알약(ALYac), SCADA 시스템 공격을 시도하는 Stuxnet 악성코드 안녕하십니까? 이스트소프트 알약 보안대응팀입니다. 최근 SCADA 시스템을 목표로 공격을 시도하는 악성코드인 Stuxnet이 이슈화되고 있습니다. 저희 알약에서는 이미 9월말에 언론에서 이슈화가 되기 이전에 이미 7월에 엔진 업데이트를 마쳤으며 현재 정상적인 치료와 예방이 가능한 상황입니다. 1. 최초 알약 등록일 : 2010년 7월 15일 진단명 : Rootkit.Stuxnet.A, Trojan.Stuxnet.A 2차 업데이트 : 2010년 7월 27일 진단명 : V.DRP.Stuxnet.A 2. Stuxnet이 악용하는 취약점 및 악성코드 감염 경로 Stuxnet 악성코드를 PC와 SCADA 시스템에 감염시키기 위해 사용하는 취약점과 주된 감염 경로는 아래와 같습니다. * 윈도우 취약점 - 서버 서비.. 2010. 10. 6. 카스퍼스키(kaspersky), 2010년 9월 악성프로그램 통계 세계적인 보안회사인 카스퍼스키(Kaspersky)에서 2010년 9월 악성프로그램 통계를 발표하였다. Net-Worm.Win32.Kido(Conficker와 Downadup로 알려짐)가 아직도 상위에 존재하며, 그 뒤를 무섭게 치고 올라오는 Virus.Win32.Sality도 조심해야 한다. 사용자들은 항상 보안제품을 최신으로 업데이트 하고, 실시간검사를 활성화 시켜 두는 것이 예방의 첫걸음이라는 것을 상기했으면 좋겠다. 원문보기 : http://www.securelist.com/en/analysis/204792141/Monthly_Malware_Statistics_September_2010 1. 사용자 컴퓨터에서 발견된 악성 프로그램첫 번째 Top 20은 on-access 스캐너에 의해 수집된 데이터를.. 2010. 10. 6. 2010년 10월 04일, ARP Spoofing 관련 도메인 및 유포사이트 정리 아실분들은 다 아실꺼니 괜찮고, 모르는 분들은 모자이크 앞부분만 구글링해도 확인 할 수 있음. 아직도 유포중인 사이트가 존재하여 부득이 하게 모자이크함!! 간단한 분석자료는 글 하단에 관련글에 있으니 그것으로 대신 보세요....^^ * 추가 된 사항은 빨간색으로 표시 함 - Domain List (yahoo.js -> img.js -> trim.js 로 변화중이다.) http://www.1webweb.com/******/yahoo.js http://www.1webweb.com/******/ad.htm http://www.1webweb.com/******/news.html http://www.xzjiayuan.com/**/yahoo.js http://www.xzjiayuan.com/**/ad.htm htt.. 2010. 10. 4. 2010년 9월 29일, ARP Spoofing 관련 도메인 및 유포사이트 정리 아실분들은 다 아실꺼니 괜찮고, 모르는 분들은 모자이크 앞부분만 구글링해도 확인 할 수 있음. 아직도 유포중인 사이트가 존재하여 부득이 하게 모자이크함!! 간단한 분석자료는 글 하단에 관련글에 있으니 그것으로 대신 보세요....^^ - Domain List (아직까지 추가 확인 된 URL은 없으며, 같은 도메인에서 파일만 바뀌는 형태로 진행 중이다) http://www.1webweb.com/******/yahoo.js http://www.1webweb.com/******/ad.htm http://www.1webweb.com/******/news.html http://www.xzjiayuan.com/**/yahoo.js http://www.xzjiayuan.com/**/ad.htm http://www.xz.. 2010. 9. 29. 