알약(ALYac), '3.20 사이버테러' 유사 패턴 악성코드 안내 공지 이스트소프트(ESTsoft)사의 보안 프로그램인 알약(ALYac)에서 "3.20 사이버테러" 유사패턴 악성코드를 발견하여 공지사항이 올라왔습니다. 아래의 링크는 관련 기사 내용입니다. 참고하세요.[ZDNet] 3.20 사이버 테러범, 정보수집활동 재개 의심 [TVReport]3. 20 전산망 테러조직, 지금도 정보수집활동 하는 것으로 밝혀져 [디지털타임스] `3.20 사이버테러` 유형 정보수집 `진행형` - 원본링크 : http://alyac.altools.co.kr/SecurityCenter/Analysis/NoticeView.aspx?id=209안녕하세요, 알약대응팀입니다. 지난 3. 20 방송사 및 금융사에 대한 전산망 마비사고가 약 2개월 가량 지나고 있는 가운데, 최근 해당조직들이 사용했던 악성.. 2013. 6. 10. 비지니스 협력을 가장한 스팸메일 주의!! 국내에 비지니스 협력을 가장한 스팸메일이 확인되었다. 악성파일이 첨부 되어 있으며, 궁금증에 의해 실행 한 분들은 보안프로그램으로 검사하시길^^ 메일 내용은 다음과 같다. 제목 : 商業の協力 본문 : こんにちは: 私たちは香港HKG会社があなたの会社にゲームの数を介して検討し、非常にゲームをここで我々の開発に適していくつかの発見は、我々は非常に話を、具体的にはいくつかの事項についての協力に関連する興味がある 別館に当社の背景情報を確認してください! 첨부파일 : business.zip business.zip 파일에는 "Resume.chm" 이라는 컴파일된 HTML Help 파일이 포함되어 있으며, Resume.chm 파일은 내부적으로 "dongevil.exe" 파일이 실행 되게 된다. Resume.chm 내부는 launch.htm.. 2010. 11. 27. 알약(ALYac), iPhone 4.1 탈옥 도구를 가장한 패스워드 유출 악성코드 주의 안녕하세요? 이스트소프트 알약보안대응팀입니다. 아이폰 iOS 4.1 버전의 탈옥(Jailbreak) 도구를 가장한 파일에 패스워드를 유출시킨 후, 미국 시카고에 위치한 서버로 전송하는 악성코드가 발견되어 사용자들의 주의가 요구됩니다. 아이폰 iOS 4.1 탈옥 수행을 가장한 파일에 악성코드가 내장되어 있으며, 이들 악성코드가 주로 MSN 메신저와 Google Talk, 아웃룩, IE의 자동 완성 패스워드 등을 유출해 미국 시카고에 위치한 서버로 전송하는 역할을 수행합니다. 주로 P2P 파일 공유 프로그램과 블로그, 홈페이지 등을 통해 유포되는 이번 악성코드는 아이폰 4.1의 탈옥을 시도하려는 사용자가 첨부된 파일을 실행했을 때 가짜 아이폰 탈옥 프로그램이 함께 실행되면서 PC에 설치됩니다. PC에 설치된.. 2010. 9. 28. 온라인게임 계정 탈취와 ARP Spoofing 공격에 대한 로그 및 간략분석 (사진 출처 : http://blog.naver.com/sheistong/140110741858) 기록용으로 남긴다. 2010-09-03일 처음으로 ARP Spoofing 관련 내용을 접하였고, 주말을 통해 전파속도가 급속히 늘어났다. 현재까지 발견 된 스크립트는 다음과 같다. - 9월 3일 변조 된 국내외 홈페이지에서 발견 된 스크립트 형태 http://www.xzjiay***.com/ad/yahoo.js http://www.xzjiay***.com/ad/ad.htm http://www.xzjiay***.com/ad/news.html http://www.xzjiay***.com/ad/count1.html http://www.dadi***.com/images/s.exe - 9월 6일 변형 된 스크립트 형.. 2010. 9. 7. 알약(ALYac), ARP Spoofing 공격을 실행하는 온라인 게임 계정 탈취 악성코드 주의 안녕하세요? 