본문 바로가기

avast!

벌새::Security 2012. 1. 19. 00:56 avast! 오진 : 네이버(Naver) 채팅방 실행 파일 - CafeChat.exe (2012.1.19) 해외 무료 백신으로 유명한 avast! 보안 제품에서 네이버(Naver) 카페에서 제공하는 구버전의 채팅방 실행 파일(C:\WINDOWS\system32\CafeChat.exe)에 대하여 Win32:PUP-gen [PUP] 진단명(DB 버전 : 120118-0)으로 오진하는 문제를 확인하였습니다. 현재 네이버 카페 시스템은 현재 방식의 채팅 시스템과 함께 이전 버전(구버전) 채팅 방식을 함께 제공하고 있으며, 이전 버전 채팅을 이용할 경우 "네이버 ActiveX 가이드" 설치를 통해 다음과 같은 파일들을 생성합니다. C:\WINDOWS\Downloaded Program Files\NaverAXGuide.inf C:\WINDOWS\Downloaded Program Files\NaverAXGuide1031...
벌새::Security 2012. 1. 9. 12:40 avast! 오진 : 넷마블(NetMarble) ActiveX 스크립트 - HTML:Object-inf (2012.1.9) 국내 온라인 게임 넷마블(NetMarble)에서 제공하는 Netmarble Auto Updater, 키보드보안 K-Defense R6 Manager 관련 ActiveX 설치를 시도할 경우 avast! 보안 제품에서 URL 차단(URL:Mal) 및 HTML:Object-inf 진단명으로 오진하는 것을 확인하였습니다. 최초 사용자가 넷마블 웹 사이트에 접속을 시도할 경우 ActiveX 설치를 통해 배포되는 "Netmarble Auto Updater" 설치창이 생성될 경우, avast! 보안 제품에서는 해당 ActiveX 컨트롤러를 통해 다운로드되는 개체에 대하여 "악의적인 URL 차단" 메시지를 생성하는 것을 확인할 수 있습니다. h**p://download.netmarble.net/ActiveX/NMAut..
벌새::Analysis 2012. 1. 8. 13:12 국내 악성코드 : WinPnp 2.0 국내에서 제작되어 프로그램 설치시 사용자 몰래 추가적인 제휴(스폰서) 프로그램을 설치하는 "WinPnp 2.0" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 0c68ef19528cdc4bdd7db62decd000c5)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Adload (VirusTotal : 25/43) 진단명으로 진단되고 있습니다. 검색 도우미 : Windows Onestep System - onestep (2011.11.22) 현재 확인된 WinPnp 2.0 프로그램은 Windows Onestep System과 같은 광고 프로그램 등을 통해 유포가 이루어지고 있으므로 참고하시기 바랍니다. [생성 폴더 / 파일 등록 정보..
벌새::Analysis 2012. 1. 1. 12:52 Space와 Tab키를 이용한 보이지 않는 JavaScript를 이용한 악성코드 유포 (2012.1.1) 최근 중국발 온라인 게임 계정 탈취를 목적으로 하는 악성코드 유포시 기존에 사용하던 자바 스크립트(JavaScript) 방식과는 다르게 Space와 Tab키를 이용하여 외형적으로 코드가 보이지 않도록 제작된 부분이 확인이 되고 있습니다. 보이지 않는 코드 - Dehydrating a String (2011.12.29) Space(빈칸)와 Horizontal Tab(탭)를 이용한 Hide JavaScript Malware !! (2012.1.1) 해당 악성 스크립트에 대해 이미 보안 블로그에서 정보를 공개하였으며, 저와 같은 초보자를 위해 해당 악성 스크립트를 단순 무식하게 풀어보는 방법에 대해 살펴보도록 하겠습니다. 샘플에 사용된 스크립트는 이번 주말 모 언론사 웹 사이트에서 유포되는 것이며, 위와 같이..
