본문 바로가기

windows 탐색기

벌새::Analysis 2012. 1. 27. 15:40 MIDI 취약점을 이용한 정보 탈취 악성코드 유포 주의 (2012.1.27) 마이크로소프트(Microsoft)사의 2012년 1월 정기 보안 업데이트에서는 "MS12-004 : Windows Media의 취약점으로 인한 원격 코드 실행 문제점(2636391)"와 관련된 긴급 보안 패치를 배포하였습니다. 마이크로소프트(Microsoft) 2012년 1월 보안 업데이트 (2012.1.11) 해당 보안 패치는 MIDI(Musical Instrument Digital Interface) 파일 포멧의 취약점을 이용하여 원격 코드 실행이 가능한 CVE-2012-0003 취약점에 대한 문제가 해결되었으며, 2012년 1월 20일경부터 해당 취약점을 이용한 정보 탈취 목적의 악성코드 유포가 국내 인터넷 사용자를 표적으로 유포가 이루어지기 시작한 것으로 추정됩니다. [긴급] MIDI 원격 코드 ..
벌새::Analysis 2011. 12. 10. 19:50 Oracle JRE 취약점을 이용한 온라인 게임 악성코드 유포 주의 (2011.12.10) 이번 주말을 이용하여 유포가 이루어지고 있는 온라인 게임 및 문화 상품권 계정 탈취 목적의 악성코드 유포 방식이 Oracle JRE(Java Runtime Environment) 취약점(CVE-2011-3544)을 이용하고 있는 부분을 확인하였습니다. 업데이트 : Java SE Runtime Environment(JRE) 6 Update 29 & 7 Update 1 (2011.10.19) Oracle JRE 플러그인 취약점과 관련하여 10월 19일에 최신 보안 패치를 공개하였으며, JRE 6 Update 27 또는 JRE 7 Java SE 이하 버전을 사용하는 사용자의 경우 자동으로 감염될 것으로 추정됩니다. 기존의 경우 Adobe Flash Player 취약점과 Internet Explorer 웹 브라..
벌새::Analysis 2011. 12. 7. 19:33 해외 가짜 백신 : Kaspersky Internet Security 2010 최근 자극적인 동영상 감상을 위해 코덱(Codec) 파일을 다운로드하도록 실행시 해외 유명 보안 제품 Kaspersky Internet Security 2010 버전으로 위장한 가짜 백신(FakeAV)가 동작하는 사례가 확인이 되었습니다. 참고로 러시아를 본사로 하는 Kaspersky 보안 제품과 동일한 이름을 사용하고 있으므로 혼동하지 않도록 주의할 필요가 있습니다. 해당 악성코드 유포 방식은 그림과 같은 PrivateTube라는 이름의 악성 사이트로 접속을 유도하여 동영상 감상을 위해 플레이(Play) 버튼을 클릭하도록 구성되어 있습니다. 사이트에서는 동영상 감상을 위해 코덱 파일을 다운로드하여 실행하도록 유도하고 있으며, 해당 codec.exe(MD5 : ef1d48e8226e491133525df0..
벌새::Analysis 2011. 10. 23. 16:40 [삭제] 토나와(Tonawa) 토렌트 검색 프로그램 국내에서 제작되어 토렌트(Torrent) 관련 검색 기능을 제공하던 토나와(Tonawa) 토렌트 검색 프로그램이 최근 서비스를 중지한 것으로 추정됩니다. 해당 서비스는 국내 모 악성코드 제거 프로그램 업체에서 만들어 제휴(스폰서) 프로그램 배포 목적으로 유포가 이루어진 것으로 개인적으로 파악하고 있지만, 서비스 중지로 인하여 해당 프로그램이 설치된 환경에서 프로그램 삭제 기능 역시 동작하지 않는 문제가 있는 것을 확인하였습니다. 이에 해당 프로그램의 삭제 방법과 함께 유사 P2P 검색 서비스를 이용하여 특정 웹하드에 가입을 유도하는 문제를 함께 살펴보도록 하겠습니다. 토나와(Tonawa) 프로그램 설치 과정에서도 이미 설치 구성 요소 이용약관과 관련된 항목을 웹 상에서 불러오지 못하는 것으로 보아 서비스..
