본문 바로가기
사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생(2010-07-16) 다음 커뮤티케이션을 가장한 키로거 파일이 새로 발견되었다. 이번엔 아예 Daum이란 파일명을 사용하지는 않았으며, 디지털서명쪽에만 사용하였다. 아무래도 제작자가 눈치를 깐듯 ㅡ.ㅡ;; ps. 드롭퍼로 추정되는 파일은 따로 추적중이다. 이 파일의 특이점은 설치 시 atl100.dll 파일이 따로 필요하다는것이다. atl100.dll(ATL Module for Windows) 파일은 Microsoft Visual Studio 2010의 재배포 파일 중에 하나이다. 제작자가 Visual Studio 2010에서 제작을 한것으로 판단되며, 드롭퍼는 atl100.dll 파일을 자체적으로 가지고 있던가 또는 notice.dll 드롭시 atl100.dll도 함께 드롭시킬 가능성이 매우 높다. PC에 C:\WINDOW.. 2010. 7. 16.
알약(ALYac), 동시다발적인 DDoS 공격을 수행하는 악성코드 주의! 안녕하세요? 이스트소프트 알약 보안대응팀입니다. 지난 6월 9일과 11일에 발생했던 중국발 DDoS 공격에 이어 6월 16일에 DDoS 공격을 수행하려는 일부 중국 네티즌들의 움직임이 포착되어 주의가 요구됩니다. 지난 6월 9일(1차)와 11일(2차)에 걸쳐 국가포털 사이트 및 일부 정부기관 사이트, 그리고 슈퍼 주니어 관련 사이트에 DDoS 공격을 시도한 일부 중국네티즌들이 6월 16일 3차 DDoS 공격을 하려는 움직임이 예상됩니다. [공격증상] 중국 네티즌들에게 ‘성전’이라고 불리는 이 DDoS 공격을 살펴보면 지난 7.7 DDoS 공격 형태와는 다른 형태를 지니고 있는 것을 알 수 있습니다. 지난 7.7 DDoS 공격처럼 대량의 좀비PC를 활용한 공격이 아닌, 웹상에서 공격에 참여할 사람들을 규합.. 2010. 6. 15.
사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생(미국으로 전송) 어제 일본으로 유출시키는 악성코드 변종이 발견되었다고 포스팅 하였었는데, 전체적인 구도가 잡혀서 다시 포스팅함당!! 이번에는 미국과 일본으로 동시에 고고싱 시킨다. 현재까지 수집 된 파일이다. 보는대로 모두 Daum 과 연결되어 있을 듯 한 파일명을 하고 있다. 벤더도 마찬가지며, 아마도 나도 그냥 Daum File이라고 생각하고 넘어갈 수 도 있었을 듯 하다 ㅡㅡ;; 이번 변종에 대한 내용을 간략하게 분석을 하자면 다음과 같다. 1. V.DWN.Infostealer.65904(DaumCafeOn.dll, DaumCafeOn.inf) BHO에 등록되어 동작하며, 인터넷 익스플로러 실행 시 특정 서버로 연결되어 파일을 다운로드 받는다. http://218.61.**.***:801/update/proc.asp 2010. 4. 23.
사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생 4월 초에 발견되었던 키로거의 변종이 발견되었다. 아직 분석 중이라 자세한 사항은 적을 수 없지만, 이번에는 키로거가 아닌 다른 것을 준비하는 느낌이 든다. 설마 이녀석 DDoS ??? ㅠ_ㅠ 제발 살려줘라~!! 지난번의 다운로드 및 키로그 전송서버가 일본 Nagano 더니, 이번엔 Tokyo 이다. 이번에는 키로그 정보가 없기때문에 다운로드만 가능하다. 현재까지 분석 내용은 지난번과 동일하게 ActiveX로 설치 되는 것으로 판단되며, 설치 된 PC에서는 사용자 PC정보를 전송하는 파일을 한개 다운로드 하며, 다운로드 된 파일은 DaumKeysec.dll를 드롭시킨다. 드롭 된 dll 파일은 BHO에 등록되어 인터넷 익스플로러 실행 시 백도어로 판단되는 파일을 다운로드 하게 된다. 특정 페이지에 접속하.. 2010. 4. 22.
