본문 바로가기

kaspersky

벌새::Security 2013. 9. 12. 14:10 Kaspersky에서 공개한 북한 APT 공격 정보 : Trojan.Win32.Kimsuky (2013.9.12) 러시아(Russia) Kaspersky 보안 업체에서 한국 정부 및 정치 기관, 연구소, 기업, 국방 관련 종사자를 대상으로 한 북한 APT 공격(일명 Kimsuky Operation)에 대한 자세한 정보를 공개하였습니다. 실제 북한이 한국의 특정인을 타켓으로 한 맞춤형 APT 공격은 2000년대 중반부터 현재까지 꾸준하고 은밀하게 발생하고 있는 것으로 알려져 있으며, 이번에 공개된 정보는 해외 보안 업체라는 특수성으로 인해 그동안 공개되지 않은 부분을 엿볼 수 있는 기회라고 볼 수 있습니다. ▷ Kimsuky APT: Operation’s possible North Korean links uncovered (2013.9.11) 이 글에서는 공개된 정보를 바탕으로 요약을 한 것이므로 자세한 내용은 원문을..
벌새::Analysis 2013. 9. 10. 14:34 Aduska Bootkit을 이용한 온라인 게임 정보 수집 악성코드 유포 주의 (2013.9.10) 국내 인터넷 사용자를 대상으로 한 온라인 게임 정보를 수집하는 악성코드 중 MBR(Master Boot Record) 변조 방식을 이용한 사례는 2011년 9월경 최초로 확인이 된 적이 있습니다. ▷ MBR 변조 온라인 게임 악성코드 치료 전용 백신 : V3 Halcbot Bootkit Removal Tool (2011.9.21) 그 이후 해외에서 제작된 부트킷(Bootkit) 방식의 MBR 변조를 통해 악성코드 유포에 활용되던 아두스카 부트킷(Aduska Bootkit) 방식이 2012년 10월경 유포되고 있다는 정보가 공개됩니다. ▷ 국내 PC 사용자를 대상으로 유포된 아두스카 부트킷 (2012.10.22) 그런데 2013년 7월 4일경 확인되지 않은 파일을 실행한 경우 특정 서버에서 추가적인 다운로..
벌새::Analysis 2013. 9. 9. 14:06 다운로드 도우미 : 풀유틸(FullUtil) 국내에서 제작된 다양한 광고 프로그램의 주요 유포지는 다음(Daum) 블로그에 기계적으로 등록된 링크 방식의 첨부 파일을 통해 이루어지고 있으며, 여전히 많은 사용자들은 무감각하게 이런 파일을 다운로드하여 실행하는 과정에서 "불필요한 프로그램(PUP)"이 자신도 모르게 설치되고 있습니다. ▷ 다운로드 도우미 : 탑유틸(TopUtil) (2012.10.31) ▷ 반복적으로 다운로드 창을 생성하는 다운로드 도우미? (2012.11.1) ▷ 다운로드 도우미 : 캣유틸(CatUtil) (2013.2.19) ▷ 다운로드 도우미 : 후디스크 자료실 다운로드(Whodisk) (2013.4.14) 현재 개인적으로 파악한 위와 같은 수익성 프로그램 배포를 목적으로 운영되는 파일 자료실은 100여개가 운영되는 것으로 보이..
벌새::Analysis 2013. 9. 8. 15:23 검색 도우미 : Addendum-nm - addendum_sb (csbnm) 웹 브라우저 좌측 영역에 "Addendum-nm" 사이드바 광고를 생성하며, 웹 브라우저의 명령 모음에 삭제를 지원하지 않는 "옥션 바로가기" 아이콘을 등록하는 검색 도우미 "Addendum-nm" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 1906c232386256d5cf0a524e2d033b87)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Enumerate (VT : 12/47) 진단명으로 진단되고 있습니다. [생성 폴더 / 파일 등록 정보] C:\Users\(사용자 계정)\AppData\Local\Temp\LastTimeCK.dat C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb C:\Users\(사용자 계정)\A..
