악성코드 정보1153 국내P2P 사이트의 인증서를 악용한 온라인 게임핵 악성코드가 탈취한 인증서를 사용하여 자신을 서명한 사례는 국내외에서 간헐적으로 발생해 왔고 언론을 통해 보도 된 바 있다. 이번에 발견된 악성코드는 국내 해킹된 웹 사이트를 통해 유포가 됐으며, PC를 감염시키는 과정에서 생성된 파일들 중에 하나가 특정 P2P 사이트의 인증서로 서명되어 있음을 발견하였다. [그림 1] 국내 P2P 사이트의 인증서로 서명된 악성코드 위 [그림 1]이 최종으로 취약점(JAVA, IE, Flash Player)이 존재하는 PC로 다운로드 되어 실행되기까지의 과정을 정리해 보면 아래와 같다. 최초 악성 스크립트 링크가 삽입된 페이지 역시 P2P 웹 사이트였으며, makePCookie.js 파일에 Hex 문자열로 난독화된 형태의 악성 스크립트 링크가 존재 하였다. http://o.. 2013. 6. 4. Bank of America로 위장한 스팸메일 최근 Bank of America에서 보낸 것으로 위장하여 악성코드를 배포하는 스팸 메일이 발견 되어 사용자들의 주의가 요구된다. 이번에 발견 된 스팸메일은 "You transaction is completed" (당신의 계좌 이체는 성공하였습니다.)라는 제목을 사용하였으며, 본문 내용은 다음과 같다. [그림 1] Bank of America로 위장한 스팸메일 본문 해당 스팸 메일은 "Receipt of payment is attached." (영수증은 첨부해드립니다.)라는 표현을 쓰면서 첨부 된 파일의 실행을 유도한다. 첨부 파일은 zip 파일로 되어 있으며, 내부에는 실행 파일 형태로 악성코드가 존재하기 때문에 주의가 필요하다. 또한 "This is an automatically generated e.. 2013. 6. 4. UPS 화물 운송장으로 위장한 스팸메일 UPS에서 발송한 화물 배송조회 메일로 위장한 악성 스팸 메일이 발견되었다. 이 메일은 발신자 주소를 임의의 메일 계정으로 하여, 악성 html 파일을 첨부한 상태로 불특정 다수에게 배포한 것으로 보인다. [그림 1] 스팸 메일에 첨부 된 html 파일 html 파일의 링크를 클릭하면 실제 악성코드를 유포하는 사이트로 접속한다. 악성코드 유포 사이트에서 아래와 같이 플러그인 설치 여부를 묻는 창을 보여주고, 설치를 허용하면 악성코드 파일을 다운로드 한다. [그림 2] 악성코드를 유포하는 웹 사이트 첨부된 파일을 실행하면 아래와 같은 파일들이 생성되며, 레지스트리에 실행 파일을 등록하여 부팅 시 자동으로 실행되도록 한다. 또한 방화벽의 허용 대상 프로그램에 자신을 등록하여, C&C 서버와 통신이 PC 보안.. 2013. 6. 4. 미국우편공사(USPS)로 위장한 스팸메일 한국의 우정사업본부와 유사한 기관인 미국우편공사(United States Postal Service)로 위장한 악성 스팸 메일이 발견되었다. USPS에서 발송한 것처럼 위장하기 위해 송신자의 주소를 'reports@usps.com'와 같이 USPS의 도메인을 사칭하였고, 수신자가 메일에 첨부된 악성코드를 실행하도록 유도한다. 메일 제목은 'USPS delivery failure report'를 사용하였으며, 수신된 메일의 본문은 첨부된 파일(LABEL-ID-56723547-GFK72.zip)을 출력하도록 안내하여 첨부파일의 실행을 유도한다. [메일 본문] Notification Our company's courier couldn't make the delivery of package. REASON: Po.. 2013. 6. 4. 