본문 바로가기

kaspersky

벌새::Analysis 2013. 6. 29. 15:18 ehantk 바로가기 아이콘을 이용한 악성코드 유포 주의 (2013.6.29) 최근 11번가 바로가기 아이콘을 생성하면서 사용자 몰래 온라인 게임 정보 유출 목적으로 제작된 악성코드를 추가하는 사례를 소개한 적이 있었습니다. ▷ 11번가 바로가기 아이콘 프로그램에 추가된 정보 유출 악성코드 주의 (2013.6.24) 그런데 주말을 이용하여 다른 유포 경로를 통해 유사한 방식으로 Win-Trojan/Urelas (= Trojan/Win32.Depok, Trojan/Win32.PbBot) 계열 악성코드를 감염시키는 방식을 추가로 확인하였습니다. 배포 방식을 살펴보면 다양한 제휴(스폰서) 프로그램 배포를 목적으로 제작된 "Xecure speller Application" 프로그램이 설치된 환경에서 시스템 시작 후 일정 시간이 경과하면 "스펠러(잠김복사) 업데이트" 창을 생성합니다. 참고..
벌새::Analysis 2013. 6. 26. 14:13 제휴(스폰서) 프로그램 : nTrendpopup (KB130422) 시스템 시작시 "NextOnSale" 광고창 생성 및 업데이트 창 생성을 통해 다수의 수익성 프로그램의 설치를 유도할 것으로 추정되는 "nTrendpopup (KB130422)" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : dbbd4542c9b11a89f768b9f98cab50b7)에 대하여 Kaspersky 보안 제품에서는 not-a-virus:AdWare.Win32.Kraddare.au (VT : 9/47) 진단명으로 진단되고 있습니다. ▷ 제휴(스폰서) 프로그램 : Trendpopup (KB130422) (2013.6.7) 또한 기존에 동일한 기능을 가진 "Trendpopup (KB130422)" 프로그램의 변종이므로 참고하시기 바랍니다. [생성 폴더 / 파일 등록 ..
벌새::Analysis 2013. 6. 24. 16:48 11번가 바로가기 아이콘 프로그램에 추가된 정보 유출 악성코드 주의 (2013.6.24) 국내 인터넷 사용자를 타켓으로 하는 사이버 범죄 조직의 악성 프로그램 유포 방식 중에는 광고 프로그램 설치를 통해 추가적인 감염을 유발시키는 사례가 많이 발견되고 있으며, 그 중에서도 상당 기간 꾸준하게 활동하는 조직이 있지만 법적 처벌은 매우 어려운 것으로 보입니다. ▷ 국내 악성코드 : FavorIcon (2013.5.6) 2013년 1~2월경에 집중적으로 유포하던 조직이 2013년 5월경 재활동을 시작한 이후 감염된 시스템에 11번가 바로가기 아이콘을 사용자 몰래 설치하면서 정보 유출 목적으로 제작된 악성 프로그램을 추가로 설치하는 정황을 확인하였습니다. 유포 방식을 추정해보면 서비스에 등록된 확인되지 않은 악성 파일을 통해 시스템 부팅 과정에서 악성 파일(MD5 : 795fec2376a0d5874..
벌새::Analysis 2013. 6. 12. 20:27 제휴(스폰서) 프로그램 : Windows pdswater 시스템 시작시 업데이트 창을 생성하여 사용자의 부주의한 동의를 통해 다수의 수익성 프로그램들을 설치할 수 있는 "Windows pdswater" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : fd7221b3ca44e8ab57e49dc60a0e6112)에 대하여 Kaspersky 보안 제품에서는 not-a-virus:AdWare.Win32.Agent.aeff (VT : 10/46) 진단명으로 진단되고 있습니다. ▶ 국내 악성코드 : ezpopup code wepbob x86 (2012.12.21) 외 다수 ▶ 제휴(스폰서) 프로그램 : Windows jafeavcon (2013.3.20) 외 8종 ▷ 제휴(스폰서) 프로그램 : Windows allpblue (2013.6.12..
벌새::Analysis 2013. 6. 12. 19:52 제휴(스폰서) 프로그램 : Windows allpblue 시스템 시작시 업데이트 창을 생성하여 사용자의 부주의한 동의를 얻어 다수의 수익성 프로그램들을 설치할 수 있는 "Windows allpblue" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 45896cbadc05666b91b1ba3835687a4f)에 대하여 Kaspersky 보안 제품에서는 not-a-virus:AdWare.Win32.Agent.aeff (VT : 11/47) 진단명으로 진단되고 있습니다. ▶ 국내 악성코드 : ezpopup code wepbob x86 (2012.12.21) 외 다수 ▶ 제휴(스폰서) 프로그램 : Windows jafeavcon (2013.3.20) 외 8종 또한 2012년경부터 주기적으로 유사한 기능을 가진 다양한 이름의 프로그램들이 ..
벌새::Analysis 2013. 6. 10. 16:57 악성코드 제거 프로그램 : 네티클린(NetiClean) 국내 (주)남영ENC 업체에서 제공하는 유료 악성코드 제거 프로그램 네티클린(NetiClean) 제품에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일에 대하여 Kaspersky 보안 제품에서는 Trojan-FakeAV.Win32.AntispywareFireWallPro.a (VT : 9/47) 진단명으로 진단되고 있습니다. ▷ 악성코드 제거 프로그램 : 메가백신(MegaVaccine) (2013.3.14) 또한 기존의 "파이어월(FireWall) → 메가백신(MegaVaccine)" 악성코드 제거 프로그램의 통폐합 제품이므로 참고하시기 바랍니다. [테스트 환경] ◆ 운영 체제(OS) : Windows XP SP3◆ 설치 파일(MD5) : 22b5007046872dafae2dbc1582d1afa3..
벌새::Analysis 2013. 6. 7. 20:25 제휴(스폰서) 프로그램 : Trendpopup (KB130422) 시스템 시작시 "NextOnSale" 광고 팝업창 생성 및 업데이트 창을 생성하여 다수의 수익성 프로그램의 설치를 유도할 것으로 추정되는 "Trendpopup (KB130422)" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 61c18bddc45a3fd1f702e295f0a25181)에 대하여 Kaspersky 보안 제품에서는 not-a-virus:AdWare.Win32.Kraddare.au (VT : 14/47) 진단명으로 진단되고 있습니다. ▷ 검색 도우미 : xAllpopup SP1 (KB210313) (2013.4.1) ▷ 검색 도우미 : oNextPopup VN001 (KB210313) (2013.4.13) 또한 기존에 유사한 기능을 가진 다양한 이름을 가진 프로..
벌새::Analysis 2013. 6. 7. 14:53 [삭제] 싱크고(SyncGo) 바탕 화면과 즐겨찾기에 인터넷 쇼핑몰 바로가기 아이콘을 등록하며, 프로그램 삭제 후에도 지속적인 수익 활동을 하는 검색 도우미 싱크고(SyncGo) 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : a5a06ea0be516a57b82d414187dc9eed)에 대하여 Kaspersky 보안 제품에서는 Trojan-Downloader.Win32.Genome.dofw (VT : 17/47) 진단명으로 진단되고 있습니다. 배포 파일을 통해 프로그램의 설치가 진행되면 특정 파일 서버로부터 싱크고(SyncGo) 설치 파일(MD5 : 496eb3e2deeaa2b88cb5a2cae003331b)을 다운로드하여 설치가 이루어지며, 해당 파일에 대하여 Kaspersky 보안 제품에서는 Troj..

티스토리툴바