알약(ALYac), 사용자 ID/패스워드를 일본으로 유출시키는 악성코드 주의 원문링크 : http://alyac.altools.co.kr/SecurityCenter/Analysis/NoticeView.aspx?id=29 안녕하십니까? 이스트소프트 알약 보안대응팀입니다. 최근 개인정보와 관련된 보안 사고가 연이어 발생하고 있는 가운데 인터넷 사이트의 로그인 정보(ID/패스워드)를 일본으로 유출시키는 악성코드가 유행하고 있어 PC 사용자들의 주의가 필요합니다. 이번에 로그인 정보(ID/패스워드)를 일본으로 유출시킨 악성코드는 PC 사용자가 키보드로 입력한 ID/패스워드를 system.ini 파일에 암호화시켜 저장한 후 일본으로 전송합니다. 또한, 일본으로 전송 한 후 system.ini 파일을 악성코드가 스스로 삭제해 자신의 ID/패스워드 유출 여부를 판단하기 매우 어렵습니다. 현재.. 2010. 4. 6.
알약(ALYac), VBScript를 이용한 원격 코드 실행 취약점 주의 (CVE-2010-0483) 안녕하십니까? 이스트소프트 보안대응팀입니다. 악의적 목적으로 제작한 웹사이트의 VBScript와 .hlp(도움말) 파일을 이용해 원격코드나 악성코드를 실행할 수 있는 취약점이 발견되었습니다. 이번 취약점은 윈도우 2000과 XP, 2003에서 Internet Explorer을 사용하는 도중 F1(도움말)키를 누르도록 유도하는 메시지가 나왔을 때 PC 사용자가 F1 키를 누르면 미리 공격자가 지정한 도움말 파일을 로드해 악성코드를 실행할 수 있습니다. 현재 이 취약점은 Microsoft의 공식 패치가 발표되지 않은 제로데이(Zeroday) 상태이며, 본 취약점을 악용한 악성코드 유포 가능성이 높으므로 PC 사용자들의 주의가 필요합니다. [해당 시스템] * Windows 2000 Service Pack 4 .. 2010. 3. 2.
알약, 하드디스크 MBR를 파괴하는 Zimuse 악성코드 주의 하우리 보안업체게 MBR 관련 보도자료를 낸 후 알약에서도 보안공지를 띄웠다. 안녕하십니까? 이스트소프트 알약 보안대응팀입니다. 아직까지 국내에는 감염사례가 접수되거나 보고되진 않았으나 현재 미국과 유럽(체코, 슬로바키아,스페인, 이탈리아 등), 그리고 태국 등 주로 해외에서 감염이 급증하고 있는 Zimuse 악성코드(Win32.Worm.Zimuse.A, Win32.Worm.Zimuse.B)에 대한 PC 사용자들의 주의가 필요합니다. Zimuse는 IQ 테스트나 자동 압축(ZIP)해제 파일로 위장하며, 만약 PC가 감염될 경우 하드디스크 MBR을 특정 날짜 주기(A형 변종은 40일후 동작, B형 변종은 20일후 동작)에 맞추어 파괴합니다. 하드디스크의 MBR이 파괴된 PC는 부팅이 되지 않으며, 일반적으.. 2010. 1. 28.
알약, 악성코드 확산으로 인한 IE 긴급 패치 권고 이번 주말에 많은 홈페이지 변조가 발견되었다. 모두 IE 제로데이 취약점을 노리는 악성스크립트였다. 이에 알약에서 권고문을 공지하였다. 안녕하세요? 이스트소프트 알약 대응팀입니다. 최근 Internet Explorer의 제로데이(Zeroday) 취약점을 이용한 악성코드 확산이 증가하면서 MS에서는 비정기 긴급 보안 패치를 발표하였습니다. 지난주에 발생한 미스리 메신저를 통한 악성코드 유포도 Internet Explorer의 취약점을 이용하고 있으며, 이와 유사한 악성코드 유포 사례가 다수 발견되고 있습니다. PC 사용자들께서는 Internet Explorer의 패치를 가급적 빨리 설치해주시고 최신 알약의 실시간 감시를 활성화하면 추가적인 악성코드 감염을 미리 예방하실 수 있습니다. ◎ Internet E.. 2010. 1. 25.