주말 변조사이트로 인한 "Trojan.JS.QRG(search.htm)" 주의!! 매주 주말만 되면 악성 스크립트가 삽입되는 국내 사이트들....!! 이번 주에 특히 Trojan.JS.QRG(search.htm) 탐지명에 대한 내용이 많이 확인되고 있어 인터넷 사용에 주의가 필요하다. 해당 스크립트에는 "Dadong JSXX 0.44 VIP" 문자열을 가진 유명 난독화 프로그램으로 작성되어 있으며, 복호화에 성공하면 아래와 같은 url에 접속하게 된다. hxxp://svc.*********.co.kr/css/search.html (Main Malware Script) hxxp://svc.*********.co.kr/css/swfobject.js (SWF Object Script) hxxp://svc.*********.co.kr/css/jpg.js (JRE & Applet Script).. 2012. 6. 30. 온라인게임 계정 탈취와 ARP Spoofing 공격에 대한 로그 및 간략분석 (사진 출처 : http://blog.naver.com/sheistong/140110741858) 기록용으로 남긴다. 2010-09-03일 처음으로 ARP Spoofing 관련 내용을 접하였고, 주말을 통해 전파속도가 급속히 늘어났다. 현재까지 발견 된 스크립트는 다음과 같다. - 9월 3일 변조 된 국내외 홈페이지에서 발견 된 스크립트 형태 http://www.xzjiay***.com/ad/yahoo.js http://www.xzjiay***.com/ad/ad.htm http://www.xzjiay***.com/ad/news.html http://www.xzjiay***.com/ad/count1.html http://www.dadi***.com/images/s.exe - 9월 6일 변형 된 스크립트 형.. 2010. 9. 7. 알약(ALYac), ARP Spoofing 공격을 실행하는 온라인 게임 계정 탈취 악성코드 주의 안녕하세요? 이스트소프트 알약보안대응팀입니다. 현재 MS10-002, MS10-018 인터넷 익스플로러 취약점을 이용해 PC를 감염시키고, ARP Spoofing 공격과 온라인 게임 계정을 탈취하는 악성코드의 감염이 급증하고 있어 PC 사용자들의 주의가 필요합니다. 지난 주말 국내 다수의 웹사이트가 해킹을 당해 웹사이트를 방문한 사용자PC로 하여금 악성코드를 다운로드 받는 스크립트들이 추가된 동향이 포착되었으며, 악성코드에 감염된 PC는 던전앤파이터, 아이온, 메이플 스토리 등의 온라인 게임 계정을 탈취하고, 추가 감염을 위해 ARP Spoofing 공격을 실행하기 때문에 외부와의 인터넷 연결이 원활하지 않을 수 있습니다. 현재 알약에서는 이들 악성코드에 대해 S.SPY.OnlineGames.kv, S... 2010. 9. 7. 변조 된 imm32.dll파일에 추가된 "rs64 New Section" 2009년 11월 부터 발견되어 현재까지도 꾸준히 업데이트하는 악성코드가 있다. 바로 imm32.dll 이다. imm32.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 요즘 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다. 4A489C2C47F64541005EDB79149B3495,110080(XP SP2) - 5.1.2600.2180 7DC8A392C09DDF8C8FB1AA007D19D98B,110080(XP SP3) - 5.1.2600.5512 - 현재까지 변종으로 나온 Section Table(ss32, s32, sy32, rs64 발견 된 순서이다.) 변조 된 imm32.dll은 Loader의 역활을 하며, Load 시키는 악성코드는 다음과 같다. C:\WINDOWS\syst.. 2010. 7. 19. winrnr.dll을 변경시키는 스파이웨어 발견!! 변조 된 홈페이지에서 실행되는 스파이웨어 중 정상파일인 winrnr.dll을 변조시키는 악성코드가 발견되었다. 국내 및 국외 AV프로그램으로는 아직 탐지하지 못하는 곳이 많다. 파일명 : Winrnr.dll(LDAP RnR Provider DLL) 파일위치 : c:\windows\system32 E467C334985C5947E47E748298526B7B,16896(XP SP2) - 5.1.2600.2180 FC0845B3C18A71E010311DDC1942F7D5,16896(XP SP3) - 5.1.2600.5512 - 정상파일의 PE 악성파일에 의해 수정 된 정상파일 winrnr.dll은 winrnr.dll.BAK 파일명으로 백업되어 있다. - 감염 된 파일의 PE Section에 npx 섹션이 추가 .. 2010. 3. 23. 주말을 노린 국내사이트 변조 2월 6~7일 주말을 노린 해커들에게 의해 국내 많은 홈페이지들이 변조되었다. 온라인게임의 계정을 노리는 스파이웨어였으며, 유명페이지들은 대부분 수정이 된 것으로 확인된다. 변조 된 페이지에서는 취약점에 의해 F.exe 파일이 다운로드 되며, F.exe는 hf0019.exe, hf0019.dll 을 생성 시킨다. 2010. 2. 8. Win32.Loader.G(imm32.dll) 재탐지 해결방법!! 악성파일로 인하여 변조 된 imm32.dll을 Win32.Loader.G으로 탐지하는 경우가 늘어나고 있다. 문제는 변조 된 imm32.dll을 정상적으로 치료하지 못하여 발생 된 문제로 판단된다. 이전에 imm32.dll 변조파일과 동일하게 섹션에 ss32 Section을 추가하지만, 이전과 코드는 달랐다. 변종으로 판단된다. - 관련내용 2009/11/17 - [악성코드소식] - imm32.dll을 변경시키는 스파이웨어 발견!! 이에 수동으로 해결 할 수 있는 방법을 소개한다. 1. C:\WINDOWS\system32 폴더로 이동 2. 변조 된 imm32.dll 이름을 수정(ex, ~imm32.dll) (참고, 정상적인 imm32.dll은 C:\WINDOWS\system32\imm32.dll.bak .. 2010. 1. 26. MS Office Zero-Day 취약점 관련 악성코드 주의 웹상에서 엑셀 시트와 차트등을 볼 수 있게 하는데 사용되는 MS Office Web Component ActiveX 컨트롤이 특정 값을 처리하는 과정에서 메모리 손상 오류를 발생시키고 원격코드 실행으로 연계시키는 보안 취약점이 발견되었다고 2009년 7월 13일(미국시간) 마이크로소프트사에서 보안 권고문(Security Advisory)를 통해 공개하였습니다. 임시 해결방법 보러 가기 : http://support.microsoft.com/kb/973472 위의 내용과 관련 된 악성코드가 발견되었다!! http://www.fdsd****sf.cn http://www.fdsd****sf.cn/test.htm http://www.fdsd****sf.cn/go.jpg http://www.fdsd****sf.c.. 2009. 7. 15. 이전 1 다음
