안철수연구소 ASEC에서 2011년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.24을 발간하였다. 

그리고 이번 호에서는 2011년 주요 보안 위협 이슈와 함게 2012년에 예상되는 보안 위협도 같이 포함되어 있다.


이 번에 발간된 ASEC 리포트는 2011년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

김정일 위원장 사망을 이용한 애드웨어 유포

김정일 위원장 사망을 악용한 악성 전자 문서 파일 유포
국내 연예인 사생활 동영상으로 위장한 악성코드 유포
2012년 버전으로 위장한 허위 클라우드 백신
악성코드를 위한 안티바이러스 체크 웹 사이트
아크로뱃 제로데이 취약점을 악용한 타깃 공격
여러 가지 취약점을 이용한 제우스봇 전파 메일 발견
구글 안드로이드 마켓에 업로드된 악성 애플리케이션


안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다 

ASEC 보안 위협 동향 리포트 2011 Vol.24 발간 
저작자 표시
신고
Posted by 비회원

- 앱, OS 취약점 노린 악성코드 대량 유포, 좀비폰 본격 등장 예상 
- 스마트폰 전용 백신, 공식 마켓 활용 등 사용자 주의 당부

글로벌 보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’]는 5일 2011년에 발생했던 주요 스마트폰 악성코드 트렌드와 2012년에 예상되는 스마트폰 보안 위협을 발표했다.
 
이에 따르면 2011년의 주요 이슈는 ▶과금형 악성코드 폭발적 증가 ▶유명 어플리케이션으로 위장한 악성코드 ▶사생활 침해형 애플리케이션 증가 ▶ 온라인뱅킹정보 노리는 악성코드 발생 등을 꼽았다.
 
또한, 2012년 한 해 예상되는 주요 스마트폰 보안이슈는 ▶ 애플리케이션, OS 취약점 등을 이용한 악성코드 대량 유포 가능성 ▶커널을 공격하는 루트킷 기능의 발전 ▶ 좀비폰 및 봇넷 본격적 활성화 ▶국내를 겨냥하는 모바일 악성코드 등장 등이다.
 
2012년 예상 스마트폰 보안 위협
 
1] 애플리케이션, 운영체제 취약점 등을 이용한 악성코드 대량 유포 가능성
 
현재 윈도우 PC 기반 악성코드 배포 방식 중 가장 유행하는 것은, 웹사이트 변조를 통해 악성코드를 심어 관련 취약점이 패치 되지않은 다수의 사용자에게 악성코드를 유포하는 것이다. 이와 동일하게 스마트폰 사용자가 증가하고, 자연스럽게 이를 통해 인터넷 웹페이지를 보는 경우가 증가함에 따라 해커의 타깃이 될 가능성이 높다. 모바일 환경에서도 PC와 마찬가지로 모바일용 웹어플리케이션의 취약점을 이용해 다수의 사용자에게 한꺼번에 악성코드를 유포한다면 매우 위험해질 수 있다. 소셜네트워크서비스[SNS], 이메일 애플리케이션 등도 취약점이 발견된다면 역시 악용될 수 있다.
 
2] 스마트폰 커널을 공격하는 루트킷 기능의 발전
 
안드로이드의 루팅[rooting]이나, 아이폰의 해킹[hacking]은 애플리케이션의 취약점을 이용하는 것이다. 운영체계의 가장 중요한 핵심인 ‘커널’의 모든 것을 조작할 수 있는 일명 슈퍼유저[super user]의 권한을 취득하게 해준다. 수퍼유저 권한 획득은 일반적 사용자에게 스마트폰의 기능 중 다양한 이유로 제한된 부분을 임의로 조작할 수 있게 해준다. 반면, 악의적인 사용자나 어플리케이션이 이 방법을 악용한다면 치명적일 수 있다. 예를 들어, 시스템 자체를 삭제해서 스마트폰을 영원히 쓸 수 없게 만든다거나, 절대 삭제할 수 없는 악성 애플리케이션을 몰래 실행시킨다거나 하는 것이다. 모바일 악성코드가 증가할수록 이와 같은 스마트폰의 커널을 공격하는 발전된 기술이 유포될 가능성이 높다.
 
