본문 바로가기

오류창

벌새::Analysis 2012. 9. 28. 16:35 윈도우 최적화 프로그램을 이용한 백도어(Backdoor) 유포 주의 (2012.9.28) 다수의 도용된 네이버(Naver) 계정을 이용하여 네이버 카페를 중심으로 윈도우 최적화 프로그램을 위장한 악성 파일이 전파되는 것을 확인하였습니다. 유포 방식을 살펴보면 네이버 카페에 그림과 같은 그림 배너를 등록하고 컴퓨터 보안을 위해 클릭을 하도록 유도하고 있습니다. 그림 배너를 클릭할 경우 특정 웹 호스팅 서버 계정에 등록된 "윈도우최적화.exe" 파일(MD5 : e81a10c0c7aeacbc83837f3898cc7b21)이 다운로드되는 것을 확인할 수 있으며, 해당 파일에 대하여 AhnLab V3 보안 제품에서는 ASD.Prevention (VirusTotal : 3/43) 진단명으로 진단되고 있습니다. 참고로 해당 파일은 2012년 9월 25일 오후 11경부터 파일의 존재가 확인되고 있는 것으로..
벌새::Analysis 2012. 9. 16. 23:08 검색 도우미 : MicroNames Multi Language Convert Service 3.0 + Windows multi Convert Retain 인터넷 검색시 광고창을 생성하는 검색 도우미 "MicroNames Multi Language Convert Service 3.0 + Windows multi Convert Retain" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 0292835b085f2ef46f57a651fa96a73b)에 대하여 Kaspersky 보안 제품에서는 not-a-virus:AdWare.Win32.Hebogo.v (VirusTotal : 5/42) 진단명으로 진단되고 있습니다. ▷ 검색 도우미 : 외국어 자동 번역 검색 서비스(Micronames Multi Language Convert Service) (2010.8.14) ▷ 검색 도우미 : Micronames Multi Language Co..
벌새::Analysis 2012. 9. 10. 20:08 국내 악성코드 : EBcds Uninstall 국내에서 제작된 "Windows nupjinsys x86" 악성 프로그램을 이용하여 사용자 몰래 설치가 이루어지는 "EBcds Uninstall" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 07a3273b9918b7ecbd2a22b3a8e61bc1)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.104348 (VirusTotal : 4/42) 진단명으로 진단되고 있습니다. [생성 폴더 / 파일 등록 정보] C:\Program Files\EBcds C:\Program Files\EBcds\EBcds.exe C:\Program Files\EBcds\EBcdssvc.exe :: 서비스(사용자 프로그램 업데이트) 등록 파일 C:\Program File..
벌새::Analysis 2012. 8. 26. 13:43 CPU-Z 한글판을 이용한 "사용자 업데이트 컨트롤(User dnControler manager)" 유포 주의 (2012.8.26) 국내에서는 수익성 프로그램의 배포를 목적으로 정상적인 소프트웨어의 설치 파일을 변경하여 설치 과정에 업데이트(다운로드) 기능을 가진 프로그램을 설치하는 사례가 지속적으로 늘어나고 있는 것으로 보입니다. 특히 유명 소프트웨어 홈 페이지와 유사한 도메인을 이용하여 사용자에게 혼동을 유발하는 사례도 있으며, 이번 시간에는 CPU-Z 한글판을 이용하여 배포되는 사례를 살펴보도록 하겠습니다. 배포 사이트를 살펴보면 "CPU-Z 한글 버전 다운로드" 홈 페이지를 제작하여 설치 파일을 다운로드할 수 있도록 구성되어 있습니다. h**p://www.**link.co.kr/download/cpu-z_1.56-32bits.exe (MD5 : 1267525d040d53b259f8dc4fd2c4adc4) - AhnLab V3 ..
벌새::Analysis 2012. 8. 3. 15:20 국내 악성코드 : elcnt Library 출처를 알 수 없는 파일을 통해 국내에서 제작된 검색 도우미 "Internet gold-bar Client" 프로그램을 사용자 몰래 설치하는 것으로 추정되는 "elcnt Library" 프로그램에 대해 살펴보도록 하겠습니다. ▷ 검색 도우미 : Internet gold-bar Client (2012.6.17) 해당 프로그램의 설치 파일(MD5 : cdab5fbbc3905e5b9f1f0b00293430f6)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Gold-Bar.147334 (VirusTotal : 22/41) 진단명으로 진단되고 있습니다. [생성 폴더 / 파일 등록 정보] C:\Program Files\gbncount C:\Program Files\gbncount\gb_uninst..
벌새::Analysis 2012. 7. 12. 12:53 한게임 포커(Poker)를 노리는 백도어 유포 주의 (2012.7.12) 예전부터 국내 광고 프로그램 등의 유포 경로를 통해 한게임(HanGame)을 노리는 백도어(Backdoor) 유포 행위가 심심찮게 발견이 되고 있었으며 유포 주기도 매우 짧은 형태로 치고 빠지는 것으로 보입니다. 이번에 살펴볼 유사한 변종은 Anti-VM 기법을 이용하여 가상 환경에서 분석을 어렵게 하고 있으며, 국내 특정 개인정보 확인 프로그램의 모바일 관련 코드로 추정되는 URL 주소가 포함되어 있는 것이 특징입니다. 유포지를 확인해보면 특정 업데이트 서버에 인터넷 쇼핑몰 바로가기 아이콘을 생성하는 광고 프로그램과 함께 특정 카페24(Cafe24) 웹 호스팅 서버에 "teask"라는 프로그램으로 등록된 형태로 등록되어 있습니다. 이를 통해 외부의 어떤 프로그램은 업데이트를 시도하는 과정에서 해당 악성..
벌새::Analysis 2012. 5. 28. 15:07 제휴(스폰서) 프로그램 : Winzero Uninstall 시스템 시작시 시작 프로그램과 서비스 등록을 통한 팝업창 생성 및 업데이트를 통해 추가적인 수익성 프로그램을 설치할 가능성이 존재하는 "Winzero Uninstall" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 35ba53f6aeb6b38c1107018f271189af)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Winzrt.137159 (VirusTotal : 16/42) 진단명으로 진단되고 있습니다. ▷ 제휴(스폰서) 프로그램 : Windows zera (2012.5.28) 또한 기존의 동일한 기능을 가진 "Windows zera" 프로그램의 변형된 버전으로 확인되고 있으므로 참고하시기 바랍니다. [생성 폴더 / 파일 등록 정보] C:\Progr..
벌새::Analysis 2012. 5. 27. 13:37 제휴(스폰서) 프로그램 : Microclient update service x86 글자수 세기 프로그램을 설치하여 시스템 시작시 업데이트 기능을 통해 추가적인 수익성 프로그램의 설치를 유도하는 "Microclient update service x86" 프로그램에 대해 살펴보도록 하겠습니다. ▷ 제휴(스폰서) 프로그램 : MicroClient x86 (2012.5.26) 해당 프로그램의 이름은 마치 마이크로소프트(Microsoft) 관련 프로그램으로 사용자를 혼동시킨다는 점에서 기존의 MicroClient x86 프로그램의 변형된 버전으로 추정됩니다. 해당 프로그램의 설치 파일(MD5 : 75ca53ef4d1fb8571ff990634d08c63d)을 이용하여 수동 설치를 진행할 경우에는 그림과 같은 이용약관 창을 통해 "문자열 세기 프로그램"을 설치한다고 안내하고 있습니다. 하지만 다수..

티스토리툴바