본문 바로가기
[정상파일변조] wsockhelp32.dll 를 로드하는 악성파일(ws2help.dll) 악성코드 주의!! 최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다.그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다.ws2help.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.파일명 : ws2help.dll(Windows Socket 2.0 Helper for Windows NT)파일위치 : C:\Windows\system32 - Windows XP sp2 (ver 5.1.2600.2180)MD5 : 1DB51F51F0602A8FA74AB4FD3E6A872BSize : 19968 Byte-.. 2012. 7. 30.
올레 KT(Olleh KT), 고객정보 800만건 개인정보유출 해킹사건(7월 29일) 대한민국 최고의 통신사인 올레 KT(olleh KT) 이동사가 해킹으로 인해 800만건의 개인정보가 유출되었다고 한다. 해킹 된 기간은 지난 8월부터 올해 4월까지 7개월간 해킹을 당했는데도, KT는 이를 몰랐다는것이 너무 황당하다. 유출 된 개인정보는 "휴대폰 번호, 고객명, 고객번호, 주민번호, 단말기모델명, 가입일, 기기변경일, 요금제, 기본요금, 월정액합계" 등의 내용이 유출 되었다. (이런 ㅅㅂ 넘들 다 가져갔구만 ㅡ.ㅡ;) 유출 된 정보는 차후 보이스 피싱, 텔레마케팅에 이용 될 수 있으니 조심들 하시길....!! 올래KT에서 공지사항 및 개인정보 유출을 확인할 수 있는 페이지를 만들어 두었으니 KT를 사용하시는 분들은 점검해보시기 바란다. - 올레KT 홈페이지 : http://www.olle.. 2012. 7. 30.
네이버 블로그 첨부파일을 이용한 DoS 공격형 악성코드 주의!! 지인에게 받은 샘플을 분석하다가 재미있는 내용이 있어서 간략하게 적어본다. 이번 포스팅의 중점은 DDoS 공격형 악성코드의 분석이 주가 아니라, 특정 블로그에 첨부되어 있는 첨부파일의 주소를 이용하여 서버가 없더라도 충분히 우리나라의 환경에서는 파일서버 형태를 갖출 수 있다는 점이다. 그럼 포스팅 시작~~!!! 최포 유포는 특정 블로그에서 "브루스포스(brute Force)" 파일로 위장되어 사용자들의 다운을 유도한다. (※ 브루트포스는 무작위로 대입하여 암호를 찾는 방식) 어떠한 이유로 브루트포스 파일을 찾는지는 모르겠으나, 암튼 해당 파일을 받으면 압축형태로 되어있다. 압축 파일 속 "Brute Force v1.2.exe" 파일이 핵심 파일이다. 해당 파일이 실행되면 아래와 같은 프로그램이 실행된다... 2012. 7. 16.
카스퍼스키(Kaspersky), 창립 15주년 "역사상 가장 영향력 있었던 악성 프로그램 15개 선정" 세계적인 보안회사 카스퍼스키(Kaspersky)가 Lab 창립 15주년을 기념하여, "역사상 가장 영향력 있었던 악성 프로그램 15개"를 선정했다고 한다. 물론 카스퍼스키의 주관적인 내용이지만, 보안인들이 본다면 아~ 이때 이랬지!! 라고 생각할 수 있는 향수를 부르는 내용이 아닐까 싶다. (※ 해당 포스팅은 기록용이다.) 원본보기 : http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=News&wr_id=694 1. 1986 Brain, 최초의 PC 바이러스 등장: 이 바이러스는 플로피 디스크의 부트 섹터에 자신의 코드를 삽입하여 감염 2. 1988 Morris, 인터넷에 연결된 컴퓨터의 약 10%가 이 웜에 감염되었습니다(약 6000 대). 3. 199.. 2012. 7. 16.
