본문 바로가기
소포스(Sophos), CVE 2010-1885 exploited in the wild 보안업체 소포스(Sophos)에서 도움말 및 지원센터에 대한 취약점(CVE 2010-1885)을 사용한 악성코드가 발견되었다고 한다. 플리즈, 기브미 샘플 ㅠ_ㅠ 원본보기 : http://www.sophos.com/blogs/sophoslabs/?p=10045 The recent Microsoft Windows Help and Support Center vulnerability (CVE 2010-1885) is being exploited in the wild. Today, we got the first pro-active detection (Sus/HcpExpl-A) on malware that is spreading via a compromised website. This malware downloa.. 2010. 6. 16.
[SpamMail] "New discounts daily" 제목으로 전파 되는 메일 주의!! "New discounts daily" 라는 제목으로 스팸메일이 전파되었다. 스팸메일에는 open.html 이라는 파일이 첨부 되어 있으며, 해당 파일은 JavaScript를 통해 악성 PDF를 다운로드 한다. 추가적으로 new.html 파일도 첨부 파일로 들어오고 있다고 한다. new.html의 접속 주소는 http://advancedwood****.com/x****j/z.htm 이며, 동일한 PDF를 다운로드 한다. 최근 Replace 함수를 사용하여 문자열을 치환하는 형식이 많이 발생하고 있으며, 이는 보안프로그램의 탐지를 우회하기 위한 방법으로 사용되는 것으로 추측되고 있다. 이번 open.html도 마찬가지로 Replace 를 이용하여 악성 URL에 접근을 시도한다. 빨간 박스가 악성 URL로 .. 2010. 6. 11.
[MS]Vulnerability in Windows Help and Support Center Could Allow Remote Code Execution 마이크로소프트(MicroSoft)의 Windows XP와 Windows Server 2003에서 도움말 및 지원센터에 관련 된 취약점이 발견되었다. 현재 POC가 공개되어서 0-Day공격으로 이어질 가능성이 농후하다. 당분간 파일이 첨부 된 스팸메일이나 보안에 취약한 사이트에는 들어가지 않는 것이 좋을 듯 하다. - 관련 내용 MS 홈페이지 : http://www.microsoft.com/technet/security/advisory/2219475.mspx 하우리 홈페이지 : http://www.hauri.co.kr/customer/security/alert_view.html?intSeq=51&page=1 - Affected Software(영향받는 소프트웨어) Windows XP Service Pack.. 2010. 6. 11.
삼성(Samsung), 스마트폰 웨이브(Wave)에서 Autorun 악성코드 발견 6월 2일 삼성의 바다 OS를 탑재한 스마트폰 웨이브에서 악성코드가 포함되어 판매되었다고 한다. - 관련내용 http://www.f-secure.com/weblog/archives/00001959.html http://www.sophos.com/blogs/gc/g/2010/06/02/samsung-wave-ships-malwareinfected-memory-card/ http://hummingbird.tistory.com/2156 http://viruslab.tistory.com/1817 해당 파일은 slmvsrv.exe, aUtoRuN.iNF 파일로 어떻게 들어갔는지 의문이다. 감염 된 파일은 현재 많은 백신들이 탐지하는 파일이므로, 큰 문제는 없겠지만 이렇게 대기업 제품에 또한 신상제품에 이런 악성파.. 2010. 6. 3.
양심있는 악성코드(?), 재부팅하면 스스로 죽는구나^^ 금일 샘플을 보다 보니, 아주 잼있는 파일이 있어서 잠시 소개한다. 분명 파일은 %WINDOWS% 폴더에 자신을 stdw.exe 파일명으로 복사한다. 이후 부팅 시 자동시작을 위해 레지스트리를 수정하는데 웃기게도 %WINDOWS%가 아닌 %SYSTEM32%폴더에 stdw.exe를 찾는다. 아하~ 이게 먼 웃긴 퍼포먼스인가 ㅋㅋㅋ 지루한 오후에 나에게 웃음을 주는구나 ㅎㅎ 제작자를 찾아보고 싶을 정도이다!! (그림 1. Windows 폴더에 생성 된 stdw.exe 파일) (그림 2. 레지스트리에서 찾는 위치는 system32폴더의 stdw.exe 파일) 하지만 악성행위는 짜증;; 65.55.92.152:25 SMTP 서버를 통해 스팸메일을 발송시킨며, 다음과 같이 보안관련 프로세스를 모두 종료시킨다. Z.. 2010. 5. 24.
시만텍(Symantec), 제우스봇(ZBot)의 파일감염 기법 보고 세계적인 보안회사 시만텍(Symantec)에서는 Zbot(일명 제우스봇)에 File Infecton 기술이 추가 되었다고 보고하였다. 추가 된 감염기법은 다음과 같다. 1. Zbot은 원본파일에 512 Byte를 추가 2. 다운로드 URL을 삽입 3. 원본파일의 EP 복귀 Zbot에 대한 치료 패턴이 필요할 듯 하다. 원본보기 : http://www.symantec.com/connect/ko/blogs/zbot-now-using-file-infection-techniques 2010. 4. 23.
`초계함` 뉴스 위장 한글 해킹메일 비상 일전에 "초계함" 관련하여 외국에서 스팸메일이 본 경우는 보았으나, 이번에는 한글이란다 ㅡ.ㅡ;; 아직 파일에 대한 언급내용은 없으나, 스파이웨어의 역활을 하는 것으로 보인다. 정부 관련분들 조심하시길!! "정부 관계자들에 따르면, 정부 기관을 사칭하고 사회적 이슈를 가장해 공공기관 PC의 정보를 노리는 해킹 메일은 지속적으로 나타나고 있는 것으로 알려지고 있다. 이와 관련해 국가정보원은 지난 1월 25일 정부기관을 겨냥한 해킹메일이 동시다발적으로 1000통 이상 발송돼 사이버위협 `관심' 경보를 발령한 후 지난 2월 `정상'으로 환원한 바 있다. 이번 사건에 대해 국가정보원 관계자는 "관련 내용을 확인해 줄 수 없다"고 말했다." - 기사 내용 중 - 이따구로 말할꺼면 기사는 왜 냈나? 기사원문 보기 .. 2010. 4. 6.
방송통신위원회, '09년도 하반기 '악성코드 제거 프로그램' 실태조사 결과 방통위(방송통신위원회, Korea Communications Commission) 에서 "09년 하반기 악성코드 제거 프로그램 실태조사" 한 결과가 발표되었다. 원문 보기 : http://www.kcc.go.kr/user.do?boardId=1042&page=P05030000&dc=K05030000&boardSeq=28549&mode=view 전체적으로 09년도 상반기보다는 자동설치와 탐지율이 상승했다고 한다. 근데...믿을 수가 있어야지;; HWP파일을 첨부하니 자세한 사항은 파일을 다운로드~ 2010. 3. 29.

티스토리툴바