온라인게임 계정 탈취와 ARP Spoofing 공격에 대한 로그 및 간략분석 (사진 출처 : http://blog.naver.com/sheistong/140110741858) 기록용으로 남긴다. 2010-09-03일 처음으로 ARP Spoofing 관련 내용을 접하였고, 주말을 통해 전파속도가 급속히 늘어났다. 현재까지 발견 된 스크립트는 다음과 같다. - 9월 3일 변조 된 국내외 홈페이지에서 발견 된 스크립트 형태 http://www.xzjiay***.com/ad/yahoo.js http://www.xzjiay***.com/ad/ad.htm http://www.xzjiay***.com/ad/news.html http://www.xzjiay***.com/ad/count1.html http://www.dadi***.com/images/s.exe - 9월 6일 변형 된 스크립트 형.. 2010. 9. 7. 알약(ALYac), ARP Spoofing 공격을 실행하는 온라인 게임 계정 탈취 악성코드 주의 안녕하세요? 이스트소프트 알약보안대응팀입니다. 현재 MS10-002, MS10-018 인터넷 익스플로러 취약점을 이용해 PC를 감염시키고, ARP Spoofing 공격과 온라인 게임 계정을 탈취하는 악성코드의 감염이 급증하고 있어 PC 사용자들의 주의가 필요합니다. 지난 주말 국내 다수의 웹사이트가 해킹을 당해 웹사이트를 방문한 사용자PC로 하여금 악성코드를 다운로드 받는 스크립트들이 추가된 동향이 포착되었으며, 악성코드에 감염된 PC는 던전앤파이터, 아이온, 메이플 스토리 등의 온라인 게임 계정을 탈취하고, 추가 감염을 위해 ARP Spoofing 공격을 실행하기 때문에 외부와의 인터넷 연결이 원활하지 않을 수 있습니다. 현재 알약에서는 이들 악성코드에 대해 S.SPY.OnlineGames.kv, S... 2010. 9. 7. 알집(ALZip), ALZip SFX 방식을 이용한 악성코드 주의 알집의 SFX방식을 이용한 악성코드가 발견되었다. 현재 최초 유포단계는 알 수 없으며, 이메일을 통해 단축 URL로 배포 될 가능성이 매우 높다. - Short URL http://km****.ok.hn http://hot*****.co7.co - Redirection URL http://juda****.com/1.html http://juda****.com/AdobeFlashPlayer.exe 위의 Short URL로 접속하면 사용자를 현혹시키기 위해 선정적인 그림과 문구가 적혀 있으며, 사용자에게 다운로드를 유도한다. 그림을 클릭하면 AdobeFlashPlyer.exe를 다운로드 받게 된다. 악성파일을 많이 보신 분들이라면 이름만 들어도 ㅡ.ㅡ; 악성이라 의심할 수 있을 만한 파일명!! ㅋㅋㅋ 중요한.. 2010. 8. 10. 사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생(2010-07-16) 다음 커뮤티케이션을 가장한 키로거 파일이 새로 발견되었다. 이번엔 아예 Daum이란 파일명을 사용하지는 않았으며, 디지털서명쪽에만 사용하였다. 아무래도 제작자가 눈치를 깐듯 ㅡ.ㅡ;; ps. 드롭퍼로 추정되는 파일은 따로 추적중이다. 이 파일의 특이점은 설치 시 atl100.dll 파일이 따로 필요하다는것이다. atl100.dll(ATL Module for Windows) 파일은 Microsoft Visual Studio 2010의 재배포 파일 중에 하나이다. 제작자가 Visual Studio 2010에서 제작을 한것으로 판단되며, 드롭퍼는 atl100.dll 파일을 자체적으로 가지고 있던가 또는 notice.dll 드롭시 atl100.dll도 함께 드롭시킬 가능성이 매우 높다. PC에 C:\WINDOW.. 2010. 7. 16. 