본문 바로가기

알약

벌새::Analysis 2016. 1. 6. 18:59 악성 iFrame 코드가 추가된 오래된 Excel 문서 (2016.1.6) 2015년 12월 다수의 Excel 문서가 포함된 압축 파일을 첨부하여 메일 문의가 들어왔고, 내용인즉 국내 모 Excel 커뮤니티의 강좌 게시판에 등록된 Excel 문서를 다운로드했는데 다수의 백신에서 진단하기에 국내 보안 업체와 저에게 문의를 하신 듯합니다. 해당 커뮤니티를 살펴보면 2013년 4월경 바이러스에 감염된 파일로 인하여 강좌 게시판을 임시 폐쇄한다는 공지를 확인할 수 있었습니다. 첨부 파일로 수신된 Excel 문서(AhnLab V3 : HEUR/Iframe, 알약(ALYac) : Trojan.Iframe.LI, Kaspersky : Trojan.HTML.IFrame.ej)를 확인해보면 함수 관련된 문서이며 테스트 당시에는 문서를 오픈한다고 악의적인 행위는 발견되지 않고 있습니다. h**p..
벌새::Analysis 2015. 12. 28. 21:45 .RRK 확장명으로 암호화하는 Radamant 랜섬웨어(Ransomware) 국내 유포 주의 (2015.12.28) 최근 해외에서 새롭게 발견된 Radamant 랜섬웨어(Ransomware)가 보안 패치를 제대로 하지 않은 국내 인터넷 사용자를 표적으로 한 유포가 이루어지기 시작하였다는 소식입니다. 한국형 랜섬웨어(Ransomware) Crypt0L0cker 악성코드 감염 주의 (2015.4.21) Radamant 랜섬웨어의 특징은 클리앙 커뮤니티를 통해 유포되었던 Crypt0L0cker 랜섬웨어(Ransomware)와 유사하게 파일 암호화 후 제시되는 메시지에 한국어가 포함되어 있다는 점입니다. 현재 악의적으로 조작된 특정 웹 사이트에 접속한 사용자 중 보안 취약점을 가진 환경인 경우 BIN 파일 확장명을 가진 악성 파일(SHA-1 : 1342c73988d14213691f8dbee3781424553ff76d - Ka..
벌새::Software 2015. 12. 23. 19:12 랜섬웨어 차단 알림 기능이 추가된 알약(ALYac) 무료 백신 (2015.12.23) (주)이스트소프트(ESTsoft) 업체에서 제공하는 알약(ALYac) 무료 백신에 랜섬웨어(Ransomware) 악성코드 감염을 통해 파일 암호화가 발생할 경우 자동으로 차단하는 "랜섬웨어 차단" 기능이 추가되었습니다. 알약 랜섬웨어 차단기능 추가! (2015.12.23) 추가된 랜섬웨어 차단 기능은 알약(ALYac) 무료 백신에서 진단할 수 없는 랜섬웨어(Ransomware) 악성코드에 감염된 후 사용자 파일(문서, 동영상, 사진, 음악 등)이 암호화되는 것을 방지하는 기능을 제공합니다. 실제 랜섬웨어(Ransomware) 악성코드를 이용하여 테스트를 진행해보면 파일 암호화를 진행하는 의심 행위가 발견될 경우 "랜섬웨어 차단 알림" 창을 생성하여 악성 파일(dianu-a.exe)을 차단하는 것을 알 수..
벌새::Analysis 2015. 12. 7. 19:09 네이버 지식인 답변을 통한 메일 문의 접근 주의 (2015.12.7) 최근 네이버(Naver) 지식인에 올라온 질문에 특정 이메일 주소로 문의해달라고 접근하는 사용자가 있어 주의가 요구됩니다. 작성된 사례를 살펴보면 질문에 대한 답변은 전혀 달지 않고 메일로 문의를 해달라는 글만을 남기는 방식으로 활동을 하고 있습니다. Adube+Flash+Air+Update.exe (SHA-1 : 4d59afc385903e90b1e251779630e6fdec01178e) - AhnLab V3 : Win-Trojan/Cson.179181 메일 문의를 요구하는 사용자의 블로그를 확인해보면 2015년 7월 16일경 작성된 게시글에 방화벽과 백신을 끈 상태로 첨부 파일을 다운로드하여 실행하도록 유도하고 있으며, 첨부 파일은 중국(China)에서 제작된 툴로 생성된 악성 파일이 존재합니다. 어이..