벌새::Analysis 2011. 10. 11. 14:09 VSLay.dll를 이용한 온라인 게임 계정 탈취 목적의 루트킷(Rootkit) 악성코드 (2011.10.11) 주말을 중심으로 한 국내 인터넷 사용자들을 대상으로 한 온라인 게임 계정 탈취 목적의 악성코드는 6~7월경부터 쉘코드(ShellCode)를 이용한 VSLay.dll 파일을 통한 감염을 유발하는 사례가 발견되기 시작하였습니다. 특히 최근에는 Windows 탐색기로는 파일을 확인할 수 없는 루트킷(Rootkit) 방식으로 등록하여 사용자 PC에 설치된 보안 제품(AhnLab V3, 알약(ALYac), 네이버 백신(Naver Vaccine))의 기능을 방해하여 감염된 자신들을 보호하고 있습니다. 어느 날 자신의 컴퓨터에 설치된 이들 보안 제품이 동작하지 않거나 삭제되는 현상이 발생한다면 이런 류의 악성코드에 감염되었으므로 전용 백신 또는 제3의 보안 제품을 설치하여 안전모드에서 정밀 검사를 하시기 바랍니다. ..
벌새::Software 2011. 10. 4. 11:46 바이러스 체이서(Virus Chaser) 8.0 : 일반 정보 & 바이러스 검사 국내 (주)SGA 보안 업체에서 서비스하는 개인용 무료 백신 바이러스 체이서(Virus Chaser) 8.0 버전의 메인 화면 구성 메뉴 중 일반 정보와 바이러스 검사 항목을 중심으로 소개해 드리도록 하겠습니다. 1. 일반 정보 ● 바이러스 바이러스 항목에서는 파일 단위 실시간 감시와 이메일 감시 동작에 대한 사용 여부를 한 눈에 확인할 수 있습니다. 이메일 감시와는 다르게 파일 실시간 감시 동작을 중지할 경우에는 시스템 트레이 알림 아이콘이 그림과 같이 색(초록색→주황색)이 변하며 실시간 감시가 중지되었음을 쉽게 알 수 있습니다. 참고로 파일 단위 실시간 감시는 Dr.Web 엔진을 통한 시그니쳐 기반 진단 방식과 3년간의 연구를 통해 자체적으로 연구하여 적용한 것으로 소개된 프로엑티브(Proactive..
벌새::Analysis 2011. 9. 26. 12:42 해외 가짜 백신 : OpenCloud Security 해외에서 제작된 가짜 백신(FakeAV) 프로그램은 일반적으로 Windows 및 웹 브라우저 보안 패치, Adobe Reader 및 Java 보안 패치가 제대로 적용되지 않은 시스템이 악의적인 웹 사이트에 접속할 경우나 사용자가 악성 파일을 실행할 경우에 설치될 가능성이 있습니다. µTorrent, BitTorrent 해킹을 통한 Security Shield 가짜 백신 유포 (2011.9.14) 특히 최근에는 해킹을 통해 정상적인 프로그램 파일이 가짜 백신 설치 파일로 교체되는 사례도 있었습니다. 이번 사례에서는 Gbot Worm 바이러스에 감염된 PC에서 추가적인 다운로드를 통해 OpenCloud Security 가짜 백신을 설치하여 사용자 PC 사용을 극도로 방해하는 동작에 대해 살펴보도록 하겠습니다..
벌새::Analysis 2011. 9. 13. 15:31 C:\Program Files\yong. 폴더를 이용한 온라인 게임 계정 수집 주의 (2011.9.13) 추석 명절을 포함한 연휴 기간 동안 매주 주말을 이용하여 유포되는 온라인 게임 계정 정보 수집을 목적으로 하는 악성코드가 새로운 방식을 통해 보안 제품의 치료를 방해하는 동작을 확인하였습니다. 이번에 소개해드리는 악성코드는 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 패치하는 동작과 함께, Windows 탐색기 및 보안 제품을 이용하여 삭제가 되지 않는 [C:\Program Files\yong.] 폴더 내부에 yong.exe 파일을 추가하는 방법을 사용하고 있습니다. C:\Program Files\yong.\yong.exe C:\Program Files\yh.\yh.exe C:\Program Files\small.\small.exe C:\..

티스토리툴바