본문 바로가기
알약(ALYac), 미투데이 SNS를 이용한 악성코드 유포 주의 안녕하세요? 이스트소프트 보안대응팀입니다. 윈도우 업데이트 파일로 위장한 악성 DLL 파일이 미투데이(me2day)를 이용해 추가 악성코드를 다운로드하고 있으며, 새로운 좀비 PC들을 양산해내고 있어 사용자들의 주의가 필요합니다. 현재 윈도우 업데이트 파일로 위장한 악성 DLL 파일이 국내에서 서비스되어 있는 미투데이와 해외의 트위터(Twitter)를 통해 추가 악성코드를 다운로드 받게 하고 있으며, 이들 파일들이 좀비 PC를 양산하는 역할을 수행하고 있습니다. 소셜 네트워킹 서비스(SNS)를 통한 악성코드 유포는 주로 해외의 트위터(Twitter)나 페이스북(Facebook) 등을 중심으로 이루어졌으나 국내 사용자가 대다수를 차지하는 미투데이를 통해 악성코드를 유포한 사례로는 이번이 처음입니다. 특히 .. 2010. 7. 22.
Bkis Global Task Force Blog, Lnk Exploit Analysis and Detect Tool 베트남 보안업체인 Bkis Internet Security 에서 이번 Lnk 취약점에 대해서 써 놓은 분석자료와 취약점을 확인해 주는 전용툴을 공개하였다. - Detailed description of Windows’ LNK Vulnerability http://blog.bkis.com/en/detailed-description-of-windows-lnk-vulnerability/ .lnk file is the format of the Windows’ shortcuts. The vulnerability recently found in this format actually lies in the way Windows processes the Control Panel shortcuts. Normally, th.. 2010. 7. 22.
[SpamMail] "declined deposit report" 제목으로 전파 되는 메일 주의!! "declined deposit report "제목으로 스팸메일이 유입되고 있어 주의가 필요하다. 제목 : declined deposit report 본문 : Please view the attached report of the declined deposit by OFAC 첨부파일 : report.zip 해당 메일은 OFAC(Office of Foreign Assets Control) 기관에서 보낸것으로 위장하여 사용자가 첨부파일을 실행 하도록 유도한다. report.zip파일은 안에 report.exe파일을 담고 있다. - 파일정보 report.exe(report.zip 압축 파일에 담겨있는 파일, V.DWN.FakeAV.15872) C:\Documents and Settings\사용자이름\Local .. 2010. 7. 19.
변조 된 imm32.dll파일에 추가된 "rs64 New Section" 2009년 11월 부터 발견되어 현재까지도 꾸준히 업데이트하는 악성코드가 있다. 바로 imm32.dll 이다. imm32.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 요즘 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다. 4A489C2C47F64541005EDB79149B3495,110080(XP SP2) - 5.1.2600.2180 7DC8A392C09DDF8C8FB1AA007D19D98B,110080(XP SP3) - 5.1.2600.5512 - 현재까지 변종으로 나온 Section Table(ss32, s32, sy32, rs64 발견 된 순서이다.) 변조 된 imm32.dll은 Loader의 역활을 하며, Load 시키는 악성코드는 다음과 같다. C:\WINDOWS\syst.. 2010. 7. 19.
알약(ALYac), 윈도우 쉘(Shell) 취약점으로 인한 원격코드 실행 문제점 안녕하세요? 이스트소프트 보안대응팀입니다. 윈도우의 쉘(Shell)에서 단축 아이콘(LNK; Shortcut) 파일을 처리하는 과정에 원격 코드가 실행될 수 있는 제로데이 취약점이 발견되었습니다. 현재 이번 취약점을 이용한 악성코드(알약 진단명 : Win32.Worm.Stuxnet.A)가 South East Asia 지역 (인도 및 인도네시아 이란 등)을 중심으로 유행하고 있으며, 국내에서도 악성코드 확산 위협이 높으므로 PC 사용자의 주의가 필요합니다. 해커가 조작한 악의적인 단축 아이콘(LNK) 파일에서 특정 프로그램을 실행시킬 수 있는 취약점이 존재하며 USB 이동식 디스크(USB 메모리)에 악성 LNK를 담아 악성코드가 유포될 수 있는 가능성이 높습니다. 이번 취약점이 대부분의 윈도우(XP, Vi.. 2010. 7. 19.
MSN 메신저로 전파되는 피싱사이트 - "나는 현재 알몸이다!!" 금일 7월 19일부터 다시 MSN 메신저를 통해 피싱사이트에 관련 된 쪽지가 마구 날라오고 있다. 먼가 새로운게 나왓나 싶어 봤더니, 역시나 다른 성인몰로 바뀌였다. - 대화목록 Hey I'm Naked Goto http://tw***.nl/a16q2m IM HORNEY AND BORED Goto http://tw***.nl/dfbr5c 자신의 Live를 보기 위해서는 Login을 하라고 한다. 물론 이런곳에 가입이 안되었기 때문에 무료로 가입을 하라고 권하고 있다. 신규가입을 위해 작성 된 자신의 정보가 다른 곳으로 나갈 수 있으니 주의하기 바람!! 어느누구도 이런 내용에 ㅠ_ㅠ 속지 않길 바란다!! - 관련글 2010/06/09 - [보안관련소식] - MSN 메신저로 전파되는 피싱사이트 - "나의 마.. 2010. 7. 19.
사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생(2010-07-16) 다음 커뮤티케이션을 가장한 키로거 파일이 새로 발견되었다. 이번엔 아예 Daum이란 파일명을 사용하지는 않았으며, 디지털서명쪽에만 사용하였다. 아무래도 제작자가 눈치를 깐듯 ㅡ.ㅡ;; ps. 드롭퍼로 추정되는 파일은 따로 추적중이다. 이 파일의 특이점은 설치 시 atl100.dll 파일이 따로 필요하다는것이다. atl100.dll(ATL Module for Windows) 파일은 Microsoft Visual Studio 2010의 재배포 파일 중에 하나이다. 제작자가 Visual Studio 2010에서 제작을 한것으로 판단되며, 드롭퍼는 atl100.dll 파일을 자체적으로 가지고 있던가 또는 notice.dll 드롭시 atl100.dll도 함께 드롭시킬 가능성이 매우 높다. PC에 C:\WINDOW.. 2010. 7. 16.
[SpamMail] "Your order has been paid!" 제목으로 전파 되는 메일 주의!! Your order has been paid! Tracking NR:66557(랜덤 5자리) - 493(랜덤 3자리) 제목으로 스팸메일이 발송되고 있어 주의가 필요하다. 제목 : Your order has been paid! Tracking NR:66557(랜덤 5자리) - 493(랜덤 3자리) 본문 : Dear Customers, Thank you for shopping at Amazon.com! We have successfully received your payment. Your order has been shipped to your billing address. You have ordered ・Sony Bravia S2042 ・ You can find your tracking number in a.. 2010. 7. 15.

티스토리툴바