2010년 2월 25일 ASEC에서는 유명 소셜 네트워크 서비스(Social Network Service) 웹 사이트인 트위터(Twitter)의 사용자간 전송 가능한 다이렉트 메시지(Direct Messages) 중 악의적인 피싱(Phishing) 웹 사이트로 연결되는 링크와 메신저 추가 요청 스팸이 발견되었는 소식을 전한 바가 있었다.

ASEC에서는 추가적으로 트위터 다이렉트 메시지로 전송된 메신저 추가 요청의 스팸이 어떠한 목적을 가지고 있는 자세한 분석을 진행하였다.


스팸으로 전송된 메신저 주소를 ASEC의 테스트 메신저 계정에 추가하고 대기하자 해당 스팸 다이렉트 메시지 전송자로 추정되는 인물이 위 이미지에서와 같은 무료 웹캠 웹 사이로 접속하라는 메시지를 남겼다.

해당 웹 캠 웹사이트에 접속하게 될 경우 아래 이미지와 같이 성인 동영상 관련 웹 사이트로 연결 되며 해당 웹 사이트 자체적으로는 악의적인 목적이 존재하지 않았다.


그러나 해당 웹 캠 웹 사이트에서 제공하는 다양한 성인 동영상들 관람 하기 위해서는 성년임을 검증하는 절차로 접속한 사용자의 개인 정보와 함께 신용카드 정보를 같이 요구하고 있었다.


러한 신뢰하기 어려운 웹 사이트에서 개인 정보와 신용카드를 정보를 입력하게 될 경우 금전적인 불이익등이 발생 할 가능성이 높다.

이제까지의 상황들을 종합 해볼 때, 결국 트위터의 스팸 다이렉트 메시지 전송자는 성인 동영상 웹 사이트로 메신저 사용자가 접속하도록 유도하여 개인 정보 및 신용카드 정보를 탈취하기 위한 목적으로 트위터 사용자들에게 접근 한 것을 알 수 있다.

그러므로 전송한 사람이 누구인지 잘 모르는 트위터 다이렉트 메시지를 받게 될 경우에는 메시지를 삭제하고 메시지에 포함되어 있는 메일 주소, 웹 사이트 링크 및 단축 URL(URL Shortening)은 클릭하지 않는 것이 중요하다.

그리고 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 제품과 백신을 시스템에 설치하여 사전에 다양한 보안 위협으로 인한 피해를 예방 하도록 한다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

2010년 2월 24일 캐나다(Canada) 밴쿠버(Vancouver) 동계 올림픽에서 김연아 선수가 피겨 스케이팅에서 멋진 연기로 금메달을 획득 하였다. 김연아 선수의 피겨 스케이팅 경기가 전세계로 중계된 이후 구글(Google) 검색 웹 사이트에서 김연아 선수의 동영상을 위장한 악성코드가 유포 되었다.

이 번 구글 검색 웹 사이트를 통해 유포된 허위 백신은 2009년 이전 부터 해외에서 악성코드 유포에 많이 악용되었던
BlackHat SEO(Search Engine Optimization)이라는 기법이다.

구글 검색 웹 사이트에서 특정 단어를 입력하여 검색을 할 때 구글 검색 엔진의 랭킹(Ranking) 순위가 특정 알고리즘에 의해 가장 유사도가 높은 웹 사이트가 첫 번째 페이지에 제공 된다. 이러한 사항을 악용하여 BlackHat SEO 기법은 악성코드를 유포하기 위한 웹 사이트를 검색 결과 웹 페이지의 상위권에 나타나도록 조작하는 기법이다.


구글에서 김연아 선수의 동영상과 관련된 검색어를 입력할 경우 위 이미지에서와 같이 악성코드를 유포하기 위한 웹 사이트가 첫 번째 페이지에 나타나게 되었다.

해당 웹 사이트 링크를 클릭하게 될 경우에는 악성코드를 유포하기 위한 웹 사이트로 이동하게 되고 아래 이미지에서와 같이 사용하는 시스템이 악성코드에 취약하다는 문구와 함께 시스템을 검사하기 위해서 확인을 클릭할 것을 권유하게 된다.


확인을 클릭하면 아래와 같이 시스템을 검사하는 화면이 나타나고 사용하는 시스템에 다양한 악성코드가 감염되었음을 나타내는 허위 메시지가 제공된다.


