본문 바로가기
한글(HWP) 스택오버플로우 취약점 보안 업데이트 (2011-12-23) 한글과 컴퓨터에서 개발한 워드프로세서인 아래한글에서 스택오버플로우 취약점이 발견됬다. 이번 취약점을 인해 웹게시, 스팸메일, 메신저의 링크등 특수기능을 수행 할 수 있는 한글문서(HWP) 파일이 실행 될 수 있다. 따라서 영향 받는 소프트웨어에 포함되는 버전은 보안업데이트를 통해 상위버전으로 업데이트 하시길 바란다. * 영향 받는 소프트웨어 및 업데이트 버전 - 한글 2002 5.7.9.3052 및 하위 버전 → 한글 2002 5.7.9.3053 이상 버전으로 업데이트 - 한글 2004 6.0.5.770 및 하위 버전 → 한글 2004 6.0.5.771 이상 버전으로 업데이트 - 한글 2005 6.7.10.1067 및 하위 버전 → 한글 2005 6.7.10.1069 이상 버전으로 업데이트 - 한글 20.. 2011. 12. 25.
김정일 사망으로 인한 사이버공격에 대비하는 "정부기관과 보안업체의 경보 현황" (2011-12-19) 오늘 "北 김정일 위원장 사망소식"이 발표 되면서 사이버 공격에 대한 대비를 하기위해 정부기관 및 보안업체에서 보안등급을 올리고 있다. 언제 나올지는 모르겠지만, 외국사이트에서 Fake Antivirus가 등장 할 것이고, 이번 Adobe 취약점을 노린 PDF가 E-Mail로 발송 될 가능성도 충분히 있다. 그래서 정부기관 및 보안업체도 위험에 대비하는 모습이다. - 방송통신위원회 : http://www.kcc.go.kr/user.do 북한 김정일 위원장 사망관련 사이버 위기 ‘주의’ 경보 발령 정부는 오늘 오후 12시 북한 김정일 위원장 사망보도관련 사이버 공격이 발생할 가능성에 대비하여 14:00에 사이버 위기 “주의” 경보를 발령했다고 밝혔다. ※ 사이버위기 경보단계는 ‘관심→주의→경계→심각’으로 .. 2011. 12. 19.
A양 유출 동영상을 위장한 악성파일 주의!! 과도한 검색으로 악성파일까지 감염되지 마시길!! 뉴스에서 하도 떠드니~ A양이 누군지는 알것이다. 하지만 모르는 사람도 분명있다. 그래서 검색을 하게 된다(사람이니까 ㅡㅡㅋ) 그런 심리를 이용하여 악성파일을 뿌리는 행위가 존재한다....이 파일이 바로 그런 식이다. 유포는 카페와 블로그 첨부파일, 그리고 SNS로 빠르게 전파되었다. (현재는 다운로드 자체가 막혀있음!! 그래서 주소를 공개하였으니 ㅋㅋ 다운로드 노력하지마시오!!) 이렇게 전파 된 압축파일은 exe압축으로 되어있으며, 더블클릭으로 쉽게 실행 될 수 있다. 압축해제가 완료 되면 "C:\NewFolder" 폴더에 아래와 같이 압축을 해제한다. (더블클릭으로 실행 될 경우는 악성파일은 이미 실행되어 보이지 않는다, 아래의 화면은 강제로 압축을 해제한 모습이다) 제작자는 집요하게 전파를 위해 t.. 2011. 12. 9.
악성파일 다운로드의 새로운 URL 암호화 방식 악성파일들이 다운로드 시키는 URL을 암호화 시키는건 어제 오늘의 이야기가 아니다. 하지만, 제작자들도 귀찮은건지 Tool이 그렇게 지정되어 있는건지는 모르겠으나~ 암튼 바꼈다;; 예전에는 간단히 XOR, Inc, Dec 같이 간단하게 암호화를 시켰으나, 이번에는 조금 복잡하게 수정했다. 우선 악성파일이 서버로부터 다운로드 받은 update1.txt 파일이다. 내용에 뭔가 이상한 숫자들이 적혀져 있다. 분명 URL이라는 직감은 있었다, 남자의 직감!! ㅋㅋㅋㅋㅋㅋㅋㅋ 자 그럼 이 내용이 어떻게 URL이 되는지 알아보자!! 드롭퍼를 살펴보면 update1.txt 파일을 다운로드 하여, 내용을 파싱하는 부분을 지나면 레지스터에 해당 숫자들이 저장한다. 음...사진을 분명 많이 찍어놨는데~ 왜 이거밖에 없는건.. 2011. 11. 8.
