본문 바로가기

naver

벌새::Analysis 2012. 5. 29. 03:35 네이버 외부 위젯 서비스에 등록된 악성 위젯 주의 (2012.5.29) 이번 주말경부터 네이버(Naver) 블로그를 중심으로 해킹된 네이버 계정으로 추정되는 블로그에 다음(Daum) 위젯 뱅크에 등록된 특정 악성 위젯을 심는 방식으로 네이버 블로그 접속시 납치 행위를 하는 사례를 확인하였습니다. 우선 현재 네이버 블로그에서는 네이버 자체에서 제공하는 위젯 이외에 외부(위자드 팩토리, 다음 위젯 뱅크)에서 위젯을 불러올 수 있는 서비스를 베타(Beta) 테스트하고 있는 것으로 알고 있습니다. 이에 따라 외부에 노출된 네이버 계정 정보로 접속한 사이버 범죄자는 해당 계정 사용자가 운영하는 블로그 설정을 변경하여 사용자가 인지하지 못하는 위젯을 등록하여 해당 블로그 방문시 특정 블로그로 자동 납치를 하여 웹하드 광고 행위를 하고 있습니다. 특히 몰래 추가된 위젯은 1px 크기로 ..
벌새::Analysis 2012. 5. 28. 11:42 제휴(스폰서) 프로그램 : Windows zera 시작 프로그램 및 서비스 등록을 통해 시스템 시작시 자동 실행되어 수익성 프로그램을 체크하는 "Windows zera" 프로그램에 대해 살펴보도록 하겠습니다. [생성 폴더 / 파일 등록 정보] C:\Documents and Settings\(사용자 계정)\Application Data\zerowins :: 숨김(H) 속성 폴더 C:\Documents and Settings\(사용자 계정)\Application Data\zerowins\uninst.exe :: 프로그램 삭제 파일 C:\Documents and Settings\(사용자 계정)\Application Data\zerowins\zcnt.exe C:\Documents and Settings\(사용자 계정)\Application Data\zerowi..
벌새::Analysis 2012. 5. 25. 00:04 [삭제] Window Live Pot - wlivep 인터넷 검색을 통해 특정 인터넷 쇼핑몰 접속시 사용자 몰래 광고 코드를 추가하는 검색 도우미 "Window Live Pot - wlivep" 프로그램에 대해 살펴보도록 하겠습니다. ▷ 검색 도우미 : Window Live Pot (2012.5.24) 해당 프로그램(MD5 : ba7ef3becfcb7872d4d5bdf629d1c6b3)과 동일한 이름의 Window Live Pot 검색 도우미 프로그램이 존재하므로 참고하시기 바랍니다. [생성 폴더 / 파일 등록 정보] C:\Program Files\windowlivepot C:\Program Files\windowlivepot\uninstall.exe :: 프로그램 삭제 파일 C:\Program Files\windowlivepot\wlivep.dll :: ..
벌새::Analysis 2012. 5. 21. 20:54 불법적인 한컴오피스 뷰어 배포를 통한 제휴(스폰서) 프로그램 유포 사례 (2012.5.21) (주)한글과컴퓨터 업체에서는 한컴오피스 제품군을 통해 제작된 문서를 무료로 볼 수 있는 한컴오피스 뷰어 프로그램에 대해 작년(2011년)부터 일부 사용자(업체)들이 재배포를 하는 과정에서 악성코드를 추가하는 등의 문제가 발생하여 업체의 허락없이 재배포나 유통을 할 수 없도록 사용권을 변경하였습니다. ▷ 한글과컴퓨터 오피스 뷰어 2010 SE 만약 한글과컴퓨터 공식 사이트 이외의 웹 사이트에서 배포를 하려면 반드시 사용 신청서를 접수하여 허락을 얻어야하는데, 최근 한컴오피스 뷰어 2010 SE 버전에 대해 모 업체에서 불법적으로 배포하는 과정에서 추가적인 제휴(스폰서) 프로그램을 추가하는 행위를 확인하였습니다.(※ 설마 업체 허락하에 이러지는 않겠지. ) 유포 방식을 살펴보면 네이버(Naver) 블로그에 ..
