용한 LSP(Layered Service Provider) 변경을 하는 악성코드 유포 주의 (2012.7.1) 최근 마이크로소프트(Microsoft)사에서는 Microsoft XML Core Services 취약점을 이용하여 Internet Explorer 웹 브라우저를 이용하여 변조된 웹 사이트에 접속시 원격 코드 실행이 가능한 제로데이(0-Day) 취약점을 이용한 악성코드 유포가 2012년 5월경에 보고되어 현재 보안 패치를 준비하고 있는 상태입니다. ▷ Microsoft 제로데이 취약점 : CVE-2012-1889 (2012.6.13) 하지만 해당 CVE-2012-1889 취약점 코드가 공개되면서 이번 주말 다양한 웹 사이트를 통해 온라인 게임 계정 탈취 또는 백도어(Backdoor) 설치 목적으로 감염을 유발하는 행위가 확인되고 있는 상태입니다. 특히 이번에 유포되는 악성 파일은 과거 악성 파일 감염 기법..
벌새::Analysis 2012. 6. 30. 21:04 교육 기관에 등록된 잘못된 Adobe Reader 설치 파일의 정체 (2012.6.30) 국내 특정 직업전문학교 협의회(2010년 10월 파일 등록), 특정 교육과학기술부 인정 학점은행 원격 교육기관(2011년 4월 파일 등록) 등의 웹 사이트에서 제공하는 Adobe Reader 설치 파일이 정상적인 설치 파일이 아닌 것으로 확인되고 있습니다. 이들 웹 사이트에서는 그림과 같은 형태로 PDF 문서를 보기 위한 Adobe Reader 프로그램을 설치할 수 있도록 설치 파일을 다운로드할 수 있도록 지원하고 있습니다. 하지만 Adobe Reader 설치 파일(MD5 : bf8d54800c6e5510a6464e492844e460)을 다운로드하는 과정에서 알약(ALYac) 보안 제품에서 Trojan.Generic.KD.659654 (VirusTotal : 7/42) 진단명으로 진단되는 동작을 확인할 ..
벌새::Computer & IT 2012. 6. 24. 13:40 JoinsMSN 시작 페이지 고정 문제 해결 방법 최근(2012년 6월 21일경) 웹 브라우저 실행시 JoinsMSN 홈 페이지로 시작 페이지가 고정되는 문제가 발생한다는 정보에 따라 문제의 원인과 해결 방법을 알아보도록 하겠습니다. ▷ JoinsMSN 시작 페이지로 연결되는 문제 (2012.6.23) 최초 해당 현상에 대해 확인 당시에는 Internet Explorer 웹 브라우저의 홈 페이지 기본값(http://go.microsoft.com/fwlink/?LinkId=69157)을 사용하는 사용자에 한하여 발생하는 문제가 아닌가 가장 의심을 하였습니다. 하지만 해당 문제는 (주)이스트소프트 업체에서 제공하는 무료 백신 알약(ALYac) 제품이 최근 알약(ALYac) 2.3 버전으로 업데이트를 하는 과정에서 새롭게 추가한 "홈 페이지 보호 기능"으로 ..
벌새::Analysis 2012. 6. 16. 23:19 안랩(AhnLab) 클라우드 진단을 우회하는 악성코드 유포 주의 (2012.6.16) 최근 디아블로(Diablo) 3 아이템 복사 영상이 인터넷 상에서 유명세를 떨치고 있는 가운데 해당 이슈를 이용하여 악성코드 유포에 활용되고 있다는 소식이 있습니다. ▷ 디아블로3 이슈를 노린 MBR변조 악성코드 주의 (2012.6.12) 실제 알약(ALYac) 공지에서는 감염시 MBR 변조 행위가 포함된 백도어(Backdoor)가 유포되고 있다는 소식을 전하고 있습니다. 그런데 개인적으로 확인한 또 다른 악성코드는 동일한 이슈를 이용하여 안랩(AhnLab) 클라우드 진단을 우회하여 백도어(Backdoor)를 설치하는 사례가 확인되었기에 간단하게 살펴보도록 하겠습니다. 해당 악성코드 유포 방식은 디아블로 3 아이템 복사 영상 게시글을 통해 첨부 파일 형태로 등록된 "디아블로3아이템공속올리기.zip" 파일..

티스토리툴바