이렇게 검색 엔진의 검색 알고리즘을 악용하는 BlackHat SEO 기법으로 허위 백신의 감염을 시도하는 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Fakeav.382464
Win-Trojan/Fakeav.382464.B

이렇게 검색 웹 사이트를 통해 접속하는 악의적인 웹 사이트를 통한 악성코드의 감염을 예방하기 위해서는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 제품과 백신을 시스템에 설치하여 사전에 이러한 보안 위협으로 인한 피해를 사전에 예방하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

ASEC에서는 201년 02월 25일 유명 소셜 네트워크 서비스(Social Network Service) 웹 사이트인 트위터(Twitter)의 사용자간 전송 가능한 다이렉트 메시지(Direct Messages)로 악의적인 피싱(Phishing) 웹 사이트로 연결되는 링크가 포함된 것이 발견되었는 소식을 전한 바가 있었다.

금일 오전에는 또 다시 트위터 사용자들 사이로 송신자가 누구인지 불명확한 스팸(Spam) 성격의 다이렉트 메시지가 전송되었다.


이번에 전송된 스팸 형태의 트위터 다이렉트 메시지는 위 이미지와 같이 24세의 여성이 윈도우 라이브(Windows Live) 메신저(Messenger)로 연락을 달라는 문구를 담고 있다.

그러나 실제 메신저로 연결을 하게 될 경우 메신저에 등록된 메일 주소로 스팸 및 피싱 메일 등 다양한 보안 위협에 노출될 우려가 있음으로 이에 대한 각별한 주의가 필요하다.


이러한 형태로 전송한 사람이 누구인지 잘 모르는 트위터 다이렉트 메시지를 받게 될 경우에는 메시지를 삭제하고 메시지에 포함되어 있는 메일 주소, 웹 사이트 링크 및 단축 URL(URL Shortening)은 클릭하지 않는 것이 중요하다.

그리고 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 제품과 백신을 시스템에 설치하여 사전에 다양한 보안 위협으로 인한 피해를 예방 하도록 한다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

해외 시각으로 2010년 2월 24일, 한 블로그를 통해 유명 소셜 네트워크 서비스(Social Network Service) 웹 사이트인 트위터(Twitter)의 사용자간 전송 가능한 다이렉트 메시지(Direct Messages)로 악의적인 피싱(Phishing) 웹 사이트로 연결되는 링크가 포함된 것이 발견되었다.

해당 블로그에서는 아래 이미지와 동일하게 트위터에 등록되어 있는 개인 사용자들에게 직접 전달되는 다이렉트 메시지가 전송 되었다.


해당 메시지에는 일반적으로 트위터 사용자들이 많이 사용하는 단축 URL(URL Shortening) 기법이 적용된 웹 사이트 링크가 포함되어 있었다.
ASEC에서는 다이렉트 메시지로 전달된 해당 단축 URL을 분석 한 결과, 해당 웹 사이트 링크를 클릭하게 되면 아래 이미지와 같이 허위로 작성된 트위터 사용자 로그인 웹 사이트로 연결이 된다.


해당 웹 사이트를 통해 사용자 계정과 암호를 실제로 입력하게 되면 아래 이미지에서와 같이 웹 페이지를 표시 할 수 없다는 오류가 발생하게 된다.


그러나 실제 전송되는 네트워크 패킷(Network Packet)을 분석해보면 아래 이미지에서와 같이 사용자 계정과 암호는 그대로 특정 시스템으로 전송이 되는 것을 확인 할 수 가 있었다.


해당 트위터 피싱 웹사이트와 사용자 계정과 암호가 전송되는 시스템은 중국 허베이(Hebei)에 위치하고 있어 탈취된 개인 정보가 중국으로 전송된 것을 알 수 가 있다.


이번 트위터에서 발생한 단축 URL을 통한 피싱 웹 사이트 연결은 일부 보안 업체에서 우려한 바와 같이 소셜 네트워크 사이트(Social Network Site)들 안에서 단축 URL로 인해 피싱이나 악의적인 웹 사이트로 연결하여 악성코드를 유포하는 등의 보안 위협이 발생 할 수 있다는 것을 증명한 사례로 볼 수 있다.