이스트소프트 알약보안대응팀입니다. 현재 MS10-002, MS10-018 인터넷 익스플로러 취약점을 이용해 PC를 감염시키고, ARP Spoofing 공격과 온라인 게임 계정을 탈취하는 악성코드의 감염이 급증하고 있어 PC 사용자들의 주의가 필요합니다. 지난 주말 국내 다수의 웹사이트가 해킹을 당해 웹사이트를 방문한 사용자PC로 하여금 악성코드를 다운로드 받는 스크립트들이 추가된 동향이 포착되었으며, 악성코드에 감염된 PC는 던전앤파이터, 아이온, 메이플 스토리 등의 온라인 게임 계정을 탈취하고, 추가 감염을 위해 ARP Spoofing 공격을 실행하기 때문에 외부와의 인터넷 연결이 원활하지 않을 수 있습니다. 현재 알약에서는 이들 악성코드에 대해 S.SPY.OnlineGames.kv, S... 2010. 9. 7. 사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생(2010-07-16) 다음 커뮤티케이션을 가장한 키로거 파일이 새로 발견되었다. 이번엔 아예 Daum이란 파일명을 사용하지는 않았으며, 디지털서명쪽에만 사용하였다. 아무래도 제작자가 눈치를 깐듯 ㅡ.ㅡ;; ps. 드롭퍼로 추정되는 파일은 따로 추적중이다. 이 파일의 특이점은 설치 시 atl100.dll 파일이 따로 필요하다는것이다. atl100.dll(ATL Module for Windows) 파일은 Microsoft Visual Studio 2010의 재배포 파일 중에 하나이다. 제작자가 Visual Studio 2010에서 제작을 한것으로 판단되며, 드롭퍼는 atl100.dll 파일을 자체적으로 가지고 있던가 또는 notice.dll 드롭시 atl100.dll도 함께 드롭시킬 가능성이 매우 높다. PC에 C:\WINDOW.. 2010. 7. 16. 사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생(미국으로 전송) 어제 일본으로 유출시키는 악성코드 변종이 발견되었다고 포스팅 하였었는데, 전체적인 구도가 잡혀서 다시 포스팅함당!! 이번에는 미국과 일본으로 동시에 고고싱 시킨다. 현재까지 수집 된 파일이다. 보는대로 모두 Daum 과 연결되어 있을 듯 한 파일명을 하고 있다. 벤더도 마찬가지며, 아마도 나도 그냥 Daum File이라고 생각하고 넘어갈 수 도 있었을 듯 하다 ㅡㅡ;; 이번 변종에 대한 내용을 간략하게 분석을 하자면 다음과 같다. 1. V.DWN.Infostealer.65904(DaumCafeOn.dll, DaumCafeOn.inf) BHO에 등록되어 동작하며, 인터넷 익스플로러 실행 시 특정 서버로 연결되어 파일을 다운로드 받는다. http://218.61.**.***:801/update/proc.asp 2010. 4. 23. 사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생 4월 초에 발견되었던 키로거의 변종이 발견되었다. 아직 분석 중이라 자세한 사항은 적을 수 없지만, 이번에는 키로거가 아닌 다른 것을 준비하는 느낌이 든다. 설마 이녀석 DDoS ??? ㅠ_ㅠ 제발 살려줘라~!! 지난번의 다운로드 및 키로그 전송서버가 일본 Nagano 더니, 이번엔 Tokyo 이다. 이번에는 키로그 정보가 없기때문에 다운로드만 가능하다. 현재까지 분석 내용은 지난번과 동일하게 ActiveX로 설치 되는 것으로 판단되며, 설치 된 PC에서는 사용자 PC정보를 전송하는 파일을 한개 다운로드 하며, 다운로드 된 파일은 DaumKeysec.dll를 드롭시킨다. 드롭 된 dll 파일은 BHO에 등록되어 인터넷 익스플로러 실행 시 백도어로 판단되는 파일을 다운로드 하게 된다. 특정 페이지에 접속하.. 2010. 4. 22. 이전 1 2 다음
