본문 바로가기

홍콩

벌새::Analysis 2013. 10. 4. 14:41 국내 악성코드 : bkpops 1.0 최근 국내 제휴 프로그램 중 "bkpops 1.0" 프로그램이 설치될 경우 사용자 몰래 추가된 악성 프로그램을 통해 주기적으로 외부 서버로부터 추가적인 악성 파일을 다운로드 시도하는 문제가 이슈가 되고 있습니다. ▷ 국내 악성코드 : Windows todayx86 (2012.11.29) ▷ 국내 악성코드 : Windows ctpop (2013.2.19) ▷ 국내 악성코드 : hcpop win (2013.4.30) ▷ 국내 악성코드 : shcpop 1.0 (2013.9.6) 해당 악성코드는 기존의 투데이팝 계열의 변종으로 확인되고 있으며, 공격자는 주기적으로 추가 다운로드 파일 및 서버를 변경하는 것으로 보입니다. 대표적인 유포 방식을 살펴보면 국내 제휴 프로그램의 전형적인 유포 방법으로 알려진 스팸(Sp..
벌새::Analysis 2013. 6. 18. 16:47 국내 악성코드 : MSTools 프로그램 삭제를 지원하지 않으며, 사용자 몰래 백그라운드 방식으로 특정 검색 키워드 값을 기반으로 네이버(Naver) 검색을 통해 검색 순위 조작 및 수익 활동을 하는 것으로 추정되는 MSTools 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램은 2013년 5월 28일경 유포가 시작되었으며, 설치 파일(MD5 : a3be05bd585bb010589a34c59aceb194)에 대하여 Dr.Web 보안 제품에서는 Trojan.DownLoad3.24848 (VT : 5/47) 진단명으로 진단되고 있습니다. ▶ 이니텍(INITECH) 프로그램으로 위장한 IniCert 프로그램 유포 주의 (2012.12.28) 외 6종 ▷ 국내 악성코드 : InICD (2013.1.18) ▷ 국내 악성코드 : RealWe..
벌새::Analysis 2013. 6. 17. 15:33 국내 악성코드 : AniCt 사용자 몰래 특정 검색 키워드 값을 이용하여 네이버(Naver) 지식쇼핑 서비스의 인기 검색어 순위 조작 및 특정 업체 및 상품에 대해 이득을 유발할 것으로 추정되는 AniCt 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 62eccd221556aa827d22d5473d0da752)은 2013년 5월 9일경 유포가 시작되었으며, AhnLab V3 보안 제품에서는 Win-Adware/KorAd.442368.D (VT : 5/47) 진단명으로 진단되고 있습니다. ▶ 이니텍(INITECH) 프로그램으로 위장한 IniCert 프로그램 유포 주의 (2012.12.28) 외 6종 ▷ 국내 악성코드 : InICD (2013.1.18) ▷ 국내 악성코드 : RealWeb (2013.3.2..
벌새::Analysis 2013. 5. 23. 20:30 국내 악성코드 : IniCD - ENICD 추가적인 다운로드 및 특정 검색 키워드를 백그라운드 방식을 이용하여 포털 사이트 게시글의 검색 순위를 조작하는 것으로 추정되는 IniCD 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 203546aada31aba51e9f11165a6b305b)에 대하여 AhnLab V3 보안 제품에서는 Adware/Win32.KorAd (VT : 5/46) 진단명으로 진단되고 있습니다. ▶ 이니텍(INITECH) 프로그램으로 위장한 IniCert 프로그램 유포 주의 (2012.12.28) 외 6종 ▷ 국내 악성코드 : InICD (2013.1.18) ▷ 국내 악성코드 : RealWeb (2013.3.24) 위와 유사성이 강한 다수의 프로그램들이 2011년경부터 지속적으로 발견되고 있으므로 ..
