본문 바로가기

패치

벌새::Analysis 2012. 8. 18. 22:26 usp10.dll + ws2help.dll 파일을 이용한 온라인 게임 악성코드 유포 주의 (2012.8.18) 2012년 8월 초부터 온라인 게임 악성코드 유포에 usp10.dll 시스템 파일로 위장한 방식을 이용하는 행위가 확인되었으며, 이번 주말에는 대량의 usp10.dll 복제 파일 생성과 중복 감염을 유발하는 방식으로 감염 PC를 유지하려는 사례에 대해 살펴보도록 하겠습니다. 원래 usp10.dll 시스템 파일을 악용한 사례는 기존에도 존재하였던 것으로 알고 있으며, 정상적인 시스템에서는 "C:\WINDOWS\system32\usp10.dll" 파일(Uniscribe Unicode script processor) 위치에 존재합니다. 또한 그 외의 응용 프로그램 폴더(※ MS Office 폴더) 및 윈도우 폴더에 usp10.dll 파일이 존재할 수 있습니다. ▷ lpk.dll, usp10.dll 시스템 파일..
벌새::Analysis 2012. 7. 23. 01:06 국내 압축 프로그램 업데이트를 통한 온라인 게임핵 유포 주의 (2012.7.23) 국내에서 제작된 유명 압축 프로그램의 업데이트 기능을 이용하여 온라인 게임핵 악성코드 유포 행위가 확인되었습니다. 해당 감염 방식을 살펴보면 압축 프로그램의 파일 변조 방식이 아닌 프로그램 설치 완료 후 자동 업데이트 체크 또는 기존에 설치된 프로그램 환경에서 업데이트 체크(updater.exe)를 시도할 경우 감염이 이루어질 수 있습니다. 이를 통해 해당 압축 프로그램 사용자의 PC 환경이 MS Windows, Adobe Flash Player, Oracle JRE 보안 패치가 제대로 이루어지지 않은 경우 자동으로 감염이 이루어질 수 있으며, 최종 다운로드 파일(MD5 : fabf021c72bb5a5e834383f5f260aae6)에 대하여 AhnLab V3 보안 제품에서는 Dropper/Win32.O..
벌새::Analysis 2012. 7. 21. 19:47 국내 백신 업데이트를 방해하는 wshtcpip.dll 온라인 게임핵 유포 주의 (2012.7.21) Adobe Flash Player, Oracle JRE 등의 보안 취약점을 이용한 주말 유포 사례에서 감염시 국내 대표적인 백신 프로그램의 업데이트 서버 접속을 방해하는 방식이 지속적으로 발견되고 있습니다. 이로 인하여 감염된 환경에서는 백신 프로그램 동작에는 문제가 없는데 AhnLab V3 백신의 경우 "업데이트 중 오류가 발생했습니다. (-1073741819)" 메시지 표시나 알약(ALYac) 백신에서는 "업데이트 서버와 연결에 실패하였습니다."라는 메시지를 통해 최신 DB 업데이트를 하지 못하도록 업데이트 서버를 차단하는 것을 확인할 수 있습니다. 현재 확인된 이번 주말 유포 행위 중 wshtcpip.dll 시스템 파일 패치를 통해 온라인 게임 계정 정보를 수집하는 악성코드 감염으로 인한 사례를 통..
벌새::Analysis 2012. 7. 16. 22:48 ASD 진단 방해 기능을 추가한 온라인 게임핵 유포 주의 (2012.7.16) 최근 안랩(AhnLab) 백신의 ASD 기능 향상을 통한 진단 능력이 강화되면서 주말을 중심으로 활발하게 유포가 이루어지고 있는 중국발 온라인 게임핵 악성코드가 변화를 시도하였습니다. 이번 변화는 감염시 호스트 파일(C:\WINDOWS\system32\drivers\etc\hosts) 변조를 통해 AhnLab V3 백신 프로그램을 사용하는 사용자가 ASD 서버와 연결되지 못하도록 "127.0.0.1 gms.ahnlab.com"을 추가한 방식이 등장하였습니다. 예를 들어 정상적인 PC 환경에서는 ASD 서버로 핑(Ping)을 전송하면 ASD 서버의 응답을 받을 수 있습니다. 하지만 감염 과정에서 호스트 파일이 변조된 PC 환경에서는 AhnLab V3 백신 프로그램이 ASD 서버에 연결을 시도할 경우, 호스..