3] 좀비 스마트폰 본격적 활성화
 
스마트폰에 악성코드를 대량으로 유포하는 방식이 발전한다면, 좀비PC와 마찬가지로 ‘좀비스마트폰’이 활성화할 가능성이 높다. 7.7 이나 3.4 디도스 공격과 같은 사태가 스마트폰 감염으로 발생하지 않으리라는 보장은 없는 것이다. 올해 안드로이드 플랫폼에서도 스마트폰을 좀비화시키는 봇[bot]에 감염된 ‘좀비 스마트폰’의 네트워크인 ‘봇넷[botnet]을 구성하려는 시도를 보인 악성코드가 중국의 써드파티 마켓에서 발견되었지만, 제한적인 마켓에서만 유포됐기 때문에 피해는 크지 않았다. [http://asec.ahnlab.com/299 참고]
 
4] 국내를 겨냥하는 스마트폰 악성코드 등장
 
2011년에는 다양한 스마트폰 악성코드가 발생한 한 해였지만, 대부분의 악성코드가 유럽, 러시아, 중국 지역을 겨냥하여 만들어져 국내에서의 모바일 악성코드 피해는 크지 않았다. 그러나 한국의 스마트폰 사용률이 매우 높은 편이라는 것을 고려할 때, 악성코드 제작자의 주목을 받을 소지가 다분하다. 국내의 스파이웨어 방지법을 교묘히 피해 제작되는 애드웨어성 악성코드나, 각종 온라인게임계정 또는 민감한 개인정보를 탈취하는 류의 악성코드가 국내의 모바일 환경에 맞게 새롭게 등장할 수 있다.
 
2011년 주요 스마트폰 악성코드 트렌드

1] 과금형 악성코드 폭발적 증가

2011년을 대표하는 안드로이드 악성코드로는 과금형 악성코드를 꼽을 수 있다. 과금형 악성코드는 안드로이드 플랫폼이 전화나 문자기능이 포함된 스마트폰 운영체제[OS]라는 점을 악용한 예이다. 대부분 문자 과금 방식[premium call, 송신자에게 추가요금이 발생하는 번호 서비스]을 주로 이용한다. 즉, 악성코드 감염 시 추가 과금을 발생시키는 특정 번호로 사용자 몰래 문자를 보내 피해자에겐 금전적 피해를 주는 동시에 공격자에겐 직접 수익을 발생시킨다. 가장 최근에 발견된 과금 악성코드는 Android-Trojan/Pavelsms [http://asec.ahnlab.com/751 참고]로, 해외에선 ‘ruFraud’라는 이름으로 알려져 있다. 이 악성코드는 감염 시 스마트폰의 가입국가를 파악하고 유럽 내 스마트폰일 경우 각 국가에 맞는 프리미엄 문자를 보내는 것이 특징이다.
 
2] 유명 어플리케이션으로 가장한 위장형 악성코드
 
구글서치[Google Search], 구글플러스[Google+], 앵그리버드[Angry bird], 오페라[Opera], 스카이프[Skype] 등 사용자층이 많은 유명 어플리케이션으로 위장해 악성코드를 배포한 사례도 있다. 이런 위장형 악성코드는 주로 정식마켓이 아닌 사설마켓[써드파티마켓]을 통해 배포되었다. 또한 실제 정상 애플리케이션과 아이콘, 애플리케이션 이름이 완전히 동일하여 사용자가 쉽게 구분하기 어렵다. 다른 위장형 악성코드로는 정상 어플리케이션과 완전히 동일하게 동작하게끔 하면서 추가적으로 악성코드를 삽입하여 재배포 시키는 리패키징[repackaging]형 악성코드가 있다. [http://asec.ahnlab.com/258 참고]
 
3] 사생활 침해 형 어플리케이션 증가
 
스마트폰은 통화 및 문자 송수신, 카메라, GPS 기능 등으로 인해 PC보다 좀더 생활에 밀착된 민감한 정보들을 가지고 있다. 이러한 정보들이 유출될 시에는 심각한 사생활 침해가 된다. 예를 들어 진단명 ‘Android-Spyware/Nicky’와 같은 악성코드는 GPS를 통해 수집된 사용자 위치정보, 문자 송수신, 전화 송수신 내역뿐만 아니라 음성녹음 기능을 악용해 사용자의 통화내용까지도 훔쳐가는 기능을 내장하고 있어서 큰 충격을 주었다. [http://asec.ahnlab.com/320, http://core.ahnlab.com/290 참고] 2011년뿐 아니라 앞으로도 이러한 디지털 스토커[digital stalker]형 악성코드가 지속적으로 증가할 전망이다.
 
