본문 바로가기

regedit

벌새::Analysis 2012. 7. 31. 11:28 여성 걸그룹 티아라 이슈를 이용한 백도어(Backdoor) 유포 주의 (2012.7.31) 최근 여성 걸그룹 티아라 멤버들이 화영양을 집단 왕따 사건으로 인하여 인터넷 상에서 큰 이슈를 불러오고 있는 과정에서 사회적 이슈를 이용한 백도어(Backdoor) 유포 행위가 확인되고 있습니다. 해당 유포 행위는 2012년 5~6월경부터 아프리카TV 개인 방송국의 방명록을 중심으로 유사한 전파 행위가 확인된 적이 있었으며 유포자는 동일범으로 기억됩니다. 유포 방식을 확인해보면 인터넷 게시판을 이용하여 "티아라 화재의 궁극의 영상" 이라는 내용으로 국내 특정 무료 도메인 주소(URL)를 남겨 사용자가 해당 사이트로 접속하도록 유도하고 있을 것으로 보입니다. 이를 통해 접속한 웹 사이트에서는 네이트닷컴에서 사용하는 파비콘 아이콘을 동원하여, 웹 브라우저 상단에 "이 사이트에서 'Microsoft Corpo..
벌새::Analysis 2012. 7. 23. 01:06 국내 압축 프로그램 업데이트를 통한 온라인 게임핵 유포 주의 (2012.7.23) 국내에서 제작된 유명 압축 프로그램의 업데이트 기능을 이용하여 온라인 게임핵 악성코드 유포 행위가 확인되었습니다. 해당 감염 방식을 살펴보면 압축 프로그램의 파일 변조 방식이 아닌 프로그램 설치 완료 후 자동 업데이트 체크 또는 기존에 설치된 프로그램 환경에서 업데이트 체크(updater.exe)를 시도할 경우 감염이 이루어질 수 있습니다. 이를 통해 해당 압축 프로그램 사용자의 PC 환경이 MS Windows, Adobe Flash Player, Oracle JRE 보안 패치가 제대로 이루어지지 않은 경우 자동으로 감염이 이루어질 수 있으며, 최종 다운로드 파일(MD5 : fabf021c72bb5a5e834383f5f260aae6)에 대하여 AhnLab V3 보안 제품에서는 Dropper/Win32.O..
벌새::Analysis 2012. 7. 21. 19:47 국내 백신 업데이트를 방해하는 wshtcpip.dll 온라인 게임핵 유포 주의 (2012.7.21) Adobe Flash Player, Oracle JRE 등의 보안 취약점을 이용한 주말 유포 사례에서 감염시 국내 대표적인 백신 프로그램의 업데이트 서버 접속을 방해하는 방식이 지속적으로 발견되고 있습니다. 이로 인하여 감염된 환경에서는 백신 프로그램 동작에는 문제가 없는데 AhnLab V3 백신의 경우 "업데이트 중 오류가 발생했습니다. (-1073741819)" 메시지 표시나 알약(ALYac) 백신에서는 "업데이트 서버와 연결에 실패하였습니다."라는 메시지를 통해 최신 DB 업데이트를 하지 못하도록 업데이트 서버를 차단하는 것을 확인할 수 있습니다. 현재 확인된 이번 주말 유포 행위 중 wshtcpip.dll 시스템 파일 패치를 통해 온라인 게임 계정 정보를 수집하는 악성코드 감염으로 인한 사례를 통..
벌새::Analysis 2012. 7. 17. 15:24 [삭제] WinbioTools 사용자가 특정 인터넷 쇼핑몰에 접속할 경우 사용자 몰래 광고 코드를 추가하며 삭제를 방해하는 WinbioTools 프로그램(MD5 : 8a6175c512fa5f885d25427d9e3611d2)에 대해 살펴보도록 하겠습니다. ▷ 검색 도우미 : Windows nuriweb (2011.12.17) ▷ 검색 도우미 : Windows infoaux (2012.3.10) ▷ 검색 도우미 : Windows Sidematch System (2012.3.13) ▷ 국내 악성코드 : Adware.Salumonia.816277 (Hauri ViRobot) (2012.4.4) ▷ 검색 도우미 : Windows best5info (2012.4.12) ▷ 검색 도우미 : Window naverdown (2012.5.12) ▷..
