본문 바로가기
[사이트 변조] 경도일보(http://www.gddailynews.com) "ActiveX Exploit CVE-2008-2551"를 이용한 악성코드 유포!! 경북, 대구지역 일간지, 정치, 경제, 사회 등 기사, 칼럼등을 알려줘야하는 신문사이트가 변조되어 뉴스와 함께 악성코드도 같이 사용자들에게 알려주고 있다. 사이트 변조가 어제 오늘 하는 일은 아니지만, 이렇게 블로그에 작성 하는 이유는 ActiveX Exploit CVE-2008-2551 파일이 국내 유포사이트에 확인 된 것이 처음이기 때문이다. 해당 취약점은 0-Day가 아니라, ActiveX의 방식을 그대로 사용한 것이라 더욱 위험할 수 있다. (보안 업데이트가 없기 때문에, 사용자는 더욱 주의 해야한다.) * Active-X란? 일반적으로 말하는 "인터넷 서핑"이란 웹브라우저(web browser) 프로그램을 이용, 네트워크를 통해 전송된 HTML(HyperText Markup Language) 문.. 2013. 4. 10.
[3.20 MBR 대란] YTN, KBS, MBC, 신한은행, 농협 정보전산망 마비 (2013-03-20) 금일 YTN, KBS, MBC, 신한은행, 농협 정보전산망 마비라는 대란이 나왔다. 마비의 원인은 MBR 및 VBR이 파괴되어 시스템이 부팅이 안되어 나타난 현상이였다. "악성코드 분석 결과 '2차 공격' 의심 문자열 발견" 악성코드, 보안업체 업데이트 서버 통해 유포됐나 재부팅 메시지 후 바로 '먹통'…긴박했던 순간 "악성코드, PC부팅영역파괴…업데이트 서버에서 유포" 이에 보안업체 및 국가 보안기관에서는 보안등급을 상향하였다. 1. 알약(Alyac) 2. 엔프로텍트(nProtect) 3. 하우리(Hauri) 4. 바이러스 체이서(Virus Chaser) 5. 안랩(Ahnlab) 6. 키사(KISA) 2013. 3. 20.
파밍(Pharming), "경남지방경찰청 파밍캅"과 "알약 전용백신"으로 검사하면 방지할 수 있다!! 요즘 파밍때문에 고생하시는 분들을 주위에서도 꽤 많이 볼 수 있다. 우선 파밍이 어떤것인지 모르시는 분은 아래의 링크에서 피싱, 파밍, 스미싱에 대해서 간단하게 보시기 바란다. 신종사기 "피싱(Phishing), 파밍(Pharming), 스미싱(Smishing)" 이란? [알약보안백과사전] 신종 금융사기 파밍과 예방 방법 이런 파밍을 100% 예방하는 가장 좋은 방법이 있다. (※ 파밍에만 해당하는 대한 방법입니다.) 바로 인터넷 뱅킹, 폰뱅킹을 안쓰고 직접 은행에 가서 직거래 하는 방법이다. 이 방법을 사용하면 파밍에 대해서는 절대적으로 방어할 수 있다. 하지만 엄청 귀찮겠죠 ㅡㅡ;; (그냥 웃자고 쓴거니, 죽자고 덤비지 마세요 ㅋㅋ) 그래서 간단하게 파밍에 방어할 수 있는 방법을 2가지 준비해 봤습니.. 2013. 3. 7.
[사이트 변조] 다이하드 웹하드(http://www.diyhard.co.kr) "Java Exploit CVE-2012-5076"를 이용한 악성코드 유포!! 웹하드 서비스를 하는 사이트 중 "다이하드"라는 사이트가 변조되어 악성코드가 유포되고 있다. 사이트 변조가 어제 오늘 하는 일은 아니지만, 이렇게 블로그에 작성 하는 이유는 Java Exploit CVE-2012-5076 파일이 국내 유포사이트에 확인 된 것이 처음이기 때문이다. 0-Day가 아니라, 취약점이 패치 된 Exploit 이기 때문에 Oracle Java 업데이트 하면 문제없다!! 업데이트에 대한 내용은 아래 링크에서 확인 할 수 있다. [울지않는 벌새] 업데이트 : Oracle Java SE Runtime Environment 6 Update 37 & 7 Update 9 다이하드 홈페이지 접속 시 연결 되는 사이트는 다음과 같다. hxxp://www.woshi*******n.com/main... 2012. 11. 15.
