사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생(미국으로 전송) 어제 일본으로 유출시키는 악성코드 변종이 발견되었다고 포스팅 하였었는데, 전체적인 구도가 잡혀서 다시 포스팅함당!! 이번에는 미국과 일본으로 동시에 고고싱 시킨다. 현재까지 수집 된 파일이다. 보는대로 모두 Daum 과 연결되어 있을 듯 한 파일명을 하고 있다. 벤더도 마찬가지며, 아마도 나도 그냥 Daum File이라고 생각하고 넘어갈 수 도 있었을 듯 하다 ㅡㅡ;; 이번 변종에 대한 내용을 간략하게 분석을 하자면 다음과 같다. 1. V.DWN.Infostealer.65904(DaumCafeOn.dll, DaumCafeOn.inf) BHO에 등록되어 동작하며, 인터넷 익스플로러 실행 시 특정 서버로 연결되어 파일을 다운로드 받는다. http://218.61.**.***:801/update/proc.asp 2010. 4. 23. 사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생 4월 초에 발견되었던 키로거의 변종이 발견되었다. 아직 분석 중이라 자세한 사항은 적을 수 없지만, 이번에는 키로거가 아닌 다른 것을 준비하는 느낌이 든다. 설마 이녀석 DDoS ??? ㅠ_ㅠ 제발 살려줘라~!! 지난번의 다운로드 및 키로그 전송서버가 일본 Nagano 더니, 이번엔 Tokyo 이다. 이번에는 키로그 정보가 없기때문에 다운로드만 가능하다. 현재까지 분석 내용은 지난번과 동일하게 ActiveX로 설치 되는 것으로 판단되며, 설치 된 PC에서는 사용자 PC정보를 전송하는 파일을 한개 다운로드 하며, 다운로드 된 파일은 DaumKeysec.dll를 드롭시킨다. 드롭 된 dll 파일은 BHO에 등록되어 인터넷 익스플로러 실행 시 백도어로 판단되는 파일을 다운로드 하게 된다. 특정 페이지에 접속하.. 2010. 4. 22. 알약의 오탐지 사건, 재탕좀 그만하자, 이제 지겹다!! 위의 사진은 2008년 12월 8일 알약에서 자신의 업데이트 파일을 오탐지 한 사진이다. 그 당시에 12월 8일 오후 9시 30분에 패턴 인식 데이타베이스를 업데이트 하는 과정에서 AYUpdate.exe를 S.Spy.Lineag-GLG로 오진하였다. 참고사항으로 S.Spy.Lineag-GLG 탐지명은 현재도 많이 성행하고 있는 악성코드이다. 이 글에 나오는 S.Spy.Lineag-GLG은 AYUpdate.exe 파일에 국한된 내용이므로 혼동하지 않아야 한다. 정상 적인 탐지명이다. - 관련기사 쿠키 뉴스 [2008.12.09 13:39] http://news.kukinews.com/article/view.asp?page=1&gCode=eco&arcid=0921123208&cp=nv 보안 뉴스 [2008-.. 2010. 4. 21. 알약(ALYac), 사용자 ID/패스워드를 일본으로 유출시키는 악성코드 주의 원문링크 : http://alyac.altools.co.kr/SecurityCenter/Analysis/NoticeView.aspx?id=29 안녕하십니까? 이스트소프트 알약 보안대응팀입니다. 최근 개인정보와 관련된 보안 사고가 연이어 발생하고 있는 가운데 인터넷 사이트의 로그인 정보(ID/패스워드)를 일본으로 유출시키는 악성코드가 유행하고 있어 PC 사용자들의 주의가 필요합니다. 이번에 로그인 정보(ID/패스워드)를 일본으로 유출시킨 악성코드는 PC 사용자가 키보드로 입력한 ID/패스워드를 system.ini 파일에 암호화시켜 저장한 후 일본으로 전송합니다. 또한, 일본으로 전송 한 후 system.ini 파일을 악성코드가 스스로 삭제해 자신의 ID/패스워드 유출 여부를 판단하기 매우 어렵습니다. 