본문 바로가기

알약

벌새::Analysis 2011. 9. 3. 10:40 알약(ALYac) 유사 도메인을 이용한 광고 행위 주의 (2011.9.3) 이스트소프트(ESTsoft)사에서 제공하는 무료 백신 알약(ALYac)과 유사한 도메인을 이용하여 파일 다운로드 유도 및 광고 행위를 하는 것을 확인하였습니다. 유포 방식은 인터넷 게시판 등을 통해 특정 파일 다운로드 링크가 포함되어 있을 것으로 추정되며, 파일 다운로드시 alyackorea.com 도메인을 이용하고 있습니다.(※ 해당 도메인은 2011년 8월 18일 등록) 해당 도메인을 살펴보면 국내 cafe24 웹 호스팅을 통해 서비스가 이루어지고 있으며, 사이트 자체는 Forbidden 상태를 유지하고 있습니다. 해당 도메인을 통해 다운로드된 파일은 [파일전송]이라는 이름으로 등록되어 있으며, 해당 파일(MD5 : 2b1f4f15bd1e1accd34136245da423cf)에 대하여 Kaspersk..
벌새::Analysis 2011. 8. 30. 22:09 언론사 Flash 광고 배너를 통한 악성 iframe 유포 사례 (2011.8.30) 국내 언론 사이트에서 공식적으로 등록되어 있는 Flash 광고 배너 내부에 악성 iframe이 추가되어 있는 것을 확인하였습니다. 해당 사이트 접속시 우측 상단에 등록된 Flash 광고는 언론사에서 공식적으로 광고 계약을 통해 추가된 것으로 보입니다. 그런데 접속시 알약(ALYac) 보안 제품의 BitDefender 엔진을 통해 Trojan.SWF.IFrame.Gen (VirusTotal : 7/44) 진단명으로 휴리스틱 진단을 하고 있는 것을 확인할 수 있습니다. 해당 Flash 파일의 정확한 등록 URL 정보를 확인해보면 외부에 등록된 것이 아닌 언론사 서버에 등록되어 있는 것을 확인할 수 있습니다. 진단된 swf 파일을 확인해보면 자바스크립트(JavaScript) 내부에 iframe을 추가하여 국내..
벌새::Security 2011. 8. 29. 23:26 인도 유명 은행 사이트에서 발견된 악성 스크립트 (2011.8.29) 인도(India)에 위치한 Karnataka Vikas Grameena Bank(KVG Bank) 은행 사이트에 접속할 경우 메인 페이지에 악성 스크립트가 추가되어 있는 사실을 발견하였다는 소식입니다.(※ 현재 시간에도 해당 악성 스크립트는 존재하므로 호기심에 접속하지 않도록 주의하시기 바랍니다.) 현재 시간 해당 은행 사이트에 접속할 경우 알약(ALYac) 보안 제품에서는 BitDefender 엔진을 통해 Trojan.JS.Agent.DYY (VirusTotal : 26/44) 진단명으로 진단을 하고 있습니다. 실제 메인 페이지 소스를 확인해보면 복잡한 난독화로 구성된 악성 자바스크립트(JavaScript)가 포함되어 있는 것을 확인할 수 있습니다. 해당 악성 스크립트의 동작은 은행 사이트에 접속한 사..
벌새::Security 2011. 8. 29. 21:40 국내 무료 백신 알약(ALYac) 2.1.0.1 정식 버전 출시 (2011.8.29) 이스트소프트(ESTsoft) 업체에서 제공하는 국내 무료 백신 알약(ALYac) 보안 제품이 오랜 베타(Beta) 테스트 기간을 마치고 알약 2.1.0.1 정식 버전을 출시하였습니다. 국내 무료 백신 : 알약(ALYac) 2.0 공개용 - 설치 & 프로세스 정보 (2011.3.25) 국내 무료 백신 : 알약(ALYac) 2.0 공개용 - 환경 설정 (1/2) (2011.3.25) 국내 무료 백신 : 알약(ALYac) 2.0 공개용 - 환경 설정 (2/2) (2011.3.26) 국내 무료 백신 : 알약(ALYac) 2.0 공개용 - 실시간 감시 (2011.3.27) 국내 무료 백신 : 알약(ALYac) 2.0 공개용 - 수동 검사 (2011.3.28) 국내 무료 백신 : 알약(ALYac) 2.0 공개용 -..
