본문 바로가기

naver

벌새::Analysis 2010. 7. 25. 22:13 검색 도우미 : Yahoo Helper 2.0 - Yahoo Helper4 국내에서 제작되어 악성코드를 통해 사용자 몰래 설치가 이루어지는 것으로 확인이 되는 검색 도우미 Yahoo Helper 2.0 - Yahoo Helper4 프로그램에 대해 살펴보도록 하겠습니다. 국내 악성코드 : Win-Adware/Cn8cls.236544 (AhnLab V3) 해당 프로그램은 Win-Adware/Cn8cls.236544 (AhnLab V3) 진단명으로 진단되는 악성코드를 통해 설치가 이루어지고 있으며, 설치를 위하여 다운로드되는 Yahoo Helper 2.0 설치 파일(MD5 : b3259f610dddce33bc6d5ce1c6b58b8c)에 대하여 AVG 보안 제품에서는 Generic18.AQWX (VirusTotal : 5/42) 진단명으로 진단되고 있습니다. 검색 도우미 : Yaho..
벌새::Analysis 2010. 7. 24. 22:27 국내 악성코드 : 와이즈링크(WiseLink) 국내에서 제작되어 제휴(스폰서) 프로그램 등의 방식으로 설치가 이루어지고 있는 것으로 추정되는 검색 도우미 와이즈링크(WiseLink) 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : b31abeffbf90547d5a07d0d0539c2609)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Downloader/WiseLink.352256 (VirusTotal : 22/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다. [생성 파일 진단 정보] C:\Program Files\wiselink\sgwc.dll (AhnLab V3 : Win-Adware/CloverPlus.299008) C:\Program Files\wiselink\sgwc.exe (AhnLa..
벌새::Security 2010. 7. 22. 23:30 미투데이(me2DAY)를 이용한 좀비PC 생성 악성코드 발견 (2010.7.22) 국내 무료 백신 이스트소프트(ESTSoft) 알약(AlYac)에서 네이버(Naver)에서 운영하는 SNS(Social Network Service) 서비스 미투데이(me2DAY)의 특정 계정에 좀비PC를 위한 악성 파일이 등록되어 있다는 분석 정보를 공개하였습니다. 미투데이 SNS를 이용한 악성코드 유포 주의 (2010.7.22) 내용인 즉, 2010년 4월 3일과 5월 25일 생성된 미투데이 특정 계정을 이용하여 5월 25일, 28일과 7월 13일에 악성 파일 정보를 등록하였고, 추가적으로 국내 Z 웹하드 특정 게시물과 해외 SNS 서비스 트위터(Twitter)에도 동일한 정보가 포함되어 있는 형태로 구성되어 있다는 내용입니다. 이를 통하여 감염된 사용자는 SNS 서비스를 통한 공격 명령에 따라 악의적..
벌새::Analysis 2010. 7. 22. 13:27 검색 도우미 : 스마트키워드(SmartKeyword) 국내에서 제작된 검색 도우미 스마트키워드(SmartKeyword) 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램은 Windows 시작시 SkeyAgent.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 메모리에 상주하도록 구성되어 있습니다. 프로그램의 기본적인 동작 방식은 사용자가 검색 사이트에서 특정 검색을 시도할 경우 프로그램에 등록된 검색어를 기반으로 특정 사이트를 새 창 열기 방식으로 다수 출력하는 동작을 하고 있습니다. 예를 들어, 네이버(Naver) 검색에서 "최신 영화"로 검색을 시도할 경우 해당 검색어와 상관없는 건축 관련 사이트를 비롯한 웹하드 사이트 등이 다수 노출되는 것을 확인할 수 있는데 이런 방식은 정상적인 인터넷 사용에 방해가 된다고 판단됩니다. S..