4] 온라인뱅킹정보 노리는 악성코드 발생
 
온라인뱅킹 정보를 갈취하는 것으로 유명한 Zeus 악성코드가 다양한 모바일 환경에서도 동작하도록 제작되어 유포된 것이 발견되었다. Zitmo[Zeus In The Mobile] 로 불리는 이 악성코드는 심비안, 블랙베리를 거쳐 최근엔 안드로이드 플랫폼까지 진화했다. 안드로이드의 Zitmo 악성코드는 해외의 뱅킹 보안 업체의 제품을 위장해 실행되었다. 온라인 뱅킹에 접속할 때 일회용 비밀번호[OPT]와 문자인증 등 두 가지의 인증요소로 본인임을 확인하는 이중인증[two-factor] 방식을 깨기 위해 문자 수신내역까지 감청하는 등의 치밀함을 보여준 것이 특징이다.
 
안철수연구소 시큐리티대응센터 이호웅 센터장은 "아직 국내에는 구체적 피해가 발생하지 않았지만 스마트폰 악성코드는 안드로이드를 중심으로 폭발적으로 증가하고 있다. 이는 스마트폰의 확산, 공격자의 직접수익 경로 확보 등의 이유로 2012년에도 증가세가 이어질 것으로 예상된다”라며, “사용자는 스마트폰 루팅이나 탈옥, 사설 마켓 이용 등을 자제하고, 애플리케이션을 다운받을 때 평판정보 확인, V3 모바일과 같은 스마트폰 전용 백신의 설치 및 최신 버전 유지 등의 주의를 기울이는 것이 좋다” 고 강조했다.
저작자 표시
신고
Posted by 비회원
스마트폰 개인정보를 유출시키는 정보유출형 안드로이드 악성코드가 발견되어 관련 내용을 전한다.


▶ 개인정보 유출

해당 악성코드는 설치와 동시에 아래와 같은 스마트폰 개인정보를 중국의 베이징에 위치한 서버 (http://on***an.com/net***d/nm*****n.jsp) 로 유출시킨다.

1. IMEI
2. 제조사 (manufacturer)
3. Model 번호
4. IMSI


[pic. data stealing code]


[pic. sending data with http post ]



다른 악성앱과 다른 점은, 위의 개인정보들을 유출하는 것 뿐아니라 특정 어플리케이션이 설치되어 있는지 조사하는 기능도 포함하고 있다는 것이데, 어플리케이션을 찾을 때 단순히 패키지네임만을 비교하는 것뿐 아니라 패키지파일(APK)의 MD5 hash 를 이용하여 더욱 정교하게 비교한다는 점이다.(패키지네임만으로는 중복값이 있을 수 있다.)

해당 악성앱이 설치여부를 검사하는 패키지네임들은 아래와 같다.

 com.cola.twisohu
 com.sohu.newsclient
 com.duomi.android
 com.snda.youni
 cn.emoney.l2
 com.diguayouxi
 com.mx.browser
 com.uc.browser
 com.onekchi.xda
 cn.goapk.market
 com.wuba
 com.mappn.gfan
 com.hiapk.marketpho

[pic. checking md5sum ]


현재 해당 악성어플리케이션은 V3 모바일제품에서 아래 진단명으로 진단/치료가 가능하다.

2011.08.10.00
Android-Spyware/Netsend

아래의 수칙을 지켜 스마트폰이 악성코드에 감염되는 것을 예방하도록 하자.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.


신고
Posted by 비회원

 


1. 파일 공유사이트, utorrent, P2P 프로그램에서 다운로드 받은 파일 주의 !


- 파일 공유사이트에서 받은 파일, 믿을 수 있을까 ?

- 많은 사람들이 파일 공유사이트를 이용하는 가장 큰 이유중에 하나는 접근하기 쉽고, 원하는것을 쉽게 얻을 수 있어서 일것 이다. 하지만, 파일 공유사이트 및 특정사이트의 접속만(취약점)으로 악성코드에 감염되는 사례를 다수 보여왔고, 현재에도 여전히 유효하다.