웹하드 설치파일로 유포되는 원격제어 관련 악성파일 주의!! 특정 웹하드 홈페이지에서 다운로드 되는 설치파일이 변조 되어 악성파일이 유포되고 있는 사실이 확인되었다. 이번 악성코드는 예전 DDoS 공격과 같이 웹하드 홈페이지의 설치파일로 유포가 되었다는 사실에 주의해야한다. 만약 이번에 발견되지 않았다면, 악성코드 제작자는 DDoS 샘플을 올려 좀비PC들을 많이 생성했을지도 모른다. 지금은 시간이 늦어서, 간략하게만 쓰고~ 내일 마저 써야겠다 ㅠ.ㅠ 피곤해!! 쓰다보니 예전에 발견 된 내용과 연관되는 맥락이 있었다. 특정 프로그램이 설치 된 PC방을 타겟으로 발생 된 ARP Spoofing 악성코드 현재 확인 된 웹하드 홈페이지는 총 3개(FileFarm, FileZzim, MaxDisk)이며, 지금은 모두 정상적인 셋업파일로 수정되었다. 이 중에서 FileZzi.. 2011. 10. 14.
엔프로텍트(nProtect MBR Guard), MBR Guard의 차단능력은 얼마나 되는가! 잉카인터넷의 nProtect MBR Guard는 3.3 DDoS 중 MBR의 코드를 0으로 Overwrite 시키는 악성파일을 차단하기 위해 만들어진 MBR 보호 프로그램이다. 자세한 내용은 아래의 링크에서 확인하시길~ - 3.3 DDoS 하드디스크 파괴 차단 프로그램 nProtect MBR Guard 무료 배포 잉카인터넷(시큐리티대응센터)에서 제공하는 "nProtect MBR Guard" 프로그램은 이러한 하드디스크의 MBR 영역 위변조를 원천적으로 차단하는 것을 주요 기능으로 하며, 이를 위해 윈도우상의 API 함수에 대한 흐름을 파악하여 해당 영역의 "Overwrite"를 제한하는 등의 Command-Filter Driver 방식을 채용하였다. 이는 PC 사용에 있어서 매우 중요한 물리적 드라이브의.. 2011. 9. 18.
MBR(Master Boot Record)감염으로 재생성되는 lpk.dll 악성코드 주의!! 요즘 MBR 자주 보네 ㅠ.ㅠ 분석도 어렵고~ 이번 포스팅도 기록용이니~ 그냥 가벼운 마음으로 고고싱!! 지난 주 지X파일 사이트가 변조되어 유포 된 악성파일 중 MBR을 감염시키고, 정상파일인 imm32.dll 을 변조시키는 것이 확인되었다. 정상파일 변조내용은 다음에 다시 쓰기로 하고, 이번 포스팅에서는 MBR을 감염시켜 악성파일(lpk.dll)이 재생성 되는걸 막아보자. 우선 최초 악성파일이 실행되면, 다음과 같이 파일과 레지스트리가 생성된다. - 파일 C:\Windows\System32\Disksystem.exe C:\Windows\System32\halc.dll C:\Windows\System32\drivers\FileEngine.sys C:\Windows\lpk.dll (악성파일 감염 후 재부.. 2011. 9. 18.
안드로이드(Android), 정상 어플리케이션으로 위장하여 SMS를 발송하는 "DogWars" 어플 주의!! 이제 안드로이드 리패키징 악성파일이 놀랍지도 않다~ 하도 많이 나와서 정말 꾸준하게 이용하고 있는 듯 하다. 이번 악성어플도 리패키징에 관련 된 내용이며, 특히 어플의 제작의도가 재미있다. 동물을 인도적으로 사랑하는 사람들의 모임인 PETA(People for the Ethical Treatment of Animals)에서 해당 어플이 동물학대를 유도할 수 있으며 앱 개잘 중단을 하였지만 이게 받아들여지지 않자, 악성어플을 제작했다고 한다 ㅋㅋ (기술도 좋지 ㅡ.ㅡ; 뚝딱뚝딱 만드는게 안드로이드 악성어플이냐!!) (자신의 모임명인 "PETA" 를 "BETA" 대신에 넣었다 ㅎㅎ) - 관련기사 시만텍 "악성코드 감염 '독워즈' 주의" 동물보호운동가들, 투견게임 제작에 항의 악성코드 유포 [Symantec].. 2011. 8. 18.