벌새::Software 2013. 3. 27. 16:43 인터넷뱅킹 악성코드 확인 프로그램 "파밍캅(Pharming Cop) 2.0" 2012년 6월경부터 국내 인터넷뱅킹 이용자를 대상으로 한 악성코드 감염을 통해 가짜 금융 웹 사이트로 납치를 시도하여 개인정보, 공인인증서, 금융 정보를 수집하는 사이버 범죄 행위가 현재까지 활발하게 이루어지고 있습니다. 이런 문제로 인해 실제 계좌에 입금된 금전에 자신도 모르게 빠져나가는 피해가 발생하여 경남지방경찰청에서는 파밍캅(Pharming Cop) 프로그램을 개발하여 배포를 한 적이 있습니다. ▷ 경찰청 제공 인터넷뱅킹 악성코드 확인 프로그램 "파밍캅(Pharming Cop)" (2013.2.14) 당시 초기 버전에서 지적되었던 문제 수정과 기능 추가 및 감염된 사용자에 대한 정확한 안내를 추가하여 이번에 경남지방경찰청에서 "파밍캅(Pharming Cop) 2.0" 버전을 공개하였습니다. 파밍..
벌새::Analysis 2013. 3. 24. 15:36 국내 악성코드 : RealWeb 사용자의 부주의한 동의를 얻어 설치된 후 추가적인 다운로드 및 수익 추구 행위를 할 것으로 추정되는 RealWeb 프로그램에 대해 살펴보도록 하겠습니다. 2013년 1월 28일 (MD5 : bc96e3d3c4ff58b7a08891329f7c40e6) - Hauri ViRobot : Adware.Agent.425984.B (VirusTotal : 16/46) 2013년 3월 22일 (MD5 : e93c023655205f59447fa304372cf86c) - AhnLab V3 : PUP/Win32.RealWeb (VirusTotal : 3/46) RealWeb 프로그램명으로 배포가 이루어진 횟수는 최소 2~3 차례로 추정되고 있으며, 이 글에서는 최근 배포된 파일을 통해 확인하였습니다. 현재 배포가 이루어지..
벌새::Analysis 2013. 3. 11. 11:54 국내 온라인 게임을 표적으로 한 Windows appcon(remove data) 프로그램 유포 주의 (2013.3.11) 최근 확인되지 않은 특정 프로그램이 설치된 환경에서 추가적인 다운로드를 통해 사용자 몰래 "Windows appcon(remove data)" 프로그램을 설치하여 온라인 게임을 표적으로 한 악성 프로그램을 설치하는 행위가 확인되고 있습니다. 유포에 활용되는 IP 서버(1.***.83.**)는 국내에 위치하고 있으며, 해당 서버에서 받아오는 파일(MD5 : 7b8bc55be7e828c51d4c5bb5135a2deb)을 통해 "Windows appcon(remove data)" 프로그램이 설치되도록 되어 있습니다. 참고로 해당 파일은 2013년 2월 20일경부터 유포가 확인되고 있으며, BitDefender 보안 제품에서는 Gen:Variant.Graftor.70979 (VirusTotal : 19/46) ..
벌새::Security 2012. 11. 12. 21:26 [소식] 한컴 업데이트 서버 해킹을 통한 악성코드 유포 (2012.11.12) 2012년 11월 12일경 한컴오피스 제품군을 서비스하는 (주)한글과컴퓨터 업데이트 서버(update.haansoft.com)가 외부의 악의적인 해킹으로 인하여 악성코드가 유포되는 행위가 발생하였다는 소식입니다. 이로 인하여 11월 12일 오후경 홈 페이지의 다운로드 등 일부 서비스가 중지되는 사고가 발생하였으며, 현재 글 작성 시점까지 "한컴 자동 업데이트"를 통해 체크되는 업데이트 서버가 연결이 이루어지지 않고 있습니다. ▷ 아래한글 제품의 사용자를 노린 악성코드 주의 (2012.11.12) ▷ 안랩, 아래아한글 사용자 노린 악성코드 긴급 엔진 제공 (2012.11.12) ▷ Win-Trojan/Keylogger.286816 ▷ [유포] 한글과컴퓨터 악성코드 유포 (2012.11.12) 현재 알려진 ..

티스토리툴바