본문 바로가기

kaspersky

벌새::Analysis 2012. 7. 10. 11:50 국내 악성코드 : signup 국내 인터넷 사용자를 대상으로 다양한 응용 프로그램을 설치하는 과정에서 사용자 몰래 추가되는 서비스 값을 통해 시스템 시작시 업데이트 기능을 통해 수익성 프로그램을 배포하는 방식에 대해 소개한 적이 있었습니다. ▷ 용(龍)TV를 이용한 악성코드 유포 주의 (2012.6.28) 최근 위와 유사한 방식의 서비스 등록을 통해 다운로드된 signup3.exe (MD5 : e26ee80b6a2613aed8df0bfae31a43fa) 파일을 이용하여 몇 단계를 거쳐 signup 검색 도우미 프로그램을 사용자 몰래 설치하는 동작을 확인하였습니다. 참고로 해당 파일에 대하여 Hauri ViRobot 보안 제품에서는 Trojan.Win32.A.Agent.463803 (VirusTotal : 17/41) 진단명으로 진단되..
벌새::Analysis 2012. 7. 2. 21:45 국내 악성코드 : IFavorPop + vvxtklvbudjkkld.dll 최근 수익성 프로그램을 배포할 목적으로 제작된 업데이트 기능을 가진 글자수 세기 프로그램을 설치하는 과정에서 사용자 몰래 추가적으로 설치된 "alexa drv" 프로그램을 소개한 적이 있었습니다. ▷ 국내 악성코드 : alexa drv & Miclient service allupdate x86 (2012.6.27) 분석 당시에는 업데이트 기능을 통해 추가적인 설치 유도 행위가 없었지만, 그 후 다수의 수익성 프로그램을 추가하여 설치되는 과정에서 IFavorPop 광고 프로그램을 설치하는 과정에서 사용자 몰래 악성 서비스 등록 파일을 설치하는 동작이 확인되었습니다. h**p://****.win-daim.com/favovvx.exe (MD5 : 1f064b381acc0de23a5a521231b03e02) -..
벌새::Security 2012. 6. 22. 14:43 한글(HWP) 보안 업데이트 (2012.6.22) 최근(2012년 6월 중순경) (주)한글과컴퓨터에서 제공하는 한글(HWP) 워드 프로세서 프로그램의 제로데이(0-Day) 취약점을 이용하여 악의적으로 조작된 한글 문서를 이용하여 정보를 수집하는 악성코드가 다수 발견되기 시작하였습니다. ▷ ㈜하우리, 국가 정부부처 타겟으로 한 'APT(지능형지속가능위협)' 공격 (2012.6.20) ▷ [긴급] "북핵해결 3대전략" 악성 한글 문서 발견 (2012.6.20) 하우리(Hauri) 보안 업체의 공지문에 의하여 해당 악성코드는 국내 특정 타켓을 표적으로 이메일을 통해 전파가 이루어지는 것으로 보이며, 첨부 파일을 최신 업데이트가 이루어진 한글 워드 프로그램을 이용하여 실행시 백그라운드 방식으로 감염이 이루어지는 것으로 보입니다. 이를 통해 사용자 PC에 저장된..
벌새::Analysis 2012. 6. 16. 12:51 [삭제] bounce.exe 국내에서 제작된 광고 프로그램의 업데이트 기능을 이용하여 사용자 동의없이 몰래 설치되는 것으로 알려진 OpenPot 계열의 삭제 기능을 제공하지 않는 Bounce.exe 파일에 대해 살펴보도록 하겠습니다. ▷ 국내 악성코드 : OpenPot - Sysmax.exe (2012.1.29) 해당 프로그램은 기존에 소개한 Sysmax.exe 악성 파일과 유사성이 강하므로 참고하시기 바라며, 설치 파일(MD5 : 5895c5a1b4843070b2c60b7d1da53947)에 대하여 Kaspersky 보안 제품에서는 Trojan.Win32.Agent.smjj (VirusTotal : 1/42) 진단명으로 진단되고 있습니다. GET /bounce/bounce.zip HTTP/1.1 Content-Type: text/..