이렇게 소셜 네트워크 사이트들에 발생할 수 있는 악의적인 웹 사이트 접속으로 인해 피해가 발 생 할 수 있음으로 소셜 네트워크 사이트 내부에서 잘 모르는 사용자가 전송한 단축 URL은 함부로 클릭하지 않는 주의가 필요하다.

그리고 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 제품과 백신을 시스템에 설치하여 사전에 이러한 보안 위협으로 인한 피해를 사전에 예방하는 것이 중요하다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

2010년 2월 16일 ASEC에서는 전자 메일로 유포되었던 Zbot 트로이목마 변형들이 웹 사이트의 iFrame을 이용해 다른 악성코드 감염을 시도한다는 "2중 감염 기법을 사용하는 Zbot 변형"이라는 글을 게시한 바가 있었다.

2010년 2월 21일에는 이러한 2중 감염 기법이 적용된 페이스북(Facebook) 사용자 로그인 웹사이트로 위장한 피싱(Phishing) 웹 사이트에서 iFrame을 이용해 다른 악성코드 감염을 시도한 사례가 해외에서 발견되었다.

번에 발견된 페이스북으로 위장한 피싱 웹 사이트는 최초 전자 메일로 유포 된 것으로 알려져 있으며 해당 전자 메일 본문에는 아래 이미지와 같은 페이스북 사용자 정보를 입력하도록 되어 있는 페이스북 관련 피싱 웹 사이트 링크가 포함되어 있었다.


해당 피싱 웹 사이트에서는 사용자 정보를 입력하게 되면 다시 아래 이미지에서와 같이 사용자 이름과 국가 정보를 입력하게 되어 있으며 입력이 완료되면 정상적인 페이스북 웹 사이트로 연결하도록 되어 있다.



그러나 이렇게 사용자 정보를 입력 받는 페이스북 피싱 웹 사이트의 소스코드를 확인 해보면 "2중 감염 기법을 사용하는 Zbot 변형"이라는 글에서와 동일한 형태로 iFrame을 이용해 카자흐스탄(Kazakhstan)에 위치한 특정 시스템으로 사용자 모르게 연결되도록 하고 있다.


해당 페이스북 피싱 웹 사이트에서 iFrame을 이용해 연결하는 해당 시스템에는 아래 이미지와 같이 인터넷 익스플로러(Internet Explorer)과 어도비 아크로뱃(Adobe Acrobat)과 플래쉬(Flash) 취약점을 악용하는 취약한 파일들이 존재하고 있다.


해당 서버에 존재하는 취약한 파일들은 다음의 취약점들을 악용하여 다른 악성코드의 감염을 시도하고 있다.

MS05-052

MS06-014

MS06-073

MS09-028

APSB08-11

APSB08-13

APSB08-19

APSA09-07

해당 피싱 웹 사이트 제작자는 다른
웹 익스플로잇 툴 킷(Web Exploit Toolkit)과 연동하는 아래 이미지와 같은 전체적인 구조를 가지고 있으며 1차적으로 피싱 웹 사이트를 통해 페이스북의 사용자 계정과 암호 탈취를 시도한다. 그리고 2차적으로 iFrame을 이용하여 악성코드를 감염 시킴으로서 좀비(Zombie) 시스템으로 악용하거나 다른 개인 정보들의 탈취를 노리고 있는 것으로 볼 수 있다.


위와 같은 전체적인 구조도를 살펴 볼때 2009년 3분기 부터 진행 되었던 전자 메일로 악의적인 웹 사이트를 링크를 전달하는 기법은 2010년에도 지속적으로 등장하고 있는 것으로 분석된다.

컴퓨터 사용자는 수신하는 전자 메일 중 의심스러운 웹 사이트 링크를 클릭하지 않도록 주의하고 마이크로소프트의 다양한 취약점과 함께 다양한 어도비 취약점들이 악용되고 있음으로 사용하는 다양한 어플리케이션의 보안 패치들에 대해서도 주의를 기울여야 한다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

2009년 6월부터 다양한 사회적인 이슈들을 이용하는 사회 공학 기법을 통해 유포되었던 Zbot 변형이 최근에 와서는 악의적인 웹 사이트에 포함되어 있는 iFrame으로 어도비 아크로뱃 리더(Adobe AcroBat Reader)의 PDF 파일에 존재하는 취약점도 악성코드 유포에 악용되는 것이 확인 되었다.