벌새::Analysis 2011. 8. 16. 01:20 백도어 + 온라인 게임 계정 유출형 악성코드 유포 주의 (2011.8.16) 최근 해킹된 언론 사이트를 통해 유포되는 악성코드 중에서 백도어(원격 제어) 기능과 온라인 게임 계정 정보를 함께 수집하는 혼합된 방식의 악성코드가 발견되고 있습니다. 해킹된 웹 사이트 접속시 보안 취약점을 이용한 백도어 설치 주의 (2011.8.3) 이미 취약점을 이용한 악성코드 감염시 백도어(Backdoor) 기능을 하는 사례가 확인이 되었으며, 이는 네이트닷컴, 싸이월드 해킹처럼 플러스 효과를 노리는 것일 수도 있다고 판단됩니다. Microsoft Internet Explorer 긴급 보안 업데이트 : MS10-018 (2010.3.31) 업데이트 : Adobe Flash Player 10.3.183.5 & Adobe AIR 2.7.1 (2011.8.10) 이번 악성코드 유포 방식은 Internet..
벌새::Analysis 2011. 8. 6. 12:44 블로그 광고 배너를 통한 imm32.dll, xp32.dll 악성코드 유포 (2011.8.6) 최근 3주 연속 주말을 이용하여 국내 블로그에 게시되는 특정 광고 배너를 통한 악성코드 유포 행위가 계속되고 있습니다. 블로그 광고 배너를 통한 온라인 게임 악성코드 유포 (2011.7.24) 블로그 광고 배너를 통한 imm32.dll, shell64.dll 악성코드 유포 (2011.7.30) 해당 유포는 금요일 야간부터 시작되어 월요일 새벽경까지 진단을 우회할 목적으로 2회 이상 변종을 유포하고 있습니다. [악성코드 유포 경로] h**p://banner.**get.co.kr/ads/adgetS2.js ㄴ h**p://bn.weather*.co.kr/kep/meq.html ㄴ h**p://bn.weather*.co.kr/kep/q.html ㄴ h**p://bn.weather*.co.kr/kep/q.js ..
벌새::Security 2011. 8. 5. 02:21 알약(ALYac) 오진 : Trojan.Generic.6003371 (2011.8.5) 국내 무료 백신 알약(ALYac) 보안 제품에서 SoftForum사에서 제공하는 키보드 보안 제품의 설치 파일에 대하여 Trojan.Generic.6003371 진단명으로 오진하는 부분을 확인하였습니다. ● 진단명 : Trojan.Generic.6003371 (BitDefender) ● 진단 파일 MD5 : 5923fb0c6945e0a44b2f7f19a4e2d5c8 해당 오진 부분은 다소 특수한 환경에서 발생하는 것으로 일반적으로 국내 인터넷 사용자들이 가장 많이 사용하는 Internet Explorer 웹 브라우저 환경에서는 발생하지 않습니다. 알약 보안 제품 사용자가 Internet Explorer 웹 브라우저를 이용하여 특정 웹 사이트에 접속시 SoftForum에서 제공하는 Client Keeper..
벌새::Security 2011. 8. 4. 17:43 공개용 알툴즈 제품 긴급 보안 패치 : DLL 업데이트 파일 취약점 (2011.8.4) 2011년 7월 26일경에 발생한 네이트닷컴, 싸이월드 해킹을 통한 3,500만명 개인정보 유출 사고가 발생하였고 현재 감염 경로 등 세부적인 수사가 진행되고 있습니다. 네이트닷컴 3,500만명 개인정보 해킹 사고 발생 (2011.7.28) 그러던 과정에서 네이트 개발자 PC 감염을 유발한 경로가 이스트소프트(ESTSoft) 알툴즈(ALTools) 공개용 소프트웨어가 공용으로 사용하는 DLL 업데이트 파일 취약점을 이용하여 감염시킨 것으로 확인이 되었습니다. SK컴즈 정보유출 관련 ‘알집’ 이스트소프트 압수수색 (2011.8.4) 현재 이스트소프트에서 사용하는 서버 자료에 대한 압수수색이 이루어지고 있는 것으로 알려져 있습니다. [긴급] 공개용 알툴즈 제품 보안 패치 (2011.8.4) 이에 맞춰 이스트..

티스토리툴바