벌새::Security 2012. 5. 19. 21:50 AhnLab V3 오진 : MOV/Cve-2011-2140 (2012.5.19) 국내 보안 업체 안랩(AhnLab) V3 보안 제품에서 인터넷 상에서 제공되는 동영상을 재생할 경우 MOV/Cve-2011-2140 진단명으로 오진하는 문제를 확인하였습니다. 현재 확인된 오진 경로는 네이버(Naver) 포토 갤러리에 게시된 다양한 동영상을 재생할 경우 동영상 포맷이 mp4 확장자를 가질 경우 MOV/Cve-2011-2140 진단명으로 진단되는 것으로 보입니다. 해당 진단명은 Adobe Flash Player 제품의 메모리 변조 취약점을 이용하여 원격 코드 실행이 가능한 CVE-2011-2140 취약점에 대한 진단으로, 주로 주말을 이용하여 온라인 게임 계정 탈취 목적으로 국내 웹 사이트에서 광범위하게 유포되는 악성코드에서 사용되고 있습니다. ▷ 웹 사이트 변조로 인한 시스템 점검 중인 ..
벌새::Analysis 2012. 5. 12. 20:34 검색 도우미 : Window naverdown 최근 네이버(Naver)에서 제공하는 프로그램처럼 이름을 등록하여 인터넷 검색시 사용자 몰래 특정 코드를 추가하여 야후(Yahoo) 검색을 시도하는 검색 도우미 "Window naverdown" 프로그램에 대해 살펴보도록 하겠습니다. 특히 해당 프로그램은 2012년 2월 21일경 "naverdown.com" 도메인을 등록하여 마치 네이버(Naver) 관련 사이트처럼 오해를 유발하고 있습니다. 해당 프로그램의 설치 파일(MD5 : 6420099cd6fb56ae76d36872e51823d0)에 대하여 avast! 보안 제품에서는 Win32:Malware-gen (VirusTotal : 5/41) 진단명으로 진단되고 있습니다. [생성 폴더 / 파일 등록 정보] C:\Program Files\naverdowns..
벌새::Analysis 2012. 4. 29. 02:30 패스트핑(FastPing) 프로그램 설치시 NHN 파일로 위장한 악성코드 감염 주의 (2012.4.29) 최근 네이버(Naver) 블로그에 게시된 패스트핑(FastPing) 프로그램을 다운로드하여 실행시 사용자 몰래 루트킷(Rootkit) 계열의 악성코드를 설치하는 사례를 확인하였으므로 주의하시기 바랍니다. 특히 해당 파일은 네이버(Naver) 업체의 NHN 파일 속성값을 가지고 있으며, 중국 계열에서 제작된 툴을 이용한 국내인의 소행으로 추정됩니다. 해당 악성코드는 2012년 4월 27일경에 네이버(Naver) 블로그에 등록되어 있으며, 링크를 통해 다운로드되는 파일은 네이버 블로그 첨부 파일로 확인되고 있습니다. 다운로드된 패스트핑(FastPing) 설치 파일은 정상적인 파일과 비교하여 디지털 인증서가 존재하지 않는 것이 특징입니다. 참고로 해당 블로그 첨부 파일(MD5 : 55676fc82428e19a..
벌새::Analysis 2012. 4. 25. 14:32 w런쳐(wLauncher) 맵핵 감지기를 이용한 악성코드 유포 주의 (2012.4.25) 어제 네이버(Naver) 블로그를 통해 스타크래프트(StarCraft) w런쳐(wLauncher) 맵핵 감지기 프로그램을 이용한 백도어(Backdoor) 유포 사례를 확인하던 과정에서 또 다른 악성코드 유포가 확인되어 살펴보도록 하겠습니다. ▷ wLauncher 핵감지기를 이용한 백도어(Backdoor) 유포 주의 (2012.4.24) 유포 방식은 기존과 마찬가지로 블로그에 등록된 첨부 파일(zip 압축 파일)을 다운로드하여 압축 파일 내부에 존재하는 실행 파일을 실행할 경우 감염으로 연결이 이루어지고 있습니다. 이번 유포건은 4월 19일에 등록된 게시글로 앞서 소개한 유포와는 다른 형태이며, 덧글 역시 정상적인 네이버(Naver) 사용자들로 확인되고 있습니다. 파일의 모습을 살펴보면 다운로드된 zip ..

티스토리툴바