이러한 2중 감염 기법은 최근에 발견된 허위 세금 고지 메일로 위장한 Zbot 변형들 중에서 사용하고 있는 것으로 알려져 있다.

이러한 기법은 최초 허위 세금 고지 메일로 위장한 전자 메일을 유포한 한 후 해당 전자 메일 본문에 포함되어 있는 링크를 클릭 할 경우 아래 이미지와 같은 웹 사이트로 연결된다.


악의적인 웹 사이트에서는 기존과 동일하게 해당 웹 사이트에서 제공하는
tax-statement.exe(130,560 바이트)를 다운로드하도록 유도하고 있으며 해당 파일은 Zbot 트로이목마 변형이다.

Zbot 트로이목마 제작자는 해당 웹 사이트의 접속자가 해당 트로이목마 변형을 다운로드 하지 않는 경우를 고려하여 아래 이미지와 같이
웹 사이트 내부에 iFrame 코드를 삽입하여 카자흐스탄(Kazakhstan)에 위치한 특정 서버에서 취약한 PDF 파일을 다운로드 하도록 되어 있다.


해당 서버에서 다운로드 된 취약한 PDF 파일은 다시 카자흐스탄에 위치한 다른 서버로 부터
Mufanom 트로이목마 변형을 다운로드 한 후 실행하도록 되어 있다. 이러한 전체적인 구조를 간략하게 도식화 한 이미지가 아래와 같다.


위 이미지와 같은 전체적인 구조를 가지고 있는 Zbot 변형을 유포하기 위한 전자 메일은 해당 악성코드 제작자가 악의적인 웹 사이트로 접속한 사용자가 해당 웹 사이트에 대한 의심으로 Zbot 변형을 정상적으로 다운로드 하지 않을 경우 생각한
2중 감염 기법으로 볼 수 있다.

이러한 2중 감염 기법을 사용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Win32/Ircbot.worm.variant
PDF/Exploit
Win-Trojan/Mufanom.39424.AG

이러한 복합적인 공격 기법은 2009년 이전 부터 웹 사이트에 존재하는 악성 스크립트 파일에서 사용하는 감염 기법을 전자 메일을 통한 유포과 결합된 형태로 볼 수 있음으로 컴퓨터 사용자는 마이크로소프트(Microsoft) 보안 업데이트 뿐만이 아니라 자신이 자주 사용하는 어플리케이션의 보안 업데이트도 많은 주의를 기울여야 한다.

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

2009년 한 해 동안 다양한 메일 형태로 유포되었던 Zbot 변형들은 그 중에서 세금 청구와 같은 개인 정보와 금전적인 문제를 사칭하여 유포되는 특징들도 보였었다.

이렇게 다양한 주제의 사회 공학 기법을 사용한 Zbot 변형은 2010년 2월 12일부터 세금 연말 정산이 잘못 되었다는 안내 메일로 위장하여 유포되었다.

이번에 유포된 Zbot 변형은 아래 이미지와 같이 "You are in a higher tax bracket" 라는 제목을 사용하며 메일 본문에는 세금 연말 정산이 잘 못되었으니  세금 연말 정산 내역서를 재확힌 하라는 내용을 가지고 있다. 그리고 해당 내역서를 확인 하기 위해서는 특정 웹 사이트 링크를 제공하며 해당 웹 사이트로 접속할 것을 유도 하고 있다.



해당 메일 본문에 제공되고 있는 특정 웹 사이트로 연결되는 링크를 클릭하게 될 경우 아래 이미지와 같이 플래쉬 플레이어(Flash Player)가 최신 버전이 아니니 최신 버전을 다운 받을 것으로 요구하고 있다.


해당 웹 사이트에서 제공하는
update.exe(123,904 바이트)의 파일은 기존에 알려진 Zbot 트로이목마의 변형 중 하나이다.

이와 같이 허위 세금 연말 정산 메일로 위장한 Zbot 변형은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Zbot.123904.C

이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다.


1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.


2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.

3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.

4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

5. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

2010년 2월 10일, 마이크로소프트(Microsoft)의 멀웨어 프로텍션 센터(Malware Protection Center) 블로그에 발렌타인 데이(Valentine Day)와 관련된 "Cupid Struck"가 게시되었다. 