벌새::Analysis 2013. 9. 5. 21:06 악성코드 제거 프로그램 : 클릭백신(ClickVaccine) 국내 (주)에이코리아 업체에서 제공하는 유료 악성코드 제거 프로그램 클릭백신(ClickVaccine) 제품에 대해 살펴보도록 하겠습니다. [테스트 환경] ◆ 운영 체제(OS) : Windows 7 SP1◆ 설치 파일(MD5) : 9d2503566447f951767923161e7fa777 - Kaspersky : HEUR:Trojan-FakeAV.Win32.Onescan.gen (VT : 2/47) ※ 해당 프로그램은 배포 방식 및 컴퓨터 환경에 따라 프로그램 정보가 일부 다를 수 있습니다.※ 해당 내용은 게시글 작성일 기준이므로 차후 일부 내용이 변경될 수 있습니다. 1. 프로그램 설치 및 삭제 정보 1-1. 생성 폴더 / 파일 정보 C:\Program Files\clickvaccine C:\Progra..
벌새::Security 2013. 9. 4. 14:08 Oracle Java 6 제로데이(0-Day) 취약점을 이용한 악성코드 유포 주의 (2013.9.4) 2013년 8월 하순경부터 해외를 중심으로 Oracle Java 6 최신 버전의 제로데이(0-Day) 보안 취약점을 이용한 악성코드 유포가 발견되었다는 소식이 전해지고 있습니다. ▷ Java 6 Zero-Day Exploit Pushes Users to Shift to Latest Java Version (2013.8.27) Trend Micro 보안 업체의 분석글에서는 CVE-2013-2463 보안 취약점을 이용하여 취약한 Oracle Java 플러그인이 설치된 환경에서 원격 코드 실행이 가능한 취약점을 이용하여 랜섬웨어(Ransomware) 변종을 드라이브 바이 다운로드(Drive-By Download) 방식으로 유포한다고 밝히고 있습니다. ▷ 업데이트 : Oracle Java SE Runtime E..
벌새::Analysis 2013. 9. 1. 14:37 악성코드 제거 프로그램 : 백신셋(VaccineSet) 국내 (주)에이코리아 업체에서 제공하는 유료 악성코드 제거 프로그램 백신셋(VaccineSet) 제품에 대해 살펴보도록 하겠습니다. [테스트 환경] ◆ 운영 체제(OS) : Windows 7 SP1 ◆ 설치 파일(MD5) : ecb9dcb12ce733739a7788bad1985f59 - Kaspersky : HEUR:Trojan-FakeAV.Win32.Onescan.gen (VT : 2/45) ※ 해당 프로그램은 배포 방식 및 컴퓨터 환경에 따라 프로그램 정보가 일부 다를 수 있습니다. ※ 해당 내용은 게시글 작성일 기준이므로 차후 일부 내용이 변경될 수 있습니다. 1. 프로그램 설치 및 삭제 정보 1-1. 생성 폴더 / 파일 정보 C:\Program Files\vaccineset C:\Program F..
벌새::Analysis 2013. 8. 29. 15:30 검색 도우미 : Addendum-nm - addendum_sb (bsbnm) Internet Explorer 웹 브라우저 좌측 영역에 "Addendum-nm" 사이드바 광고를 생성하며, 웹 브라우저의 명령 모음에 "옥션 바로가기" 아이콘을 등록하는 검색 도우미 "Addendum-nm" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : fa5215808bcebc3cb66d3eadb2e77864)에 대하여 Kaspersky 보안 제품에서는 Trojan.Win32.Badur.qxv (VT : 14/46) 진단명으로 진단되고 있습니다. ▷ 검색 도우미 : Addendum-nm - addendum_sb (2012.10.30) ▷ 검색 도우미 : Addendum-nm - addendum_sb (nmnew) (2013.4.3) ▷ 검색 도우미 : Addendum-n..

티스토리툴바