벌새::Analysis 2012. 6. 10. 21:19 alexa 프로그램으로 위장한 WindowsDriver.dll 악성 파일 유포 주의 (2012.6.10) 이번 주말을 이용하여 파일 다운로더 프로그램에 추가된 제휴(스폰서) 프로그램 중 "랭킹 순위 프로그램"으로 등록된 악성 프로그램을 통한 유포 행위가 기존의 WindowsLive.dll 파일에서 WindowsDriver.dll 파일로 변경이 이루어진 것을 확인하였습니다. ▷ 랭킹 순위 프로그램으로 위장한 백도어 유포 주의 (2012.6.8) 이번에 추가로 확인된 변종의 설치 파일은 7종으로 파일 정보 및 진단 상태는 다음과 같습니다. h**p://112.***.245.***/u/a.exe (MD5 : 7184b4101ba67c0e5db72abc9e0053f2) - Kaspersky : Trojan-Dropper.Win32.Agent.gupx (VirusTotal : 12/41) h**p://112.***...
벌새::Security 2012. 6. 4. 14:25 Microsoft Windows 긴급 업데이트 : KB2718704 (2012.6.4) 최근 국가 차원에서 제작된 것으로 추정되는 Flame 악성코드가 이란(Iran)을 중심으로 한 아랍 지역에서 집중적으로 발견되고 있는 것으로 보안 업체 및 언론을 통해 이슈가 되고 있습니다. ▷ 정교한 사이버 공격 가능한 신종 악성프로그램 ‘Flame’ 활동 중 (2012.6.1) 해당 악성코드는 ITU(UN 산하 국제전기통신연합) 요청으로 러시아 보안 업체 Kaspersky에서 조사를 하는 과정에서 확인되었으며, 과거 몇 년전부터 활동을 하고 있었던 것으로 정체가 밝혀지고 있는 상태입니다. 이에 따라 마이크로소프트(Microsoft)사에서는 제한적인 지역의 사이버 공격으로 전 세계적인 문제는 유발되지 않을 것으로 보고 있지만, Flame 악성코드에서 사용한 전파 기법이 다른 악성코드에서 활용될 위험성이..
벌새::Analysis 2012. 6. 3. 15:34 톡플레이어(TokPlayer) 설치 파일 변조를 통한 온라인 게임 악성코드 유포 주의 (2012.6.3) 주말마다 해킹된 웹 사이트 변조를 통해 온라인 게임 계정 정보를 탈취할 목적으로 유포가 이루어지는 방식이 최근 정상적인 소프트웨어의 설치 파일을 변조하는 방식으로 배포되고 있는 것이 확인되었습니다. 이번에 확인된 소프트웨어는 톡플레이어(TokPlayer) 홈 페이지에 등록된 동영상 재생 프로그램 설치 파일 중 32비트용 설치 파일을 변조하여 설치시 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일 패치를 통한 악의적인 동작이 이루어집니다.(※ 현재 글 작성 시점에서 여전히 유포가 이루어지고 있으므로 호기심에 파일을 다운로드하여 실행하는 일이 없도록 주의하시기 바랍니다.) 설치 파일을 비교해보면 우측의 정상적인 64비트 톡플레이어(TokPlayer..
벌새::Software 2012. 6. 2. 14:14 avast! 한글판의 잘못된 번역으로 인한 예외 처리 문제 (2012.6.2) 해외 무료 백신 avast! Free Antivirus 7 버전의 환경 설정 중 "예외(Exclusions)" 항목의 한글 번역이 잘못되어 사용자에게 문제를 유발하고 있는 부분이 있어서 사례를 통해 확인해 보도록 하겠습니다. 국내에서 제작된 개인용 스트리밍 음악 서비스 아이맵스(I-MEPS) 프로그램의 설치 파일(MD5 : 73e590befd0ef18e6c99897a7a29e46c)은 국내외 보안 제품에서 진단되지 않는 클린(Clean) 파일입니다. 하지만 설치 과정 및 설치 후에는 해외 다수의 보안 제품에서 실행 파일을 비롯한 일부 파일을 진단하고 있으며, 이는 그림과 같이 프로그램 실행 중 노출되는 다수의 광고 등의 문제로 업체 자체의 진단 사유가 있는 것이 아닌가 생각됩니다. 이런 해외 보안 제품 ..

티스토리툴바