벌새::Analysis 2011. 12. 19. 12:46 국내 악성코드 : 프리무비s 1.0 휴일을 이용하여 국내에서 제작된 검색 도우미 KeyPack 1.0 프로그램을 통해 추가적인 프로그램이 배포되는 것이 확인되었으며, 이로 인해 어떤 종류의 프로그램이 설치되는지 여부와 관련 정보를 살펴보도록 하겠습니다. 검색 도우미 : KeyPack 1.0 (2011.12.18) 당시 KeyPack 1.0 프로그램이 설치된 환경에서 시스템 시작시마다 특정 외부 서버와 연결되어 제휴 프로그램을 체크한다는 부분을 언급한 적이 있습니다. 해당 업데이트를 통해 추가 다운로드될 수 있는 설치 파일(MD5 : f7418f1d3ee52c57d29b5bfa8c6d0344)은 웹하드 홍보 목적으로 제작된 "프리무비s 1.0" 프로그램을 설치하며, 사용자 몰래 추가적인 다운로드를 시도하는 것을 확인할 수 있습니다. 참고로 ..
벌새::Analysis 2011. 12. 10. 19:50 Oracle JRE 취약점을 이용한 온라인 게임 악성코드 유포 주의 (2011.12.10) 이번 주말을 이용하여 유포가 이루어지고 있는 온라인 게임 및 문화 상품권 계정 탈취 목적의 악성코드 유포 방식이 Oracle JRE(Java Runtime Environment) 취약점(CVE-2011-3544)을 이용하고 있는 부분을 확인하였습니다. 업데이트 : Java SE Runtime Environment(JRE) 6 Update 29 & 7 Update 1 (2011.10.19) Oracle JRE 플러그인 취약점과 관련하여 10월 19일에 최신 보안 패치를 공개하였으며, JRE 6 Update 27 또는 JRE 7 Java SE 이하 버전을 사용하는 사용자의 경우 자동으로 감염될 것으로 추정됩니다. 기존의 경우 Adobe Flash Player 취약점과 Internet Explorer 웹 브라..
벌새::Security 2011. 12. 6. 23:56 avast! 오진 : sfloppy.sys 시스템 드라이버 파일 (2011.12.6) 해외 무료 백신으로 유명한 avast! 보안 제품에서 Windows XP SP3 운영 체제에 존재하는 SCSI Floppy Driver 시스템 파일인 sfloppy.sys 파일을 Rootkit: system modification 진단명으로 오진하는 사고가 발생 중인 것을 확인하였습니다. ■ 진단명 : Rootkit: system modification ■ avast! 바이러스 패턴 : 111206-1 ■ 진단 파일 : C:\WINDOWS\system32\drivers\sfloppy.sys ■ 진단 파일 MD5 : 8e6b8c671615d126fdc553d1e2de5562 ■ 특이 사항 : Windows XP SP3 운영 체제, 단 Windows 7 운영 체제에서는 진단하지 않습니다. 해당 오진으로 인하..
벌새::Analysis 2011. 11. 26. 11:06 V3LTrMsge.exe, vitsinware.dll 파일을 이용한 계정 정보 수집 악성코드 주의 (2011.11.26) 이번 주말을 기점으로 웹하드, 언론사 등 국내 다수의 인터넷 사이트 접속시 Windows 보안 패치 및 Adobe Flash Player 최신 버전을 사용하지 않는 사용자들은 자동으로 감염이 이루어지는 다양한 악성코드가 유포되고 있습니다. CVE-2010-0806 / CVE-2010-3962 취약점을 이용한 온라인 게임 계정 탈취 (2011.2.19) 오늘은 올해 초반에 확인되었던 온라인 게임 계정 탈취 목적의 악성코드와 유사한 성격을 가진 변종에 대해 살펴보도록 하겠습니다. 해당 샘플은 국내 모 언론 사이트 접속시 감염을 유발하는 악성코드 유포에서 최종 다운로드된 암호화된 최종 파일이 XOR을 거쳐 감염이 이루어지는 사례입니다. 참고로 최종 파일(MD5 : 12d58352839b155c98542cb34..

티스토리툴바