알약(ALYac), 아래아한글 제품의 사용자를 노린 악성코드 주의!! 2012년 11월 12일 한글과컴퓨터 업데이트 서버(update.haansoft.com)가 해킹에 의해 악성코드를 유포 시키는 사례가 발생하였다. (개인적으로 해당 파일들은 이전 네이트 해킹과 연관성이 있어보인다...ㅠ.ㅠ) 이에 알약에서는 다음과 같은 사항을 공지하였다. 원문 : http://alyac.altools.co.kr/SecurityCenter/Analysis/NoticeView.aspx?id=172 안녕하세요, 알약대응팀입니다. 한글과컴퓨터社 아래아한글 제품의 사용자를 노린 악성코드가 발견되었습니다. 발견된 악성코드는 아래아한글 제품의 업데이트를 통해 감염되는 것으로 알려졌으며 감염 시, 사용자의 키보드 입력을 저장하여 특정 서버로 전송하는 기능을 가지고 있습니다. 현재 알약에서는 이 악성코.. 2012. 11. 13.
[사이트 변조] 민주통합당(http://www.minjoo.kr) "IE 0-Day(CVE-2012-4969)" 를 이용한 악성코드 유포!! 대선도 가까워지는데, 하필 대선에 참여하는 당의 홈페이지에서 악성코드가 유포 중이다. 참으로 안타까운 일이지만, 내가 할일은 해야겠다. 문재인 후보가 있는 민주통합당 홈페이지에서 IE 0-Day를 이용 한 악성스크립트가 삽입되어 악성코드가 유포 되고 있다. 민주통합당 홈페이지 접속 시 연결 되는 사이트는 다음과 같다. hxxp://www.minjoo.kr hxxp://www.minjoo.kr/******/**/js/IF.htm hxxp://www.minjoo.kr/******/**/js/eminjoon.htm hxxp://www.minjoo.kr/******/**/js/iframe.html hxxp://www.minjoo.kr/******/**/js/cminjoon.htm hxxp://www.minjoo.. 2012. 9. 21.
메이플스토리(MapleStory)런처를 가장한 사용자정보 탈취 프로그램 주의!! 메이플스토리(MapleStory)의 런처를 가장하여 사용자 정보를 탈취하는 프로그램이 확인되었다. 최초 유포는 잘 모르겠으나, 아마도 네이버 블로그(Naver Blog)의 첨부파일이 아닐까 싶다. 간단하게 살펴보면, "메일플런처.exe" 라는 파일로 유포가 되었음을 알 수 있다. 해당 파일을 실행하면, 아이디, 비밀번호, 2차 비밀번호까지 적도록 되어있다. (나는 임의로 아무 문자열을 입력하였다) 사용자가 자신의 메이플계정을 적은 후 로그인을 누르면, 아래와 같은 실제 크렉프로그램이 실행된다. 하지만 이미 사용자가 적은 계정과 패스워드는 외부메일(네이버메일)로 전송이 됬음을 알 수 있다. 메이플런처.exe가 실행 될 시, 자신의 메일로 로그인을 해 둔 상태이다. 사용자가 로그인을 누를 시, Form에 적.. 2012. 7. 16.
시작페이지 변경 및 바로가기를 생성시키는 Pingbacon.exe 악성코드 주의!! 해당 파일은 시작페이지와 바로가기 아이콘(숏컷 : Shortcut 바로가기 형태)을 생성시키는 악성코드로써 간략하게 행위에 대해 알아보자. pingbacon.exe 파일은 사용자 동의 없이 시작페이지 및 사이트 바로가기 아이콘 생성 같은 행위를 한다. 어떤 프로그램이던지 사용자 동의 없이 컴퓨터의 내용을 수정한다면 악성으로 판단 할 수 있다. pingbacon.exe 파일이 생성 및 수정하는 내용은 아래와 같다. - 파일생성 C:\Documents and Settings\[USER]\바탕 화면\즐거운 검색 Ping.url C:\Documents and Settings\[USER]\Favorites\즐거운 검색 Ping.url - 레지스트리 변경 HKEY_CURRENT_USER\Software\Micros.. 2012. 7. 13.