현재.. 2010. 4. 6. 네이트온 악성코드 사진변경(2010-03-23) 2010년 3월 23일 네이트온으로 전파되는 악성코드의 그림이 변경되었다. 이번에 크게 이슈를 친 얼짱 중국 거지 사진이다 ㅋㅋ 짱개들도 트랜드가 있구나 ㅋㅋㅋㅋㅋㅋㅋ 근데 합성의 티가 조금 나는 것도 같고;; 알약에서는 V.WOM.Nateon.soll 으로 탐지 중이다. - 관련글 2010/03/22 - [악성코드소식] - 네이트온 악성코드 사진변경(2010-03-22) 2010/03/09 - [악성코드소식] - 네이트온 악성코드 사진변경(2010-03-03) 파일 분석 2010/03/03 - [악성코드소식] - 네이트온 악성코드 사진변경(2010-03-03) 2009/11/19 - [악성코드소식] - 네이트온 악성코드 사진변경(2009-11-19) 2009/10/19 - [악성코드소식] - 네이트온 .. 2010. 3. 23. 네이트온 악성코드 사진변경(2010-03-22) 2010년 3월 20일 네이트온으로 전파되는 악성코드의 그림이 변경되었다. 형이 항상 얘기한데로 고화질의 큰사진으로 바꾸어준건 참 고마워 ^-^/ 근데 왜 남자냐고!! 형은 여자사진을 원한다고!! 또한 변경된 것은 사진만이 아니다, 보통 see.src, jpg.src, Secret3421.scr, onger.scr 로 다운로드 되던 파일명이 cartoon.rar로 변경되었다. cartoon.rar은 보이는데로 Rar파일로 구성되어 있다. cartoon.rar 압축파일속에는 cartoon.exe 파일이 압축되어 있다. cartoon.exe는 예전 see.src, jpg.src, Secret3421.scr, onger.scr 파일들 처럼 newgx.jpg 파일을 포함하고 있다. 생성파일은 다음 내용과 같다... 2010. 3. 22. Kaspersky Lab, Gumblar 공격 최근 2월달 다시 증가 세계적인 보안회사인 카스퍼스키(Kaspersky Lab)에서 지난 2월 Gaumblar의 공격이 다시 증가하고 있음을 알리고 있다. 실제로 여러 사이트에서 Gaumblar에 관련되어 변조 된 사이트들도 많이 발생하고 있다. Gaumblar 악성코드는 2009년 올해 4월에 발생 한 바이러스로써, 10월초부터 12월 현재까지많은 변종파일이 발견되고 있다. 다른 보안업체에서 Daonol, Gadjo, Kates 탐지명으로 알려져 있다. 해당 악성코드는 SQL_Injection 공격에 변조 된 홈페이지 접속 시 Drive-by download 형태로 전파되고 있으며, 사용자PC의 취약점을 확인하여 다운로드 되어 동작 한다. 인터넷 익스플로러, PDF, SWF 취약점을 중점으로 감염 되며, 변조 된 사이트 접속.. 2010. 3. 10. 네이트온 악성코드 사진변경(2010-03-03) 파일 분석 지난 3월 3일에 발견 된 네이트온 악성코드 변종에 대해서 오늘에서야 파일을 보게되었다. 살펴보니, 예전과 크게 다른것은 없었으나, 눈에 띄이는 점은 PE 헤더가 변형되어있다는 점이다. 보통 PE파일은 MZ로 시작하지만, ML로 수정되어 있는 것이 보인다. 이것은 보안프로그램의 탐지를 우회하려는 개수작으로 보여진다. PE헤더 변경 이외에도 수정 된 사항은 다음과 같다. 1. 파일명 변경 C:\WINDOWS\system\Baidog.dat C:\WINDOWS\system\Lcomres.dat C:\WINDOWS\system\Sting.log C:\WINDOWS\system\ExeWen.exe C:\WINDOWS\system\Lin.log 2. 레지스트리 삭제가 추가(정확히 기억이 안남;; 예전에도 있었는지.. 2010. 3. 9. 이전 1 2 3 4 5 6 다음