메이플스토리(MapleStory)런처를 가장한 사용자정보 탈취 프로그램 주의!! 메이플스토리(MapleStory)의 런처를 가장하여 사용자 정보를 탈취하는 프로그램이 확인되었다. 최초 유포는 잘 모르겠으나, 아마도 네이버 블로그(Naver Blog)의 첨부파일이 아닐까 싶다. 간단하게 살펴보면, "메일플런처.exe" 라는 파일로 유포가 되었음을 알 수 있다. 해당 파일을 실행하면, 아이디, 비밀번호, 2차 비밀번호까지 적도록 되어있다. (나는 임의로 아무 문자열을 입력하였다) 사용자가 자신의 메이플계정을 적은 후 로그인을 누르면, 아래와 같은 실제 크렉프로그램이 실행된다. 하지만 이미 사용자가 적은 계정과 패스워드는 외부메일(네이버메일)로 전송이 됬음을 알 수 있다. 메이플런처.exe가 실행 될 시, 자신의 메일로 로그인을 해 둔 상태이다. 사용자가 로그인을 누를 시, Form에 적.. 2012. 7. 16.
시작페이지 변경 및 바로가기를 생성시키는 Pingbacon.exe 악성코드 주의!! 해당 파일은 시작페이지와 바로가기 아이콘(숏컷 : Shortcut 바로가기 형태)을 생성시키는 악성코드로써 간략하게 행위에 대해 알아보자. pingbacon.exe 파일은 사용자 동의 없이 시작페이지 및 사이트 바로가기 아이콘 생성 같은 행위를 한다. 어떤 프로그램이던지 사용자 동의 없이 컴퓨터의 내용을 수정한다면 악성으로 판단 할 수 있다. pingbacon.exe 파일이 생성 및 수정하는 내용은 아래와 같다. - 파일생성 C:\Documents and Settings\[USER]\바탕 화면\즐거운 검색 Ping.url C:\Documents and Settings\[USER]\Favorites\즐거운 검색 Ping.url - 레지스트리 변경 HKEY_CURRENT_USER\Software\Micros.. 2012. 7. 13.
사이트 변조를 통해 "국내 인터넷뱅킹 개인정보를 노리는 악성코드" 주의!! 보통 사이트 변조를 통해 유포되는 파일들은 온라인게임의 계정 및 패스워드를 노리는 전형적인 온라인게임 스파이웨어였다. 하지만 이번에 발견 된 악성코드는 국내 인터넷뱅킹의 개인정보를 노리는 악성코드 여서 주의가 더 필요하다. ※ 국내 보안업체 및 보안 블로그 관련자료 개인 금융 정보 탈취를 노리는 Banki 트로이목마 변형 - Ahnlab [긴급]국내 시중 은행표적용 악성파일 보안취약점과 결합 지능화 - nProtect 보안 취약점을 이용한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.7.12) - Security Blog 변조 된 사이트에는 "Dadong JSXX 0.44 VIP" 문자열을 가진 유명 난독화 프로그램으로 작성되어 있으며, 복호화에 성공하면 아래와 같은 url에 접속하게 된다. hxxp:.. 2012. 7. 12.
하우리(Hauri), APT 보안솔루션 "바이로봇 APT 쉴드(ViRobot APT Shield)" 출시!! 바이로봇(ViRobot) 안티바이러스 제품으로 유명한 [하우리]에서 APT 공격 방지 보안솔루션 제품을 선보였다. 보안솔루션의 이름은 "바이로봇 APT 쉴드(ViRobot APT Shield)" 로 국가 정부기관이나 기업, 특정 조직을 겨냥한 악성코드를 효과적으로 방어할 수 있는 솔루션이다. "바이로봇 APT 쉴드(ViRobot APT Shield)" 제품은 행위기반을 이용하여 기존 안티바이러스 제품에서 미탐지 하는 파일들을 원천적으로 방지할 수 있다는 것이 특징이다. 자세한 내용은 하우리 홈페이지에서 알아볼 수 있다. http://www.hauri.co.kr/customer/product/product_view.html?product_uid=ODc= 1. 악성코드의 생성 차단 문서 편집/뷰어 프로그램의.. 2012. 7. 10.

티스토리툴바