벌새::Analysis 2012. 7. 17. 13:20 [삭제] WindowEngine 사용자가 특정 웹하드 서비스에 가입하는 과정에서 사용자 몰래 파트너 아이디(ID)를 추가하는 기능을 가진 WindowEngine 프로그램에 대해 살펴보도록 하겠습니다. 특히 해당 프로그램(MD5 : cc733c7bf2878849c97b1c96122aebf5)은 사용자에 의한 삭제를 방해할 목적으로 삭제 파일은 제공하면서 제어판에는 등록하지 않는 방식으로 배포가 이루어지고 있습니다. ▷ 검색 도우미 : Windows nuriweb (2011.12.17) ▷ 검색 도우미 : Windows infoaux (2012.3.10) ▷ 검색 도우미 : Windows Sidematch System (2012.3.13) ▷ 국내 악성코드 : Adware.Salumonia.816277 (Hauri ViRobot) (201..
벌새::Analysis 2012. 7. 16. 20:16 바제상조가 모신 DoS 공격 목적의 악성코드 유포 주의 (2012.7.16) 대한민국 최대 규모의 보안 카페 "바이러스 제로 시즌 2"는 대대로 부지런한 매니저님들 덕분에 스팸 게시글에 대하여 적극적으로 대응하고 있으며, 이런 카페 운영에 대해 일부 카페 회원님들은 "바제상조"라고 부르기도 합니다. 그런데 오늘(2012년 7월 16일) 오전 카페에 주민등록번호를 Brute Force 방식으로 찾아준다는 프로그램으로 위장한 첨부 파일을 등록하는 행위가 있었습니다. 해당 글은 즉시 카페 매니저님에게 전달되어 삭제 처리가 이루어졌으며, 실제 어떤 파일인지 확인을 해보았습니다. Brute Force v1.2.exe (MD5 : ddd27a39ff3b2c01140309296044d6de) - AhnLab V3 : ASD.Prevention (VirusTotal : 1/41) 첨부 파일에 ..
벌새::Analysis 2012. 7. 14. 12:46 웹하드 정상 설치 파일 변조를 통한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.7.14) 최근 국내 인터넷뱅킹을 표적으로 한 악성코드 유포 행위가 활발하게 이루어지고 있으며, 이번에는 특정 웹하드 해킹을 통한 설치 파일을 변조하여 유포하는 행위가 확인되었습니다. ▷ 가짜 공인 인증서를 이용한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.6.11) ▷ 보안 취약점을 이용한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.7.12) 이미 기존에 파일 확장자 위장 방식, 응용 프로그램의 보안 취약점 유포 방식을 소개하였으며, 이번의 정상적인 프로그램의 설치 파일을 변조하는 방식까지 등장하여 공격자의 의도에 따라 다양한 감염이 이루어질 수 있음을 확인할 수 있습니다. 해킹된 웹하드 설치 파일을 이용하여 초기 실행을 할 경우 설치를 위한 압축 해제 과정에서 사용자가 웹하드 프로그램의 추가적인 설치 진..
벌새::Analysis 2012. 7. 13. 16:59 가짜 Microsoft Internet Explorer 웹 사이트를 이용한 온라인 게임핵 유포 주의 (2012.7.13) 2012년 5월 24일에 해외에서 등록된 가짜 Microsoft Internet Explorer 웹 사이트를 이용하여 Oracle JRE 취약점 및 제공되는 Internet Explorer 9.0 설치 파일을 이용하여 온라인 게임핵을 유포하는 행위를 확인하였습니다. 특히 해당 유포에서는 국내 도메인 서비스를 운영하는 W 업체의 웹로그 서버가 해킹되어 숙주로 악용되는 부분이 확인되고 있습니다. 현재 유포가 이루어지고 있는 웹 사이트 모습을 살펴보면 Microsoft Internet Explorer 웹 사이트처럼 구성되어 있으며, 아마 국내 인터넷 사이트 게시판(게시글) 등을 통해 접속을 유도하지 않았을까 추정됩니다. 해당 웹 사이트에서는 "Internet Explorer 9 다운로드" 버튼을 클릭할 경우 ..

티스토리툴바