본문 바로가기

Netmarble

벌새::Analysis 2011. 11. 13. 12:25 kill.sys, ws2help.dll 파일을 이용한 계정 정보 수집 주의 (2011.11.13) 최근 중국발 악성코드 유포 과정에서 알약(ALYac) 2.1.0.3 최신 버전이 설치된 환경에서 감염이 발생할 경우, kill.sys 악성 드라이버 파일을 이용하여 국내 보안 제품을 무력화한 후 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 패치하는 악성코드 유포 행위가 확인되었습니다. 사용자 입장에서는 악성코드를 유포하는 사이트에 접속할 경우 알약(ALYac), AhnLab V3 보안 제품의 트레이 아이콘과 Internet Explorer 웹 브라우저가 죽는 현상으로 감염 여부를 경험할 수 있습니다. kill.sys 파일을 이용한 "MajorFunction Hook & Kill AntiVirus Process" (2011.11.13)이에 ..
벌새::Analysis 2011. 10. 29. 13:14 웹 사이트 변조로 인한 시스템 점검 중인 사이트를 통한 유포 (2011.10.29) 국내 온라인 게임 넥슨(Nexon) 메이플스토리(MapleStory) 팬 사이트로 알려진 모 사이트가 최근 외부 공격으로 인해 악성코드가 유포됨에 따라 시스템 점검 상태로 전환을 하고 있는 것을 확인하였습니다. 이런 경우 일반적으로 해당 사이트에 접속할 경우 시스템 점검 안내 메시지와 관련된 그림 파일 하나만 노출되어 실제 감염으로 연결되는 경우는 쉽게 발견되지 않았던 것으로 기억됩니다. 그런데 해당 사이트 메인 소스를 확인해보면 악성 스크립트(cccc.html)이 추가되어 있으며, 실제 사이트를 방문할 경우 Internet Explorer 웹 브라우저 및 Adobe Flash Player 보안 패치가 제대로 설치되어 있지 않은 경우 자동으로 감염이 발생하는 것을 확인할 수 있습니다. 파일명 보안 제품 ..
벌새::Analysis 2011. 10. 28. 17:01 배치 파일(.bat)을 이용한 온라인 게임 계정 정보 수집 악성코드 유포 (2011.10.28) 어제 오전 블로그에 등록한 광고를 통해 악성코드가 유포되고 있었다는 정보가 들어와 확인해보니, Internet Explorer 9 버전에서는 노출이 되지 않던 악성 스크립트이 Internet Explorer 6 / 7 / 8 버전으로 접속할 경우 다수 유포가 되고 있었습니다. 이에 따라 급히 해당 블로그 광고를 제거하였으며, Internet Explorer 웹 브라우저와 Adobe Flash Player 패치가 제대로 설치되어 있지 않은 사용자의 경우 감염이 있었을 것으로 판단됩니다. 이미 과거에도 블로그에 등록한 광고 콘텐츠를 통해 악성코드가 유포되는 사례가 있었기에 블로그를 운영하시는 분들은 더욱 주의가 요구됩니다. 해당 악성코드는 주말에 집중적으로 유포되는 것들로 최근에는 평일에도 심심찮게 발견되고..
벌새::Analysis 2011. 10. 11. 14:09 VSLay.dll를 이용한 온라인 게임 계정 탈취 목적의 루트킷(Rootkit) 악성코드 (2011.10.11) 주말을 중심으로 한 국내 인터넷 사용자들을 대상으로 한 온라인 게임 계정 탈취 목적의 악성코드는 6~7월경부터 쉘코드(ShellCode)를 이용한 VSLay.dll 파일을 통한 감염을 유발하는 사례가 발견되기 시작하였습니다. 특히 최근에는 Windows 탐색기로는 파일을 확인할 수 없는 루트킷(Rootkit) 방식으로 등록하여 사용자 PC에 설치된 보안 제품(AhnLab V3, 알약(ALYac), 네이버 백신(Naver Vaccine))의 기능을 방해하여 감염된 자신들을 보호하고 있습니다. 어느 날 자신의 컴퓨터에 설치된 이들 보안 제품이 동작하지 않거나 삭제되는 현상이 발생한다면 이런 류의 악성코드에 감염되었으므로 전용 백신 또는 제3의 보안 제품을 설치하여 안전모드에서 정밀 검사를 하시기 바랍니다. ..
벌새::Analysis 2011. 5. 29. 18:57 네이트온(NateOn) 메신저 악성코드 : teng.exe (2011.5.29) 네이트온(NateOn) 메신저를 이용한 특정 URL 주소 전송을 통해 해당 링크에 접속한 사용자 중 Internet Explorer 취약점, Adobe Flash Player 취약점이 존재할 경우 자동으로 감염을 유발하는 유포가 확인되었습니다. 네이트온(NateOn) 메신저 악성코드 : g123.exe (2011.4.10) 네이트온(NateOn) 메신저 악성코드 : adjku.exe (2011.4.17) 해당 유포자는 기존에 동일한 방법으로 악성코드를 유포한 자로 추정되며, 해당 링크에 접속할 경우 자극적인 여성 사진을 제시하는 공통점이 있습니다. 해당 악성 URL 소스를 확인해보면 외형적으로 여성 사진만 노출이 이루어지며, 악성 iframe을 통해 Adobe Flash Player 취약점을 이용한 1...

티스토리툴바