- 악성코드 유형 및 배포 URL 자료 


[그림] 악성코드 유형 분포도 / 악성코드 배포 URL




2. 내 PC의 보안패치, 응용프로그램 패치로 취약점을 조치한다면, 안전할까?


- 악성코드가 이용하는 취약점을 패치하였다면, 사이트 접속만으로 감염되지는 않는다.
하지만, 공유되는 파일에 대한 안전성까지 보장하는 것은 아니다.

- 파일 공유사이트가 악성코드 경유지 뿐만 아니라, 악성코드 제작자의 유포지로 악용되는 점을 안내하고자 한다.





3. 파일 공유사이트, utorrent, P2P 프로그램에서 받은 동영상(AV) 을 살펴 보자.


[그림] 동영상으로 추정되는, exe 로 압축된 형태의 파일




- 동영상 이름으로 보이지만, exe 형태로 압축되어 있다. 이 중에 하나를 확인해 보자.

- exe 형태로 압축된 파일을 실행하면, 동영상 파일이 생성되어 사용자는 정상적인 동영상 파일이 압축된 것으로 믿게 된다.

- 추가 생성되는 악성코드는 사용자가 알 수 없도록 백그라운드로 생성/실행 된다.

- C:\WINDOWS 폴더에 setup.exe / DTLitte.exe / _info.inf 파일을 생성한다.

 [그림] 다운로드 받은 파일 / 생성된 악성코드



- 감염시 증상

방화벽을 우회하여 백도어로 사용될 수 있다.
 

[그림] 악성코드에 의해 변경된 방화벽 예외 설정





4. V3 진단명



Dropper/Agent.1995028
Win-Trojan/Agent.1724928





5. 악성코드의 감염을 예방하고, 피해를 최소화 시키는 방법 !



 1) 윈도우 보안패치를 항상 최신으로 유지한다.
  - Microsoft : http://update.microsoft.com (Windows 정품인증 필요)

 2) 응용 프로그램 패치를 항상 최신으로 유지한다.
  - Adobe Flash Player 업데이트 : http://www.adobe.com/go/getflash/
  - Adobe Reader : http://www.adobe.com/go/getreader/

 3) 신뢰할 수 없는 사이트 및 파일은 접근하지 않는다.

 4) V3 제품을 설치하고, [환경설정] ASD 기능을 활성화 한다.
  - ASD 기능 이란? (바로가기)

 5) AhnLab SiteGuard 설치하여, 위험 사이트는 접근하지 않는다.
  - AhnLab SiteGuard 설치하기 (바로가기)

- Anti-Virus V3

신고
Posted by DH, L@@

1. 서 론

imm32.dll을 패치하는 악성코드와 관련된 피해사례가 꾸준히 접수되고 있어 확인해 본 결과 기존의 방식과는 조금은 다른 방식을 사용하여 악성코드를 실행하도록 되어 있어 일반 사용자들을 위해서 "imm32.dll을 패치하는 악성코드"에 대한 정보를 업데이트하였다.

2. imm32.dll을 패치하는 악성코드, 수동조치는 어떻게?

최근에 발견된 imm32.dll을 패치하는 악성코드를 수동조치하기 위해서는 두 가지 경우의 수를 두고 수동조치를 해야한다.


Case 1. 정상 imm32.dll -> imm32A.dll
로 백업 후 순도 100%의 악성 imm32.dll로 교체되는 경우

Case 1에 해당하는 PC에서 안리포트를 실행하여 프로세스 & 모듈 -> 로드된 모듈 부분을 살펴보면 아래 그림처럼 이름 기준으로 서명이 Unsigned된 imm32.dll과 Signed catalog(nt5.cat)된 imm32a.dll파일 두 개가 실행 중임을 알 수 있다.

[그림 1] Case 1에 해당하는 PC의 상태


Unsigned된 imm32.dll은 순도 100%의 악성 imm32.dll이며, Signed catalog(nt5.cat)된 imm32a.dll은 악성코드가 백업한 정상 imm32.dll이다. 수동조치는 아래 단계를 거친다.

