악성코드 정보1153 RAR.EXE 압축툴을 이용한 중요 파일들 유출하는 악성코드 2014년 11월 11일 발견된 "Isass.exe" 라는 이름의 악성코드는 감염 시, "rar.exe" 라는 정상 압축 프로그램을 이용하여 시스템의 중요한 파일들을 찾아 압축 후, 공격자에게 전송하는 기능을 수행한다. 국내에 감염이 최초 확인된 것은 2013년 8월로 당시에는 취약한 문서파일 통해 최초 감염이 이루어졌다. 하지만, 최근 발견된 샘플은 아직 정확한 감염경로를 확인하지 못한 상태이다. 악성코드의 동작과정을 살펴보면 특정 사이트로 부터 [1] "rar.exe" 파일에 대한 다운로드가 이루어지며, [2] "ebgEC50.bat" 파일생성을 통한 중요파일들 압축을 수행하고, [3] 최종 압축한 파일("NETUSER.001")을 공격자에게 전송의 과정으로 이루어진다. [1] "rar.exe" 파일.. 2014. 11. 20. 스마트폰의 사진, 동영상, 문서를 암호화하는 랜섬웨어 요즘 유포되는 악성코드의 대부분은 금전적 이득을 목적으로 제작된다. 소액결제를 노린 'chest' 금융정보를 노린 'bankun' 등의 능동적 수익 모델과 랜섬웨어와 같은 입금을 기다리는 수동적인 모델이 있는데, 오늘 다루고자 하는 악성 앱은 후자의 경우에 속하는 모바일 랜섬웨어를 다루고자 한다. 국내의 경우에는, 아직 대부분 문서작업등을 PC에서 하고 있기 때문에 PC(Windows)보다 상대적으로 위협적이진 않다. 하지만 스마트 폰에 의해 만들어진 사진, 영상 등은 스마트 폰에서 생성되는 유일한 자료라고 본다면 그렇지 않을지도 모르겠다. 과거 ASEC Blog를 통하여 안드로이드 랜섬웨어인 ANDROID DEFENDER에 대해 다룬 적이 있다. 해당 악성 앱은 허위 감염 내용으로 금전적 이득을 취하려.. 2014. 11. 7. 국방표준종합정보시스템 VPN 사용자를 겨냥한 악성코드 CHM 이번에 발견된 악성코드는 아래 [그림1]에서 보이는 것처럼, 국방표준종합정보시스템 VPN 사용자를 대상으로 유포된 것으로 추정된다. 이 악성코드는 Help 파일로 위장했으며, 위장한 CHM 파일에는 [표 1]과 같은 파일들이 포함되어있다. /index.htm - 악성 파일을 로드 /제목 없음.jpg - 사용자를 속이기 위한 그림 파일 /msupdate.exe - 악성 파일 [표 1] CHM에 포함되어 있는 파일들 악성코드에 포함되어 있는 '제목 없음.jpg'의 내용은 아래와 같다. [그림 1] CHM 실행 화면 (제목 없음. JPG) 처음 CHM 파일을 실행하면 [그림 2]와 같은 형식의 index.htm을 실행하게 되는데 이때 msupdate.exe가 실행된다. [그림 2] object 태그를 이용하여.. 2014. 11. 6. 정상파일을 위장한 PlugX 악성코드 유포 PlugX 형 악성코드는 지난 2012년 국내에 최초 발견되었으며, 발견 당시 APT 형태의 백도어 파일로 감염이 제한적으로 이루어졌으나, 최근에는 불특정 다수의 개인 사용자들을 대상으로 한 공격 시도가 발견되고 있어, 사용자의 주의가 요구된다. PlugX 형 악성코드는 '정상 프로그램(EXE)' + '악성 DLL 모듈' + '암호화된 데이터파일' 3가지가 조합된 형태로 배포된다. 악성코드 제작자는 정상 프로그램(EXE)이 실행 시 함께 구동하는 DLL 파일을 (파일명은 정상파일이나, 악성기능을 갖는) 악성파일로 제작하여 배포하고 있으며, 사용자가 정상파일(EXE)을 실행 시, 자동 로드되는 악성 DLL 파일에 의해 악의적인 기능이 수행되도록 한다. 또한, 함께 배포되는 데이터파일은 다양한 확장자 형태로.. 2014. 9. 