해당 블로그에 따르면 해외에서 최근 발렌타인 데이 그림으로 위장한 악성코드인 Bifrose 변형이 발견되었다는 내용이다. 이와 관련해 ASEC에서 추가적인 정보를 수집하는 과정에서 해당 악성코드는 2009년 1월 28일 최초 발견된 것으로 확인 되었다. 

이번에 발견된 발렌타인 데이 그림으로 위장한 Bifrose 변형에 대해 ASEC에서는 상세한 분석을 진행 하였다. 

이번에 발견된 악성코드는 RARSfx로 압축이 되어 있으며 실행을 하게 되면 아래 이미지와 같이 실행된 해당 폴더에 이미지 파일들과 함께 숨김 속성을 가진 82.exe(160,213 바이트) 파일이 생성된다.



생성된 이미지 중에는 아래 이미지와 같이 발렌타인 데이와 관련된 이미지도 포함이 되어 있다.


이 외에 아래 이미지와 같은 피아노 이미지외에 장미꽃 이미지들도 같이 포함 되어 있어 감염된 시스템의 사용자에게 이미지 파일들이 압축되어 있는 파일들로 위장하고 있다.


그리고 감염된 사용자 모르게 백그라운드로 숨김 속성으로 생성된 82.exe(160,213 바이트)를 실행시켜 다음 경로에 다른 악성코드를 생성시킨다.

C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe(57,917 바이트)

생성된 server.exe(57,917 바이트)은 윈도우 시스템에 존재하는 정상 파일인 Explorer.exe의 특정 메모리 영역에 자신의 코드를 덮어쓰고 다음의 경로에 자신의 복사본을 생성시킨다.

C:\WINDOWS\system32\Bifrost\server.exe(57,917 바이트)

그리고 윈도우의 특정 레지스트리 키들을 생성하여 감염된 시스템이 자동 실행 될 때 해당 악성코드가 다시 실행 되도록 한다.

자신의 코드를 덮어쓴 정상 프로세스인 Explorer.exe은 인터넷 익스플로러(Internet Explorer)를 백그라운드 실행 시켜 미국 서부에 위치한 특정 시스템으로 접속을 시도하게 된다.


해당 악성코드가 특정 시스템으로 접속을 성공하게 되면 다음의 악의적인 기능들을 수행 할 수 있게 된다.

사용자 키보드 입력 후킹
사용자 마우스 입력 후킹
메신저 사용자 정보 및 암호 후킹
클립보드 정보 후킹
특정 보안 제품 프로세스가 실행 중일 경우 강제 종료
가상 키보드 입력 후킹
원격 제어 기능

발렌타인 데이 시즌을 맞이하여 발렌타인 데이 그림으로 위장한 악성코드는 V3 제품군에서 다음과 같이 진단한다.
 
Dropper/Bifrose.693626
Win-Trojan/Midgare.32256

이번에 발견된 악성코드는 발렌타이 시즌을 맞아 사회적인 관심이 높은 주제를 선정하여 이를 악용한 사례이다. 이러한 사례는 2009년 6월
마이클 잭슨 사망을 악용한 사례과 2009년 12월 연말 연시 사회적 분위기를 악용한 사례 등이 있음으로 이러한 사회적 이슈가 있을 때에는 특별히 악성코드 등의 보안 위협에 많은 주의가 필요하다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

2010년 2월 4일, 많은 사용자들이 사용하는 웹 브라우저인 파이어폭스(Firefox)를 개발하는 모질라(Mozilla)의 블로그에 "Please read: Security Issue on AMO"라는 글이 게시 되었다.

해당 글의 요지는 파이어폭스 웹 브라우저에 사용되는 일부 애드온(Add-on)에 악성코드가 포함되어 있으며 백신 제품에서 이를 진단 및 치료가 가능하다는 이야기 였다.

이러한 파이어폭스 웹 브라우저와 관련한 위협에 대해서는 이 번이 처음은 아니며 2009년 7월 파이어 폭스 취약점 공격 악성코드 발견된 사례와 2009년 9월에는 파이어폭스 확장 기능으로 설치되는 악성코드가 발견되었다. 그리고 2009년 9월에 역시 파이어폭스 사용자 정보를 유출하는 악성코드가 발견된 사례들이 있다.

이번에 악성코드가 포함되어 있는 것으로 문제가 되었던 파이어폭스 애드온인 master_filer-0.2-fx-win.xpi를 ASEC에서는 확보하여 자세한 분석을 진행하였다.