벌새::Analysis 2012. 6. 4. 11:58 HIMYM.DLL, V3LiveRun.exe 파일을 이용한 온라인 게임 악성코드 유포 주의 (Windows 7) 주말을 기점으로 활발하게 유포가 이루어지고 있는 온라인 게임 계정 탈취 목적의 악성코드는 일반적으로 Windows XP 운영 체제에서는 시스템 파일(imm32.dll, ws2help.dll, wshtcpip.dll 등)을 패치하는 방식을 이용하여 치료에 많은 어려움이 발생하고 있습니다. ▷ Windows Vista, 7 사용자를 대상으로 감염시키는 온라인 게임핵 악성코드 발견 (2012.2.27) 이에 반하여 Windows Vista와 Windows 7 운영 체제에서는 강화된 보안 기능으로 인하여 시스템 파일 패치 방식으로는 감염이 이루어지지 않고 있으며, 안랩(AhnLab) 정보에 따르면 2012년 2월 하순경부터 Windows Vista와 Windows 7 운영 체제에서도 감염이 이루어지는 사례를 확..
벌새::Analysis 2012. 6. 3. 15:34 톡플레이어(TokPlayer) 설치 파일 변조를 통한 온라인 게임 악성코드 유포 주의 (2012.6.3) 주말마다 해킹된 웹 사이트 변조를 통해 온라인 게임 계정 정보를 탈취할 목적으로 유포가 이루어지는 방식이 최근 정상적인 소프트웨어의 설치 파일을 변조하는 방식으로 배포되고 있는 것이 확인되었습니다. 이번에 확인된 소프트웨어는 톡플레이어(TokPlayer) 홈 페이지에 등록된 동영상 재생 프로그램 설치 파일 중 32비트용 설치 파일을 변조하여 설치시 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일 패치를 통한 악의적인 동작이 이루어집니다.(※ 현재 글 작성 시점에서 여전히 유포가 이루어지고 있으므로 호기심에 파일을 다운로드하여 실행하는 일이 없도록 주의하시기 바랍니다.) 설치 파일을 비교해보면 우측의 정상적인 64비트 톡플레이어(TokPlayer..
벌새::Security 2012. 5. 3. 10:59 업데이트 : NateOn 4.1.10.0 (2290) 국내 SK Communications 업체에서 서비스하는 네이트온(NateOn) 메신저가 보안 취약점 문제 해결 및 메신저 파일 변조와 관련된 보안 조치가 이루어진 NateOn 4.1.10.0 (2290) 버전을 업데이트하였습니다. 파일전송 보안 취약점 패치 네이트온 파일 변조시 경고 제공 및 업그레이드 처리 나에게 보내기 수정 그룹대화 창닫기 메시지 변경 공지사항 디자인 변경 이번 업데이트 세부 정보를 확인해보면 네이트온(NateOn) 메신저를 이용한 파일 전송시 발견된 보안 취약점 문제를 해결하였으며, 추가적으로 네이트온(NateOn) 메신저 파일이 변조된 경우 경고창 생성 및 업그레이드(Upgrade)를 통해 변조된 파일을 정상적인 파일로 교체를 하도록 하였습니다. 실제 들은 정보에 의하면 악성코드..
벌새::Analysis 2012. 4. 29. 02:30 패스트핑(FastPing) 프로그램 설치시 NHN 파일로 위장한 악성코드 감염 주의 (2012.4.29) 최근 네이버(Naver) 블로그에 게시된 패스트핑(FastPing) 프로그램을 다운로드하여 실행시 사용자 몰래 루트킷(Rootkit) 계열의 악성코드를 설치하는 사례를 확인하였으므로 주의하시기 바랍니다. 특히 해당 파일은 네이버(Naver) 업체의 NHN 파일 속성값을 가지고 있으며, 중국 계열에서 제작된 툴을 이용한 국내인의 소행으로 추정됩니다. 해당 악성코드는 2012년 4월 27일경에 네이버(Naver) 블로그에 등록되어 있으며, 링크를 통해 다운로드되는 파일은 네이버 블로그 첨부 파일로 확인되고 있습니다. 다운로드된 패스트핑(FastPing) 설치 파일은 정상적인 파일과 비교하여 디지털 인증서가 존재하지 않는 것이 특징입니다. 참고로 해당 블로그 첨부 파일(MD5 : 55676fc82428e19a..

티스토리툴바