1.
%SYSTEM%\dllcache\imm32.dll이 존재하는지 확인 필요

* %SYSTEM%의 경로: 운영체제가 설치된 드라이브 기준, C:\Windows\System32\


2. GMER나 IceSword를 사용하여 Unsigned된 imm32.dll 삭제

* 수동조치 시 필요한 툴:
-. GMER:
http://www.gmer.net/gmer.zip
-. IceSword: http://asec001.v3webhard.com/IceSword.zip


참고로 IceSword는 GMER와 동일한 성격을 가진 프로그램으로 중국에서 제작된 툴로 사용자의 편의상 V3 웹하드에 링크하였으므로 오해없기를 바란다.

                                   [그림 2] IceSword를 사용하여 수동조치

[그림 3] GMER를 사용하여 수동조치


3. 윈도우 운영체제에 의해서 자동으로 정상 imm32.dll로 복구됨.

4. %SYSTEM%\dllcache\imm32.dll이 존재하지 않을 경우
   백업된 정상 imm32A.dll을 imm32.dll로 변경
한 후 재부팅. [그림 2, 3]참고.

이때 윈도우 파일 보호 기능창이 뜰 수 있는데 무시하고 재부팅 한다.

Case 2: 기존의 방식대로 정상 imm32.dll을 패치하는 경우

* 수동조치 방법: http://core.ahnlab.com/173

                              전용백신 다운로드


3. imm32.dll을 패치하는 악성코드, 어떻게 감염될까?
imm32.dll을 패치하는 악성코드는 해킹된 국내 웹 사이트를 통해서 응용 프로그램에 보안 취약점(주로, Internet Explorer에 존재하는)이 존재할 경우 감염되는 경우가 대부분이다.

* MS10-018:
http://www.microsoft.com/korea/technet/security/bulletin/ms10-018.mspx

* MS10-090: http://www.microsoft.com/korea/technet/security/bulletin/ms10-090.mspx

윈도우 업데이트 기능을 사용하여 보안 업데이트를 적용시켜 주는 것이 좋다.

 

* Windows XP 계열의 Windows Update 방법:

http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=ko

* Windows Vista이상 계열의 Windows Update 방법: 제어판 -> Windows Update를 이용

4. imm32.dll을 패치하는 악성코드, 어떻게 동작할까?
여기서는 이해를 돕기 위해서 동작방식의 차이점을 기준으로 원형과 변형으로 구분했다.
우선 원형의 동작방식을 간단하게 그림으로 나타내면 아래와 같다.

[그림 4] 원형의 동작방식

그럼 변형의 동작방식을 살펴보자.

[그림 5] 변형의 동작방식
 

지금까 imm32.dll 패치하는 악성코드의 원형과 변형의 동작방식에 대해서 간단하게 살펴 보았는데 변형의 경우 V3제품의 설치여부를 체크하여 두 가지 경우의 수로 동작함을 알 수 있었다. 그럼 변형의 그 두 가지 경우의 수에 대해서 좀더 기술적인 부분을 살펴보도록 하겠다.

Case 1. 정상 imm32.dll -> imm32A.dll
로 백업 후 순도 100%의 악성 imm32.dll로 교체되는 경우

악성코드가 실행되면 해당 PC
에서 아래 루틴을 수행하여 V3가 설치되어 있는지 여부를 체크한다

[그림 6] V3관련 Process 체크

만약 위 프로세스들이 실행 중이라면 다음 단계인 정상 imm32.dll에 대해서 윈도우 파일 보호(WFP, Windows File Protection)를 무력화한다.

[그림 7] 정상 imm32.dll에 대해서 WFP 기능 무력화

* 참고 사이트: http://www.bitsum.com/aboutwfp.asp

정상 imm32.dll에 대해서 WFP를 무력화 시킨 후 imm32A.dll로 백업한 후 순도 100%의 악성코드를 imm32.dll로 생성한다.

-. 순도 100%의 악성 imm32.dll: %SYSTEM%\imm32.dll
-. 백업된 정상 imm32.dll: %SYSTEM%\imm32A.dll


Case 2: 기존의 방식대로 정상 imm32.dll을 패치하는 경우
Case 1과 동일하게 %SYSTEM%\imm32.dll에 대해서 WFP를 무력화 한 후 패치를 위해서 %SYSTEM%\dllcache\imm32.dll -> %SYSTEM%\oldimm32.bak로 복사한다.