파이어 폭스 애드온으로 설치되는 해당 파일은 XPI 라는 확장자를 가지고 있으며 이러한 확장자를 가진 파일은 일반적인 ZIP과 같은 압축 파일 형태로 되어 있다.

문제가 된 master_filer-0.2-fx-win.xpi를 파이어폭스 3.0에서 파일 열기를 통해 실행을 할 경우 아래 이미지와 같은 안내 창이 생성되며 신뢰 할 수 있는 제작자의 애드온만 설치하라는 문구와 함께 해당 애드온의 제작자가 확인 되지 않는다는 메시지가 생성된다.


이러한 경고창을 무시하고 설치를 하게 되면 아래 이미지와 같이 "
Master Filer 0.2" 애드온이 정상적으로 설치 되었다는 안내 문구와 함께 파이어폭스를 재실행 할 것을 안내하게 된다.


정상적으로 파이어폭스가 완료되게 되면 아래 이미지와 같이 해당 애드온의 설치가 완료된 것을 확인 할 수 있다.


그러나 해당 애드온의 정상적인 설치가 완료되고 파이어폭스가 재부팅 되는 시점에서는 파이어폭스는 사용자에게 특별한 안내 없이 아래 경로에 존재하는 file.exe(233,508 바이트)를 백그라운드로 실행하게 된다.

C:\Documents and Settings\사용자 계정명\Application Data\Mozilla\Firefox\Profiles\kzdbp0uf.default\extensions\<생략>\chrome\content\file.exe

해당 file.exe는 기존에 알려진 Bifrose 변형이며 해당 파일이 실행되면 해당 시스템의
NTFS ADS(Alternate Data Streams) 영역에다 자신의 복사본을 다음과 같이 생성한다.

c:\WINDOWS:calc.exe

그리고 윈도우 레지스트리에 다음과 같은 키를 생성하여 시스템이 부팅할 때마다 자신이 자동 실행 되도록 구성되어 있다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Tibiabot = "C:\WINDOWS:calc.exe"

감염된 시스템에서 하드웨어 및 사용자 정보 등을 수집하여 외부로 유츌하는 기능 등을 수행하게 된다.

파이어폭스 애드온에 포함된 해당 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Bifrose.233508

이번 파이어폭스 특정 애드온에 포함된 악성코드는 특정인에 의해 고의적으로 악성코드를 포함하여 애드온을 제작하여 유포한 것으로 추정된다. 이러한 형태와 유사하게 공개된 프로그램들을 설치 할 때는 사용하는 백신으로 미리 검사를 해보고 신뢰 할 수 있는 프로그램들만 설치하는 것이 중요하다.

이번 보안 사고는 파이어폭스라는 특정 프로그램에 한정되어 발생하였지만 공개 소프트웨어 스토어를 제공하는 스마트폰 등에서도 역시 이와 유사한 보안 위협이 발생할 가능성이 높을 것으로 예측 된다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

2009년에도 꾸준히 변형들이 양산되어 다양한 주제의 사회 공학 전자 메일을 통해 유포되었던 Bredolab 변형이 국내에서 인터넷 사용 관련 메일로 위장하여 유포 중인 것이 ASEC에서 발견하였다.

이번에 발견된 Bredolab 변형이 사용하는 전자 메일 제목은 "Your internet access is going to get suspended"을 사용하며 메일 본문에는 아래 이미지와 같이 사용하는 인터넷 회선에서 범죄로 의심되는 행동이 발견되어 중단하겠다는 내용을 담고 있다.


그리고 위 이미지와 같은 전자 메일에는 첨부 파일로
report.zip(8,845 바이트) 이 첨부 되어 있으며 해당 압축 파일의 압축을 풀면 report.exe (24,576 바이트) 파일이 생성된다.

현재까지 이러한 형태의 사회 공학 기법의 전자 메일을 통해 유포되는 Bredolab 변형들은 해외에서 제작된 허위 백신을 설치하여 금전적인 이득을 획득하고자 한다.

생성된 해당 파일은 기존에 발견되었던 Bredolab 변형이며 V3 제품군에서는 다음과 같이 진단 한다.

Win-Trojan/Bredolab.24576.W 

이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다.

1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.

2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.

3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.

4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.


5. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다. 그리고 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC