본문 바로가기

avast!

벌새::Analysis 2015. 5. 5. 14:24 검색 도우미 : ADart 인터넷 검색 및 웹 브라우저 종료시 광고창을 생성할 수 있는 국내에서 제작된 ADart 광고 프로그램에 대해 살펴보도록 하겠습니다. 검색 도우미 : WinDisplay (2013.8.11) 해당 프로그램은 기존의 인터넷 쇼핑몰 바로가기 아이콘 및 광고창을 생성하는 WinDisplay 광고 프로그램의 변종입니다. [생성 폴더 / 파일 등록 정보] C:\Users\(사용자 계정)\AppData\Local\adart C:\Users\(사용자 계정)\AppData\Local\adart\11st.ico C:\Users\(사용자 계정)\AppData\Local\adart\adart.exe :: 시작 프로그램(adart) 등록 파일 C:\Users\(사용자 계정)\AppData\Local\adart\adartex.e..
벌새::Software 2015. 5. 3. 13:19 AhnLab V3 프로그램 실행 알림 : 유효하지 않은 디지털 서명이 포함된 악성코드 (2015.5.3) AhnLab V3 보안 제품에 클라우드 평판 기반의 실행 차단 기능이 포함되었을 당시 디지털 서명이 포함된 프로그램(파일)을 실행할 때에는 무조건 실행되는 부분에 대해 언급한 적이 있었습니다. AhnLab V3 365 클리닉 3.0 : 신뢰 파일에 대한 프로그램 실행 알림창 문제 (2014.2.14) 해당 부분에 대해 가장 우려스럽게 생각하는 부분으로는 악성코드에 디지털 서명이 포함되는 경우인데, 특히 유효하지 않은 디지털 서명에서는 어떤 반응을 보이는지 테스트를 진행해 보았습니다. 테스트를 위해서 과거부터 취약점(Exploit)을 통해 악성코드 유포가 지속적으로 발생하고 있는 국내 소설 사이트로 유명한 "조아라 바이러스"로 불리우는 웹 사이트에서 유포되는 따끈한 파일을 이용했습니다. h**p://**m..
벌새::Analysis 2015. 4. 27. 19:16 공인인증서 폴더(NPKI)를 악용하는 incminfo 광고 프로그램 주의 (2015.4.27) 2015년 2월 하순경부터 국내 인터넷 사용자를 대상으로 배포가 이루어지고 있는 광고 프로그램 중 공인인증서 폴더(NPKI)에 자신을 생성하여 사용자의 눈을 속이고 있는 incminfo 광고 프로그램에 대해 살펴보도록 하겠습니다. 해당 광고 프로그램의 서버는 자신의 존재를 숨길 목적으로 2014년 11월 24일경 GoDaddy 해외 도메인 등록 업체에 등록되어 있습니다. 프로그램 설치가 진행되면 "C:\Program Files\NPKI\incminfo_setup.exe" 설치 파일을 생성하여 다음과 같은 프로그램 설치 후 자가 삭제 처리됩니다. [생성 폴더 / 파일 등록 정보] C:\Program Files\NPKI\incminfo C:\Program Files\NPKI\incminfo\cincminfo..
벌새::Software 2015. 4. 24. 15:33 avast! 웹 감시 : HTTPS 검사 설정 일반적인 웹 사이트는 HTTP 프로토콜 방식으로 접속이 이루어지는데 반하여 보안을 목적으로 SSL/TLS 방식으로 암호화된 프로토콜을 통해 접속이 이루어질 경우 HTTPS 주소값을 가지고 있습니다. HTTPS 보안 접속이 이루어지는 웹 사이트에서는 웹 브라우저 주소 표시줄 영역에 자물쇠 모양의 아이콘을 통해 해당 웹 사이트에서 제공하는 신뢰할 수 있는 인증 기관에서 발급한 인증서 정보를 확인할 수 있습니다. 예를 들어 안랩(AhnLab) 로그인 페이지에서는 "SGTRUST CERTIFICATION AUTHORITY"를 발급자로 하는 인증서를 사용하고 있는 것을 확인할 수 있습니다. 그런데 해외 무료 백신으로 유명한 avast! 보안 제품을 설치한 경우 기본값에서 HTTPS 접속을 지원하는 웹 사이트의 인..