벌새::Analysis 2010. 7. 8. 14:38 네이버(Naver) & 티스토리(Tistory) 유사 도메인을 이용한 스폰서 프로그램 유포 주의 일전에 블로그를 중심으로 한 국내 특정 공개 자료실에서 제공하는 다운로더(Downloader) 프로그램의 문제점을 지적하면서 무료 백신 알약(AlYac)을 설치하는 과정에서 보안 제품의 진단이 발생하는 사례를 공개한 적이 있었습니다. 블로그를 통한 알약(AlYac) 설치 파일 다운로드 주의 (2010.4.22) 최근 위와 유사한 방식으로 사용자 컴퓨터에 원치않는 프로그램이 설치되어 해당 문제에 대해 문의가 들어와(보통 저에게 문의하는 사람들이 없습니다. 얼마나 급하셨으면 ) 확인하는 과정에서 기존과 동일한 공개 자료실의 문제로 확인이 되었으나, 이번에는 추가적으로 사용자의 눈을 속이기 위해 다음과 같은 방식을 이용하고 있는 것을 확인할 수 있었습니다. 블로그 게시글의 댓글에 그림과 같이 첨부 파일로 강조..
벌새::Security 2010. 6. 5. 00:47 Google Chrome을 이용한 네이버 로그인 보안 문제점 국내 포털 사이트 네이버(Naver) 서비스를 이용하기 위해 로그인을 하는 위치는 메인 화면을 비롯한 각 서비스별로 위치가 다양하게 분포되어 있습니다. 우리나라 인터넷 환경이 Internet Explorer에 최적화 되어 있는 관계로 인해 해당 사이트에서 제공하는 서비스가 웹 브라우저가 무엇이냐에 따라 다르게 동작한다는 점에서 웹표준을 준수하지 못하는 점은 매우 안타깝습니다. 먼저, 네이버 서비스에 대한 문제를 언급하기 이전에 국내 최대 사용자층을 보유한 네이트온(NateOn) 메신저에서 쉽게 확인할 수 있는 부분이 하나가 있습니다. 네이트온 메신저 환경 설정에서 기본 브라우저 설정을 기본값 [IE를 기본 브라우저로 설정]에서 [윈도우 기본 브라우저로 설정]을 선택한 경우 다음과 같은 경고 메시지를 확인..
벌새::Analysis 2010. 5. 1. 02:04 국내에서 제작된 네이버(Naver) 계정 탈취용 악성코드 발견 주의 (2010.5.1) 국내 포털 사이트 네이버(Naver) 계정을 수집할 목적으로 제작된 악성코드가 발견되었으므로 인터넷 사용자들은 주의하시기 바랍니다. 해당 악성코드는 국내에서 제작된 것으로 추정되며, 네이버 포인트, 은화를 무료로 충전해주는 충전핵이라는 이름으로 배포가 이루어지고 있습니다. 프로그램을 실행하면 네이버 코인 충전을 위해 네이버 계정 아이디와 비밀번호를 입력하도록 유도를 하고 있으며 비밀번호는 안전을 보장한다는 문구를 포함하고 있습니다. 하지만 실제 계정 정보를 입력한 상태에서 네이버 코인 충전을 시도할 경우 외부로 정보를 유출하는 행위를 하는 것을 확인할 수 있습니다. 연결 방식은 파란(Paran) 호스팅 계정으로 UDP 연결을 시도하여 입력한 네이버 아이디, 비밀번호, 사용자 IP 주소를 네이버 특정 이메..
벌새::Analysis 2010. 4. 25. 00:20 국내 악성코드 : TrojanDownloader:Win32/Parkchicers (Microsoft) 최근 4월경에 마이크로소프트(Microsoft)사에서 제공하는 보안 제품 진단명에 추가된 TrojanDownloader:Win32/Parkchicers 진단명에 사용된 이름이 매우 국내 악성코드를 지목하는 것처럼 보여서 추가적인 확인을 해보았습니다. 현재 마이크로소프트사에 등록된 해당 진단명은 TrojanDownloader:Win32/Parkchicers.A(B / C)로 분류되어 있는 것으로 보아 다수의 변종이 존재할 것으로 추정됩니다. 확인 과정에서는 TrojanDownloader:Win32/Parkchicers.A 진단명으로 진단되는 IPnMAC.exe(MD5 : faa4c3d9bfce1075a3bdbf116ff277fe) 파일을 통해 확인해 보도록 하겠습니다. IPnMAC.exe 파일은 그림과 같..

티스토리툴바