알약(ALYac), iPhone 4.1 탈옥 도구를 가장한 패스워드 유출 악성코드 주의 안녕하세요? 이스트소프트 알약보안대응팀입니다. 아이폰 iOS 4.1 버전의 탈옥(Jailbreak) 도구를 가장한 파일에 패스워드를 유출시킨 후, 미국 시카고에 위치한 서버로 전송하는 악성코드가 발견되어 사용자들의 주의가 요구됩니다. 아이폰 iOS 4.1 탈옥 수행을 가장한 파일에 악성코드가 내장되어 있으며, 이들 악성코드가 주로 MSN 메신저와 Google Talk, 아웃룩, IE의 자동 완성 패스워드 등을 유출해 미국 시카고에 위치한 서버로 전송하는 역할을 수행합니다. 주로 P2P 파일 공유 프로그램과 블로그, 홈페이지 등을 통해 유포되는 이번 악성코드는 아이폰 4.1의 탈옥을 시도하려는 사용자가 첨부된 파일을 실행했을 때 가짜 아이폰 탈옥 프로그램이 함께 실행되면서 PC에 설치됩니다. PC에 설치된.. 2010. 9. 28. 페이스북(FaceBook) 쪽지로 전파되는 악성코드 금일 오전에 유명 소셜네트워크인 페이스북(FaceBook) 쪽지로 인하여 악성코드가 전파되는것이 확인되었다. 쪽지내용으로는 특정 URL이 적혀있는데, 그 URL클릭 시 악성코드가 포함되어 있는 사이트로 이동된다. - URL 클릭 시 이동 되는 사이트(해당 사이트는 YouTube인 것 처럼 가장하여 사람들을 속인다) - 이동 된 사이트에서 다운로드 되는 파일 - 파일이 동작 되면 다음과 같은 파일을 추가 다운로드 한다. http://mahjongmu****.com/.oieq/?getexe=ff2ie.exe http://mahjongmu****.com/.oieq/?getexe=p.exe http://mahjongmu****.com/.oieq/?getexe=dg.exe http://mahjongmu****.c.. 2010. 9. 27. 카스퍼스키(Kaspersky), iPhone Jailbreaking, Greenpois0n and SHAtter Trojans 카스퍼스키에서 iPhone 4.1 iOS에 필요한 탈옥 툴인 Greenpois0n 프로그램을 가장한 트로이목마가 존재한다고 소개했다. 물론 이런 일들이 처음있는 일도 아니고;; 머 기록용으로 남겨본다 ㅎㅎ 현재 알약에서는 Trojan.Keylogger.IStealer.A 으로 탐지 중이다. ps) 모든 Greenpois0n 프로그램이 악성코드는 아니다. 다만 이런 사회공학적이슈를 노리고 있는 악성코드가 있다는것을 알릴뿐!! 원문 : http://www.securelist.com/en/blog/2294/iPhone_Jailbreaking_Greenpois0n_and_SHAtter_Trojans#readmore When iPhone jailbreaking was declared legal earlier th.. 2010. 9. 27. SWF 취약점을 가진 악성코드 간략 설명(mm913.exe) 9월 14일 Adobe사에서 제공하는 Adobe Flash Player의 취약점을 발표함 이를 악용한 악성파일이 빠르게 발견되었는데, 잠시 살펴보자~ 이 글은 기록용이므로~ 정보가 많이 없음 ㅎㅎ (개인적인 기록용) 우선 악성 SWF 파일을 살펴보면, CWS = 즉! 압축이 되어 있다. 익숙하게 풀어보면, FWS로 쉽게 압축을 해제 할 수 있다. 압축을 풀어보니, ShellCode로 보이는 것들이 잔뜩 있다...;; ㅎㄷㄷ 너무 많다 ㅋㅋ 아지만 0c0c909으로 보아 NopSlide도 존재할 것으로 보인다. 해당 Hex값을 Disassem 해보니, XOR(E2)로 변환 하는 코드가 보였다. 실제로 위의 ShellCode에는 특정부분으로 JMP 후 URL을 다운로드 하는 코드였다. 다운로드 하는 파일은 .. 2010. 9. 20. 이전 1 ··· 60 61 62 63 64 65 66 ··· 105 다음