벌새::Analysis 2015. 4. 9. 17:02 AppIs(앱이즈)를 통해 몰래 설치되는 lnkdo 광고 프로그램 주의 (2015.4.8) 2015년 2월경부터 AppIs(앱이즈) 광고 프로그램을 통해 사용자 몰래 lnkdo 광고 프로그램을 추가적으로 설치하는 행위가 발견되고 있으며, 특히 lnkdo 광고 프로그램이 설치될 경우 Windows 및 Internet Explorer 웹 브라우저 보안 기능 약화 및 삭제에 어려움이 예상됩니다. 해당 이슈와 관련하여 확인된 Themida 패커로 제작된 배포 파일은 lnkdo 광고 프로그램 설치시 사용자 PC 환경을 체크하여 가상 환경인 경우 설치가 이루어지지 않는 방식으로 분석을 방해합니다. 1. AppIs(앱이즈) 1.0.4.3 광고 프로그램 정보 검색 도우미 : 앱이즈(AppIs) 1.0.0.1 (2012.1.6) 검색 도우미 : AppIs(앱이즈) 1.0.4.2 (2014.1.13) AppIs..
벌새::Analysis 2015. 4. 5. 19:03 포털 접속시 "보안 업데이트 버전 출시" 알림창을 통한 Chrome 악성앱 주의 (2015.4.5) 보안 설정을 제대로 하지 못한 공유기의 DNS 서버 주소를 변경하여 포털 사이트 접속시 보안 업데이트 알림창을 생성하여 안드로이드(Android) 스마트폰을 감염시키는 사례에 대해 2015년 3월 중순경에 소개한 적이 있었습니다. 포털 사이트 접속시 "보안 업데이트 버전 출시" 메시지를 이용한 악성앱 설치 주의 (2015.3.14) 그런데 관련 유포 행위 중 최근에 확인된 공격자 서버 정보를 자세하게 살펴볼 수 있는 기회가 되어 관련 정보를 조금 더 자세하게 알아보도록 하겠습니다. 우선 공격자는 서버를 구축하여 自动免杀器.exe 도구을 이용하여 5종의 APK 악성앱 다운로드 경로와 IP 주소를 세팅할 수 있습니다. 이를 통해 세팅된 웹 서버는 위와 같은 형태로 생성되며, 공유기 DNS 서버가 변조된 사용..
벌새::Analysis 2015. 3. 30. 20:21 검색 도우미 : visual allkeytab plugin Ver 1.0.3 시스템 시작시 구글 애드센스(Google AdSense) 광고 팝업창을 생성하며, 업데이트 창 생성을 통해 추가적인 제휴 프로그램 설치를 유도할 수 있는 국내에서 제작된 "visual allkeytab plugin Ver 1.0.3" 광고 프로그램에 대해 살펴보도록 하겠습니다. 검색 도우미 : Micro OpenPop (2013.12.26) 검색 도우미 : Internet webbora web (2014.11.15) 해당 프로그램은 기존에 유사성이 강한 광고 프로그램이 존재하였으므로 참고하시기 바랍니다. [생성 폴더 / 파일 등록 정보] C:\Users\(사용자 계정)\AppData\Roaming\allkeytab C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\AllKT...
벌새::Analysis 2015. 3. 27. 20:55 검색 도우미 : SignKey - signkeyexb.exe (2015.3.27) 웹 브라우저 실행 및 종료, 인터넷 검색 및 웹 사이트 접속시 다양한 광고창을 자동으로 생성하여 불편을 유발하는 국내에서 제작된 SignKey 광고 프로그램이 확인되어 살펴보도록 하겠습니다. 검색 도우미 : SignKey (2012.12.15) 검색 도우미 : SignKey - e_signkey.exe (2013.9.21) 검색 도우미 : SignKey - signkeyiey.exe (2013.11.11) 검색 도우미 : SignKey - signkeyiex.exe (2013.12.15) 검색 도우미 : SignKey - signkeyexa.exe (2014.4.15) SignKey 광고 프로그램은 2012년 하반기에 최초 발견되어 지금까지 다양한 변종이 발견되고 있으므로 참고하시기 바랍니다. [생성 폴..

티스토리툴바