본문 바로가기

regedit

벌새::Analysis 2012. 7. 12. 12:53 한게임 포커(Poker)를 노리는 백도어 유포 주의 (2012.7.12) 예전부터 국내 광고 프로그램 등의 유포 경로를 통해 한게임(HanGame)을 노리는 백도어(Backdoor) 유포 행위가 심심찮게 발견이 되고 있었으며 유포 주기도 매우 짧은 형태로 치고 빠지는 것으로 보입니다. 이번에 살펴볼 유사한 변종은 Anti-VM 기법을 이용하여 가상 환경에서 분석을 어렵게 하고 있으며, 국내 특정 개인정보 확인 프로그램의 모바일 관련 코드로 추정되는 URL 주소가 포함되어 있는 것이 특징입니다. 유포지를 확인해보면 특정 업데이트 서버에 인터넷 쇼핑몰 바로가기 아이콘을 생성하는 광고 프로그램과 함께 특정 카페24(Cafe24) 웹 호스팅 서버에 "teask"라는 프로그램으로 등록된 형태로 등록되어 있습니다. 이를 통해 외부의 어떤 프로그램은 업데이트를 시도하는 과정에서 해당 악성..
벌새::Analysis 2012. 7. 12. 00:09 보안 취약점을 이용한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.7.12) 최근 중국 계열의 사이버 범죄 조직이 국내 인터넷뱅킹 사용자를 표적으로 한 피싱(Phishing) 사이트, 보이스 피싱, 악성코드를 통한 금융 정보 탈취 행위가 활발하게 발견되고 있는 추세입니다. ▷ 가짜 공인 인증서를 이용한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.6.11) ▷ 개인 금융 정보 탈취를 노리는 Banki 트로이목마 변형 (2012.7.11) 특히 2012년 6월 확인된 인터넷뱅킹에 사용되는 공인인증서 탈취 및 금융 정보 수집 행위에 대해 자세히 소개한 적이 있으며, 안랩(AhnLab)에서는 오늘자로 Trojan/Win32.Banki 변종이 발견되었다는 소식을 전하고 있습니다. 특히 주말을 이용하여 국내 웹 사이트를 중심으로 유포가 이루어지고 있는 온라인 게임핵 감염 악성코드에서 주..
벌새::Analysis 2012. 7. 9. 20:51 모기잡기 프로그램을 이용한 백도어 유포 주의 (2012.7.9) 최근 네이버(Naver) 블로그를 통해 사용자의 눈길을 끄는 다양한 프로그램(※ 모기잡기 프로그램) 설치 파일 내부에 악성 파일을 추가한 방식으로 백도어(Backdoor) 설치를 통해 좀비 PC를 확보하는 사례를 살펴보도록 하겠습니다. 해당 악성코드는 공개된 해외 자동 분석 정보에 따르면 2012년 5월경부터 유사 변종이 확인되고 있으며, C&C 서버도 서로 다른 점으로 보아 한 명 이상의 유포자가 중국(China)산 툴을 이용하여 제작 및 유포하는 것으로 추정됩니다. 유포 블로그를 확인해보면 모기잡기 프로그램 이외에 게임 렉 방지 프로그램, 일본 P2P 프로그램, 다운로드 가속기 등 다양한 프로그램 내부에 악성 파일을 추가하여 감염을 유발시키고 있습니다. 모기잡기 프로그램의 경우 모기잡기.exe (MD..
벌새::Analysis 2012. 7. 8. 00:56 검색 도우미 : WindowSearch Control 사용자가 인터넷 검색을 한 키워드 값을 기반으로 Internet Explorer 웹 브라우저 실행시 홈 페이지(시작 페이지)를 변경하는 검색 도우미 "WindowSearch Control" 프로그램에 대해 살펴보도록 하겠습니다. [생성 폴더 / 파일 등록 정보] C:\Program Files\WindowSearch C:\Program Files\WindowSearch\pco.dat C:\Program Files\WindowSearch\pt.dat C:\Program Files\WindowSearch\ptkd.dat C:\Program Files\WindowSearch\spkd.dat C:\Program Files\WindowSearch\stp.dat C:\Program Files\WindowSearch\..
벌새::Analysis 2012. 7. 7. 01:41 다운로드 도우미 : 인터넷다운로드(InternetDownload) 인터넷 상에서 파일을 다운로드할 경우 "인터넷다운로드" 창을 생성하여 파일을 다운로드하는 과정에서 광고 배너 노출 및 추가적인 수익성 프로그램 설치를 유도하는 "인터넷다운로드(InternetDownload)" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 7044276af402e9f6910c574111502471)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.179808.A (VirusTotal : 5/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다. ▷ 제휴(스폰서) 프로그램 : 파일겟(Fileget) (2010.7.26) ▷ 제휴(스폰서) 프로그램 : 파일다운(FileDown) 다운로드 도우미 (2010.12.21) ▷ 제휴(스폰서) ..
벌새::Analysis 2012. 7. 6. 11:17 Media vision 검색 도우미 프로그램 삭제 주의 (2012.7.6) 최근 국내에서 제작된 "Media vision" 프로그램을 Windows XP 운영 체제에서 제어판을 통해 삭제를 시도할 경우, 프로그램 삭제 정보를 저장하고 있는 레지스트리 값(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall) 자체를 제거하는 문제로 시스템에 문제를 유발하는 부분을 발견하였습니다. 또한 Windows 7 운영 체제에서는 제어판을 통한 프로그램 삭제가 진행되지 않는 문제가 발견되고 있습니다. 참고로 해당 프로그램의 설치 파일(MD5 : aff55e9bdc060f49ca8b117c9a367324)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.1505280 (VirusTotal : 28..
벌새::Analysis 2012. 7. 4. 11:37 국내 악성코드 : Internet svbar Client 인터넷 검색시 광고창 생성 및 웹 브라우저 하단에 광고바를 생성하는 검색 도우미 "Internet svbar Client" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 71d8eae8032bbc66ff2ccf7998cce6ed)에 대하여 AhnLab V3 보안 제품에서는 ASD.Prevention (VirusTotal : 21/42) 진단명으로 진단되고 있습니다. 특히 해당 프로그램은 제어판에 프로그램 삭제 항목을 등록하고 있지만, 실제 삭제 파일은 존재하지 않는 문제로 삭제가 이루어지지 않는 것으로 확인되고 있으므로 주의하시기 바랍니다. ▷ 국내 악성코드 : Windows Onestep System (2011.11.12) ▷ 검색 도우미 : Windows Onestep ..
벌새::Analysis 2012. 7. 3. 20:49 국내 악성코드 : uiguiders 특정 인터넷 쇼핑몰 접속시 사용자 몰래 광고 코드를 추가하는 uiguiders 검색 도우미 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : c9cc9b49f597448c1c9aeafa4df6965e)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.UiGuiders.543232 (VirusTotal : 27/42) 진단명으로 진단되고 있습니다. ▷ 검색 도우미 : qpscd (2012.3.21) ▷ 검색 도우미 : tpnbbs (2012.3.23) ▷ 검색 도우미 : mrsph (2012.4.17) ▷ 국내 악성코드 : pop2click (2012.4.26) ▷ 국내 악성코드 : bpntup (2012.4.26) ▷ 검색 도우미 : clickhighst (201..

티스토리툴바