벌새::PUP Info 2015. 11. 17. 21:43 검색 도우미 : Windows GearExtion - gemegpnvup.exe (2015.11.17) ◇ 광고 프로그램 삭제 관련 문의 방법 인터넷 검색 및 웹 사이트 접속 과정에서 다양한 광고창 생성이 이루어질 수 있는 국내에서 제작된 "Windows GearExtion" 광고 프로그램의 변종 정보가 확인되어 살펴보도록 하겠습니다. 검색 도우미 : Windows GearExtion (2014.1.23) 해당 광고 프로그램은 "GearExtention for Windows (x86,x64)" 이름으로 배포된 적이 있으며, 변종에 따라 다양한 서비스, 작업 스케줄러 값으로 등록되어 동작할 수 있습니다. 설치 과정을 살펴보면 배포 파일 실행을 통해 gearext_inst.zip 압축 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\gearext_inst.exe" 파일을..
벌새::Analysis 2015. 11. 10. 14:30 공용 와이파이 접속시 유포되는 Skype Voice 악성앱 주의 (2015.11.10) 최근 인천 모 커피 전문점에서 제공하는 와이파이(Wi-Fi)에 접속할 경우 APK 파일을 자동으로 다운로드하는 부분에 대한 이메일 문의가 들어와서 살펴보도록 하겠습니다. Skype+Voice.apk (SHA-1 : bf30aa31f2e7a6ada4c3c47dc2b3421fd3bdcc47) - 알약(ALYac) : Trojan.Android.SMS.Stech.Gen, avast! : Android:SpyVmvol-A [PUP] 다운로드된 Skype+Voice.apk 파일은 스카이프(Skype) 아이콘 모양으로 위장하고 있으며, 단순히 APK 파일이 다운로드되었다고 악성앱에 감염된 것은 아니므로 파일을 찾아 삭제해 주시면 됩니다.
벌새::Analysis 2015. 10. 23. 21:56 고클린 업데이트 기능을 이용한 파밍(Pharming) 악성코드 유포 주의 (2015.10.23) 국내 최대 사용자 수를 가지고 있는 고클린(GoClean) PC 최적화 프로그램이 최근 해킹되어 업데이트 서버를 통해 파밍(Pharming) 악성코드를 유포한 것으로 확인되고 있습니다. 고클린 서버 해킹에 따른 보고 및 사과문 (2015.10.23) 고클린 2.4.4 가짜 업데이트 하면 파밍 금융감독원 뜨네요! MZK로 치료!! (2015.10.23)
벌새::Analysis 2015. 10. 19. 19:32 검색 도우미 : cleversearchgt 인터넷 검색 키워드 값을 감시하여 "열린 주소창 검색(dns.ktguide.com)"으로 연결을 시도할 수 있는 국내에서 제작된 cleversearchgt 광고 프로그램에 대해 살펴보도록 하겠습니다. 검색 도우미 : searchgoo - searchgooys (2013.12.29) 외 35건 검색 도우미 : WinsearchOpen (2014.7.30) 외 6건 검색 도우미 : snbmedia (2015.4.20) 검색 도우미 : searchrun (2015.9.3) 검색 도우미 : MSUTIL (2015.9.10) 해당 프로그램은 2012년 11월경부터 배포가 이루어졌던 것으로 보이며, 유사한 기능을 가진 다양한 변종이 발견되고 있으므로 참고하시기 바랍니다. 설치 과정을 살펴보면 배포 파일 실행을 통해..

티스토리툴바