알약(ALYac), 알약2.0공개용 베타버전 및 2.5 기업용버전의 포털사이트 오탐지(Exploit.Html.Infected.I) 사과 안내 이스트소프트(ESTsoft)의 보안프로그램 알약(ALYac)에서 포털사이트 오탐지에 대한 공지사항을 기재하였다. 해당사항은 알약 2.0 공개용 베타버전과 알약 2.5 기업용 버전에만 나타나는 사항으로써 다음,네이버,네이트 등 포탈사이트의 정상적인 웹파일을 탐지하여 문제가 되었다. 알약에서 공지한 사항은 아래와 같다. 안녕하세요 알약대응팀입니다. 알약 2.0 공개용 Beta 및 알약2.5 기업용 버전에서 [다음 / 네이버 / 네이트] 포털사이트의 정상적인 웹페이지를 악성코드로 진단하는 오탐지가 발생하여 안내 드립니다. (알약 1.x 공개용 버전에서는 해당 오탐지가 발생하지 않습니다.) 8월 2일 오후10시 부터 8월 3일 오전10시 사이에 '네이트 홈페이지 접속 시', '다음 및 네이버 로그인 시' 알약에.. 2011. 8. 4. 네이트온 악성코드 사진변경(2011-05-06) 5월 6일 네이트온 쪽지나 대화창으로 전파되는 악성파일의 변종이 확인되었다. 매일매일 확인해야하는데 ㅠ.ㅠ 확인을 안했더니 이틀간의 파일이 밀려있었다. 제길;; 이래서 매일 확인하는 습관을 ㅋㅋㅋ 암튼 이번에도 특정 사이트로 이동하여 사용자PC에 해당 취약점이 존재 시에만 사용자PC에 다운로드 받는 방식이 사용되었다. 이번에는 2개의 사이트에서 악성파일이 다운로드 되었다. (아직까지 유포 중이라 눈물을 머금고 *표시로 대체함;;) hxxp://www.dezx****.com hxxp://www.dezx****.com/1.html hxxp://www.dezx****.com/3.html (Exploit.JS.Mult.Swf) hxxp://www.dezx****.com/nb.swf hxxp://www.dezx*.. 2011. 5. 10. 네이트온 악성코드 사진변경(2011-04-17) 국내 최대의 회원수를 자랑하는 메신저 "네이트온(NateOn)"의 쪽지로 전파되는 악성코드가 발견되었다. 예전에는 쪽지나 대화창으로 URL이 링크되어, 사용자가 클릭하면 1개의 실행파일을 다운로드 하는 방식이였다. 근래에 들어서는 쪽지나 대화창으로 악성URL이 유포되는 방식은 동일하지만, 파일을 다운로드 시키는 것이 아니라~ 특정 사이트로 이동하여 사용자PC에 해당 취약점이 존재 시에만 사용자PC에 다운로드 받는 방식으로 변경되었다. http://www.*****guj.com (네이트온 쪽지로 전달되는 URL) http://www.*****guj.com/1.html (취약점을 이용한 악성 스크립트) http://www.*****guj.com/k.js (악성 스크립트에 연동되는 스크립트) http://ww.. 2011. 4. 17. 구글 통계 관련 스크립트(ga.js)파일에 대한 오탐지 내용(JS/Agent, Adware.Smartad.D) 지난 일요일(12월 12일), 구글 통계 관련 스크립트 파일인 ga.js를 오탐지 하는 사항이 발생되었다. 구글 광고가 포함 된 사이트를 접속 시 탐지 되는 내용으로써, 국내제품으로는 안철수연구소가 JS/Agnet 탐지명으로 오탐지 하였으며, BitDefender 엔진을 사용하는 국내 제품(알약,하우리,nProtect)도 Adware.Smartad.D 탐지명으로 영향이 있을 것으로 보여진다. 현재 안철수연구소와 비트디펜더 제품 탐지명 모두 처리 된 것으로 보이니, 큰 문제는 없을 것으로 보여진다!! 아직도 탐지가 되고 있는 보안제품들은 바로 최신 업데이트로 수정하시길 바란다. - F-Secure의 공지사항 : http://www.f-secure.com/weblog/archives/00002073.html.. 2010. 12. 13. [SpamMail] "(E-Mail 주소) has sent you a birthday ecard" 제목으로 전파 되는 메일 주의!! 생일을 기념하는 스팸메일이 국내에서 발견되었다. 메일에는 ecard.html 파일이 첨부 되어 있다. 제목 : (e메일주소) has sent you a birthday ecard. 본문 : [e메일주소] just sent you an ecard You can view it by open attached document. Your ecard is going to be with us for the next 30 days. We hope you enjoy your ecard. 첨부파일 : ecard.html 이번에도 자바스크립트(JavaScript)로 이루어져있으며, Replace를 이용하여 리다이렉션 시키는 것으로 확인된다. 결과적으론 URL Redirection과 동일한 수법이다. ecard.html 파일.. 2010. 10. 12. [SpamMail] "OOO(유명인사) died" 제목으로 전파 되는 메일 주의!! 유명인사의 죽음을 알리는 스팸메일이 국내에서 발견되었다. 메일에는 News.htm 파일이 첨부 되어 있다. 이번에도 첨부파일은 자바스크립트(JavaScript)로 이루어져 있으며, Replace가 아닌 substr() Method를 이용하여 복호화가 이루어진다. 결과적으론 URL Redirection과 동일한 수법이다. 제목 : Cameron Diaz died 본문 : David Beckham died along with 34 other people when the Air Force CT-43 "Bobcat" passenger plane carrying the group on a trip crashed into a mountainside while approaching the Dubrovnik airpo.. 2010. 8. 23. [SpamMail] "My Husband, My Lover" 제목으로 전파 되는 메일 주의!! 광고를 목적으로 둔 스팸메일을 확인하였다. 메일에는 foryou.html 파일이 첨부 되어 있다. 이번에도 자바스크립트(JavaScript)로 이루어져있으며, Replace를 이용하여 리다이렉션 시키는 것으로 확인된다. foryou.html 파일은 Replace를 이용하여 http://myhometour******.com/xxx.html 로 연결된다. 리다이렉션 시키는 URL은 특정 광고를 보여주는 사이트이다. - 관련글 2010/06/17 - [악성코드소식] - [SpamMail] "Reset your Twitter password" 제목으로 전파 되는 메일 주의!! 2010/06/17 - [악성코드소식] - [SpamMail] 유명 SNS(Social Network Service)를 가장한 패스워드 .. 2010. 6. 23. [SpamMail] "Reset your Twitter password" 제목으로 전파 되는 메일 주의!! 지속적인 변종을 보이고 있다. 언제까지 이 스팸메일이 발생 될 지 걱정이다;; 물론 이번에도 악성파일의 다운로드 행위는 없다. 다만 광고를 보여줄뿐!! - open.htm 파일 내용 - 리다이렉션 URL 이 같은 스팸메일을 보내는 악성파일에 대해 분석 해 둔 사이트가 있다. 그림이 작으니 클릭해서 봐야한다. 원본 보기 : http://blog.emsisoft.com/2010/06/17/facebook-twitter-and-more-spams There seems to be no end for the circulation of twitter spams, and now the malware authors have started trying various strategies to bring similar co.. 2010. 6. 17. 이전 1 2 다음