알약(ALYac), 윈도우2000, XP 서비스팩 2 기술지원 종료에 따른 업그레이드 준비 안내 이제 정말 빠이빠이네요...Win XP SP2 !! 잘가~ 그동안 수고했당!! 안녕하세요? 이스트소프트 보안대응팀입니다. 마이크로소프트 사의 윈도우 2000과 윈도우XP 서비스팩2 제품의 연장 기술지원(Extended Support Phase)이 2010년 7월 13일에 모두 종료되게 됩니다. 앞으로 연장 기술지원이 종료되면 윈도우 보안 패치 또한 제공되지 않으므로 최신 윈도우로의 업그레이드 준비를 계획해야 합니다. 현재 윈도우 XP 서비스팩 2를 사용하고 있는 PC 사용자께서는 무료로 제공되는 Windows XP 서비스 팩3를 다운로드 받아 설치하시면 2014년까지 MS의 지속적인 기술지원을 받으실 수 있습니다. 윈도우XP 서비스팩3 다운로드 홈페이지(한글) : http://www.microsoft.c.. 2010. 7. 13. 사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생(미국으로 전송) 어제 일본으로 유출시키는 악성코드 변종이 발견되었다고 포스팅 하였었는데, 전체적인 구도가 잡혀서 다시 포스팅함당!! 이번에는 미국과 일본으로 동시에 고고싱 시킨다. 현재까지 수집 된 파일이다. 보는대로 모두 Daum 과 연결되어 있을 듯 한 파일명을 하고 있다. 벤더도 마찬가지며, 아마도 나도 그냥 Daum File이라고 생각하고 넘어갈 수 도 있었을 듯 하다 ㅡㅡ;; 이번 변종에 대한 내용을 간략하게 분석을 하자면 다음과 같다. 1. V.DWN.Infostealer.65904(DaumCafeOn.dll, DaumCafeOn.inf) BHO에 등록되어 동작하며, 인터넷 익스플로러 실행 시 특정 서버로 연결되어 파일을 다운로드 받는다. http://218.61.**.***:801/update/proc.asp 2010. 4. 23. 사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생 4월 초에 발견되었던 키로거의 변종이 발견되었다. 아직 분석 중이라 자세한 사항은 적을 수 없지만, 이번에는 키로거가 아닌 다른 것을 준비하는 느낌이 든다. 설마 이녀석 DDoS ??? ㅠ_ㅠ 제발 살려줘라~!! 지난번의 다운로드 및 키로그 전송서버가 일본 Nagano 더니, 이번엔 Tokyo 이다. 이번에는 키로그 정보가 없기때문에 다운로드만 가능하다. 현재까지 분석 내용은 지난번과 동일하게 ActiveX로 설치 되는 것으로 판단되며, 설치 된 PC에서는 사용자 PC정보를 전송하는 파일을 한개 다운로드 하며, 다운로드 된 파일은 DaumKeysec.dll를 드롭시킨다. 드롭 된 dll 파일은 BHO에 등록되어 인터넷 익스플로러 실행 시 백도어로 판단되는 파일을 다운로드 하게 된다. 특정 페이지에 접속하.. 2010. 4. 22. 알약의 오탐지 사건, 재탕좀 그만하자, 이제 지겹다!! 위의 사진은 2008년 12월 8일 알약에서 자신의 업데이트 파일을 오탐지 한 사진이다. 그 당시에 12월 8일 오후 9시 30분에 패턴 인식 데이타베이스를 업데이트 하는 과정에서 AYUpdate.exe를 S.Spy.Lineag-GLG로 오진하였다. 참고사항으로 S.Spy.Lineag-GLG 탐지명은 현재도 많이 성행하고 있는 악성코드이다. 이 글에 나오는 S.Spy.Lineag-GLG은 AYUpdate.exe 파일에 국한된 내용이므로 혼동하지 않아야 한다. 정상 적인 탐지명이다. - 관련기사 쿠키 뉴스 [2008.12.09 13:39] http://news.kukinews.com/article/view.asp?page=1&gCode=eco&arcid=0921123208&cp=nv 보안 뉴스 [2008-.. 2010. 4. 21. 이전 1 2 3 4 5 6 7 다음