[그림 8] 파일복사

C 표준 함수인 f****()계열의 함수들을 사용하여 %SYSTEM%\oldimm32.bak 패치한 후 백업 및 교체과정을

수행한다.

                                                                 [그림 9] 백업 및 교체과정

-. 정상 %SYSTEM%\imm32.dll -> %SYSTEM%\imm32.dll[랜덤문자].tmp로 백업
-. 패치된 %SYSTEM%\oldimm32.bak -> %SYSTEM%\imm32.dll
로 교체

패치작업이 완료되면 악성코드인 %SYSTEM%\ole.dll 또는 nt32.dll을 생성한다.

Case 1
에서처럼 순도 100% 악성 imm32.dll 생성 및 정상 imm32.dll imm32A.dll로 교체된 경우, PC에서 특정 프로그램을 실행하면 에러가 발생할까? 결론부터 말하면 해당 프로그램은 에러가 발생하지 않고 정상적으로 실행된다. 그 이유는 순도 100% 악성 imm32.dllEAT(Export Address Table)에서 찾을 수 있다.

[그림 10] 악성 imm32.dll의 EAT(Export Address Table)

[그림 11] 백업된 정상 imm32A.dll의 EAT(Export Address Table)

[그림 10]을 보면 순도 100%의 악성 imm32.dll은 실제 함수기능은 없기 때문에 프로그램에 의해서 특정 함수가 호출될 때 백업된 정상 imm32A.dll의 해당 특정 함수와 매핑(Mapping)되는 구조로 되어 있다.

예를들어 그림판이 실행되면서 악성 imm32.dll을 로딩하여 CtfAmmActivate()를 호출했다고 가정했을 때 순도 100%의 악성 imm32.dll은 그림판이 호출한 해당 함수의 기능이 없기 때문에 [그림 11]에서처럼 백업된 정상 imm32A.dll로부터 해당 함수를 호출하는 매핑(Mapping)구조를 가진다. 그러니까 쉽게 설명하면 아래 그림으로 설명할 수 있겠다.

[그림 12] 프로그램, 악성 imm32.dll 그리고 백업된 정상 imm32A.dll의 매핑(Mapping)구조

반대로 순도 100%의 악성 imm32.dll이 어떤 이유로 인해서 존재하지 않는다면 그림판 실행 시, 어떤 현상이 발생할까? 그에 대한 해답은 아래 그림으로 대신하는 것이 좋겠다.

[그림 13] imm32.dll이 존재하지 않을 경우

[그림 13]에 보는 에러가 발생하는 이유는 그림판과 백업된 정상 imm32A.dll 사이에서 다리역할을 하는 순도 100%의 악성 imm32.dll이 존재하지 않기 때문이다.
신고
Posted by 비회원

1. 서론
키보드의 특정 키를 누르면 해당 키에 따라 특정 소리가 나는 조커(컴퓨터에 자체에 크게 나쁜 영향을 주지는 않지만 사용자를 놀라게 하는 악성 프로그램들을 말한다.)류의 악성코드에 대해서 알려드립니다.

* 조커(Joker)란 무엇인지 아래 URL에 자세한 정보가 있으니 참조해 주시기 바랍니다.

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=13338

2. 감염 시 증상
아래 그림은 한 포털 사이트 Q&A에 작성된 질문입니다.


      [그림 1] 한 포털 사이트 Q&A 페이지에 등록된 질문

해당 악성코드에 감염 시 나타나는 대표적인 증상은 특정 키 ( 스페이스 바, 엔터 키 등) 를 누르게 되면 그에 해당하는 특정 소리가 들리게 됩니다.


스페이스 바 : "야마꼬"
엔터 키 : "아하하하"
그 외 Tab, Delete 키 등

[표 1] 키보드 키에 따른 소리


또한 모니터링 툴 및 작업관리자, 레지스트리 편집기 등의 실행을 방해하여 동작하지 못하게 하는 기능도 있습니다.