북핵 관련 문서파일로 위장한 악성코드 최근 북한과의 군사적 긴장 관계를 악용하는 악성코드가 발견되었다. 현재 남한과 북한은 개성공단 폐쇄 및 북한의 미사일 발사 위협 등으로 인해 군사적 위기감이 상당히 높은 상황이다. 이러한 분위기 때문에 실제로 파일을 실행하여 감염되는 사용자가 많을 것으로 보이므로 사용자의 각별한 주의가 요구되는 상황이다. [그림 1] MS워드 파일로 위장한 악성코드 특히 이번에 발견된 악성코드는 위와 같이 '차북핵 한국대응조치 결과가 나왔어요.exe' 라는 파일명을 사용하고 있다. 그러나 MS워드 문서 파일 형식의 아이콘을 그대로 사용하고 있지만, 실제 파일 형식은 exe 실행 파일이다. 악성코드는 RAR 실행압축 파일로 제작되어 있으며, 해당 파일을 실행하면 12.hwp 한글 문서 파일과 다수의 PE 파일을 생성하는데.. 2013. 4. 26. 출장보고서 문서파일로 위장한 악성코드 악성코드를 문서파일로 위장하여 사용자PC를 교묘히 감염시키는 수법이 최근 부쩍 늘고 있다. 이번에 발견된 악성코드는 아래와 같이 '워싱톤 출장 결과 보고서.exe' 라는 파일명을 사용하고 있으며, MS워드 문서파일형식의 아이콘을 그대로 사용하고 있으므로 사용자가 문서파일로 혼동하여 실행시키도록 유도하고 있다. 악성코드는 RAR 실행압축파일로 제작되어 있으며, 해당파일을 실행하면 1.doc 문서파일과 g1.exe,mspool.dll 실행파일을 Drop 한다. 이후 1.doc 문서를 열고 g1.exe 파일을 실행시키는데, 이 때 문서파일은 손상되어 있어 MS워드에서 제대로 열리지 않는다. [그림1] doc 문서 열기실패 메시지 이후 악성코드는 'mspool.dll' 파일을 'Windows mspool ser.. 2013. 4. 26. hosts.ics를 이용한 파밍 사이트 접속유도 인터넷 사용이 일반화 되면서 인터넷뱅킹을 통해 은행을 직접 가지 않더라도 책상 앞에서 손쉽게 온라인 송금이 가능하고, 직접 매장에 가지 않더라도 온라인 쇼핑몰을 통해 손쉽게 물건을 구매할 수 있는 편리한 세상이 되었다. 그러나 이러한 기술 발전의 이면에는 조그만 부주의가 큰 손실을 가져오기도 한다. 최근 올바른 홈페이지 주소를 입력하여도 가짜 홈페이지로 유도되어 개인의 금융거래 정보를 탈취하는 파밍 사고가 지속적으로 발생하고 있어 이러한 사고의 예방을 위해 파밍 기법에 대해 소개하고자 한다. 일반적으로 사용자들의 금융정보를 가로채기 위해 공격자들은 악성코드 감염을 통해 사용자의 hosts 파일을 변경하거나, 공격자가 만들어 놓은 서버 IP를 사용자 DNS 서버 IP로 변경하여 정상적인 금융권 사이트 접속.. 2013. 4. 25. HSBC 은행을 사칭한 스팸메일 HSBC은행을 사칭해 악성 파일이 첨부되어 유포되는 스팸 메일이 발견되었다. 기존 스팸메일과 유포 형태는 크게 차이가 없지만, HSBC은행은 국내에도 다수의 지점이 운영되고 있으며, 이에따른 피해가 발생될 수 있어 해당 내용을 공유하고자 한다. 메일 제목은 'Payment Advice - Advice Ref:[B7734899]'와 같은 형태로 발송되며, 메일의 본문은 첨부된 e-Advice 내용을 확인하라는 내용이다. [그림 1] 수신된 메일의 내용 첨부된 파일은 아래와 같으며, PDF 문서의 아이콘을 가지고 있다. [그림 2] 메일에 첨부된 악성 파일 사용자의 폴더 옵션이 [알려진 확장자에 대한 숨김 설정]이 되어있는 경우라면 위와 같이 확장자가 보이지 않아 사용자는 PDF 문서로 판단하고 파일을 실행.. 2013. 4. 24. 이전 1 ··· 46 47 48 49 50 51 52 ··· 145 다음