25. SafeSvcInstall, 4년 째 공격 시도 중 보통 APT (Advanced Persistent Threat)로 분류되는 위협은 지속적인 공격을 특징으로 꼽는다. 하지만, 공격자가 지속적으로 매번 새로운 공격 방식을 사용하는 경우는 드물다. 공격에 이용하는 악성코드 역시 보통 자신들의 악성코드를 조금씩 바꿔 공격에 이용한다. 이 글에서 언급한 Backdoor/Win32.Etso 변형도 예외가 아니다. 2014년 9월 표적공격(targeted attack)으로 추정되는 백도어 샘플을 분석하던 중 유사 악성코드를 이용한 공격이 2011년부터 진행되었음을 확인했다. 2011년 MS 워드 문서 취약점 (CVE-2010-3333)을 이용한 공격이 있었다. 취약점이 존재하는 MS 워드로 해당 RTF 파일을 열어보면 중국어를 포함한 문서 내용이 열린다. 취약점을.. 2014. 9. 19. ☆돌☆잔☆치☆초☆대☆장☆ 보냈습니다. 요즘 스마트폰을 이용하는 사람은 어느곳에서나 쉽게 찾아 볼 수 있게 되었다. 스마트폰의 편리하고 다양한 기능이 많은 사람들을 스마트폰 유저로 만든 것이 아닐까? 이러한 스마트폰의 다양한 기능을 이용하다 보면, 폰에는 자연스럽게 많은 정보들이 쌓이게 된다. 편리하고 유용한 스마트폰이지만, 쌓이는 정보가 많을 수록 주의해야하는 점도 많아지게 되었다. 스마트폰의 정보를 탈취하는 대표적인 악성앱은 "스미싱"의 형태로 유포되는 "BANKUN" 이다. BANKUN 의 의미는 Bank Uninstall 의 줄임말이다. 의미 그대로 정상적인 은행앱의 삭제를 유도하고, 악성앱의 설치를 시도하는 악성코드 이다. 이러한 유형의 악성코드를 살펴보고, 감염되지 않도록 예방하는 방법에 대해 살펴보자. 아래 그림은 안랩의 "안전한.. 2014. 9. 17. 가상화폐 채굴을 노린 리눅스 싸보봇(SsaboBot) 악성코드 싸보봇(SsaboBot)은 보싸보(Bossabo), 보싸봇(BoSSaBot) 등으로 불리며 2013년 말 최초 발견되었다. 싸보봇 v2는 싸보봇의 개선 버전으로 2014년 8월부터 발견되었으며 국내에도 변형이 2014년 9월 발견되었다. 싸보봇은 UPX로 패킹되어 있으며 악성코드 내에 ‘BoSSaBot’과 관련된 문자열이 존재한다. 악성 IRC봇이며 다음 IRC서버로 접속한다. (변형에 따라 접속 주소가 다름) -srv5050.co-ka3ek.com-ircqfrum.com-8rb.su PHP-CGI 취약점(CVE-2012-1823)을 통해 전파된다. 다른 리눅스 악성코드가 대부분 디도스(DDoS) 공격 기능에 중점을 두고 있지만 싸보봇은 비트코인(Bitcoin) 등의 가상화폐 채굴 프로그램을 다운로드 후.. 2014. 9. 15. V3 모바일, 만점으로 AV-TEST 글로벌 인증 10회 연속 획득 안랩 V3 모바일, 만점으로 AV-TEST 글로벌 인증 10회 연속 획득 - 국내 기업 중 유일하게 10회 연속 AV-TEST 인증 및 악성코드 탐지율 부문 올해 4회 연속 만점 획득 - 세계 유수의 기업들과 함께 모바일 보안 분야에서의 글로벌 리더십 이끌어 나갈 것 안랩(대표 권치중, www.ahnlab.com)의 모바일 보안제품인 'V3 모바일 2.1(이하 V3 모바일)’이 독립 보안제품 성능 평가 기관인 AV-TEST(www.av-test.org)가 7월 실시한 모바일 보안 제품 테스트에서 종합점수 만점으로 인증을 획득했다. 이로써 안랩은 2013년 1월부터 시작된 AV-TEST 모바일 보안제품 테스트에서 국내 기업 중 유일하게 10회 연속 참가 및 인증을 획득해 모바일 보안 분야에서도 글로벌 기술.. 2014. 9. 4. 이전 1 ··· 39 40 41 42 43 44 45 ··· 145 다음