0001B66C   0041C26C      0   procexp.exe
0001B680   0041C280      0   procmon.exe
0001B694   0041C294      0   autoruns.exe
0001B6AC   0041C2AC      0   KillProcess.exe
0001B6C4   0041C2C4      0   PrcInfo.exe
0001B6D8   0041C2D8      0   filemon.exe
0001B6EC   0041C2EC      0   regmon.exe
0001B700   0041C300      0   taskmgr.exe
0001B714   0041C314      0   HiJackThis.exe
0001B72C   0041C32C      0   avz.exe
0001B73C   0041C33C      0   phunter.exe
0001B750   0041C350      0   UnlockerAssistant.exe
0001B770   0041C370      0   Unlocker.exe
0001B788   0041C388      0   regedit.exe
0001B79C   0041C39C      0   msconfig.exe

[표 2] 실행을 방해하는 프로그램 리스트

생성되는 파일 및 변경되는 레지스트리 정보는 아래와 같습니다. 시스템 시작 시 자동 실행되게 설정하며 폴더 옵션 비활성화 및 숨김 속성을 준 후 숨김 속성을 변경하지 못하게 하며 작업관리자 등을 disabled 로 설정하게 됩니다.


[파일 생성]
C:\WINDOWS\system32\logo.scr
C:\WINDOWS\system32\drivers\servise.exe
C:\WINDOWS\system32\drivers\Cache\XXX.scr

[레지스트리 변경]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NvCplDeamon                                                                                         "C:\WINDOWS\system32\drivers\servise.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden                                                                                "0" 
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden                                                                       "0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt                                                                           "1" 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\NoFolderOptions                                                                       "1"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr                                                                          "1" 


[표 3] 생성되는 파일 및 변경되는 레지스트리

3. 조치 방법
생성된 파일들은 동일한 파일이며 V3에서 아래와 같은 진단명으로 진단/치료가 가능합니다.

Win-Trojan/Agent.166912.BN






신고
Posted by 비회원

1. 서론


성인 동영상 플레이어를 위장하여 특정번호로 SMS 메시지가 전송되어 요금을 과금시키는 안드로이드 악성 어플리케이션(App)이 발견되어 관련 내용을 공유해 드립니다.

2. 악성코드 정보

해당 악성 어플리케이션은 2010년 8월 10일 최초 발견되었으며 그 이후 계속해서 변형이 발견되었습니다.

 발견 일시
 8월 10일
 9월 9일
 10월 12일
 아이콘
 어플리케이션 명
 MoviePlayer  PornoPlayer  PornoPlayer

[표 1] 성인 동영상 플레이어를 위장한 악성 어플리케이션


[그림1] 안드로이드 폰에 설치된 PornoPlayer 어플리케이션

어플리케이션 내부에 아래와 같은 코드가 존재하여 어플리케이션이 설치되면 특정 번호로 SMS 메시지를 보내 요금을 과금시키는 특징이 있습니다.


  android.telephony.SmsManager.sendTextMessage("7132", 0, "846978", 0, 0);
   *
'7132' 번호로 "846978" 이라는 문자메시지를 발송.
     
아래의 코드들은 전달되는 텍스트만 다를 뿐 동일함.

  android.telephony.SmsManager.sendTextMessage("7132", 0, "845784", 0, 0);
  android.telephony.SmsManager.sendTextMessage("7132", 0, "846996", 0, 0);
  android.telephony.SmsManager.sendTextMessage("7132", 0, "844858", 0, 0);

[표 2] 성인 동영상 플레이어를 위장한 악성 어플리케이션

3. 대응 현황


현재 V3 Mobile에서는 사용자에게 SMS 요금을 과금시키는 PornoPlayer 어플리케이션을  Android-Trojan/SmsSend.B 진단명으로 진단/치료 기능을 제공하고 있습니다.

[그림 2] V3 Mobile 수동검사에서 Android-Trojan/SmsSend.B 진단



[그림 3] V3 Mobile 실시간 검사에서 Android-Trojan/SmsSend.B 진단


4. 예방 방법
 
1) 스마트 폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다.
2)
출처가 명확하지 않은 어플리케이션은 다운로드 및 설치를 자제한다.
3) 스마트폰에서도 PC와 마찬가지로 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하시는 것을 권장 드립니다.



신고
Posted by 비회원
"report", "Delivery Status Notification (Failure)" 제목의 악성 html 파일을 첨부한 스팸메일이 유포중 입니다. 스팸메일 내 본문 내용은 아래와 같습니다.

1. 메일제목 
 ▶ report


Sending my report. Have a great weekend.
Cheers

2. 메일제목 
 
Delivery Status Notification (Failure)

Delivery to the following recipient failed permanently:
ampoulesvb8@resp-usc.com
Technical details of permanent failure:
DNS Error: Domain name not found


해당 html들은 악성코드 제작자가 만든 패턴에 의해 인코딩 되어 있습니다. 인코딩을 풀어보면 아래와 같이 웹페이지를 리디렉션하는 디코딩된 결과가 나오게 됩니다.

<meta http-equiv="refresh" content="0;url=http://XXXXXXXXXXXXX/x.html>



[그림 1. 스팸메일에 첨부된 인코딩 된 악성HTML파일]

최종적으로 아래 그림과 같은 악성코드 유포 사이트로 연결이 되게 되며 사용자의 시스템을 스캔하는 듯 현혹하기 위해 미리 만들어 둔 플래쉬 파일이 구동이 됩니다. 이전에 나온 패턴들과 동일하게 사용자에게 시스템이 감염되었다는 경고 메세지 창과 함께 파일을 다운로드 받아 실행하도록 유도합니다.



[그림 2. 악성코드 유포사이트 (1)]




[그림 3. 악성코드 유포사이트 (2)]

다운로드 된 파일은 아래와 같이 구성 파일 아이콘을 가지고 있지만 확장자에서 실행파일임을 짐작할 수 있습니다.



[그림 4. 최종적으로 다운로드된 악성코드]


첨부된 악성코드들은 V3 엔진에 반영되어 업데이트 될 예정입니다.

사용자들은 아래와 같은 내용을 항상 유의하여 메일을 통해 첨부되는 악성코드로 부터 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.


신고
Posted by 비회원

악성코드를 첨부한 아래 제목의 스팸메일들이 유포되고 있으니 사용자들의 주의가 필요합니다. 해당 스팸메일들에 첨부된 파일들은 악성코드이며 절대 실행하지 않도록 당부드립니다.

New Taxes Coming
Sales Dept
Garages

[표 1] 악성코드를 첨부한 메일들의 제목


[그림 1] 악성코드를 첨부한 "New Taxes Coming" 제목의 스팸메일


[그림 2] 악성코드를 첨부한 "Sales Dept" 제목의 스팸메일

[그림 3] 악성코드를 첨부한 "Garages" 제목의 스팸메일

각각의 스팸메일에 첨부된 악성코드는 아래와 같은 파일들이 첨부되어 있으며 사용자에게 configuration 파일처럼 보이기 위해 configuration 파일 아이콘을 사용하였지만 확장자를 보면 실행파일 확장자인 exe 확장자를 가진 파일임을 알 수 있습니다.

[그림 4] "Sales Dept" 제목의 스팸메일에 첨부된 악성코드

[그림 5] "Sales Dept" 제목의 스팸메일에 첨부된 악성코드

[그림 6] "Garages" 제목의 스팸메일에 첨부된 악성코드

첨부된 악성코드들은 V3 엔진에 반영되어 업데이트 될 예정입니다.

사용자들은 아래와 같은 내용을 항상 유의하여 메일을 통해 첨부되는 악성코드로 부터 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
[표 2] 메일 열람 안전 수칙




신고
Posted by 비회원

"Hello"라는 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있어 사용자들의 주의가 당부됩니다.

메일 본문은 간단 명료하게 첨부된 파일을 확인하라는 내용입니다. Facebook 패스워드 변경, DHL 운송 메일 등 사용자를 현혹하기 위해 많은 문구와 이미지를 썼는데 이번에는 1문장으로 끝이네요 ^^;;

Please find attached the new Word document.

첨부된 압축파일을 압축해제하면 아래와 같이 doc 문서 파일인 것처럼 위장한 악성코드를 확인하실 수 있으며 V3 제품으로 아래와 같은 진단명으로 진단/치료가 가능합니다.

Win-Trojan/Agent.14848.TT


[그림1] 스팸메일에 첨부된 악성코드


[그림2] 첨부 파일 실행 시 접속되는 IP의 위치

스팸메일을 통해 전파되는 악성코드 감염으로부터 예방하기 위해 항상 아래와 같은 사항을 준수해 주시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.



신고
Posted by 비회원