본문 바로가기

ahnurl.sys2

40곳 관리자 계정정보 노린 악성코드 상세 분석 2013년 7월 26일 보안뉴스에서 '언론사.포털 등 40곳 관리자 계정정보 노린 악성코드 출현!'이 보도되었다. 관련 악성코드를 분석 한 결과 유사 악성코드는 2012년 봄부터 배포되었으며 여름부터 사용자 및 관리자 계정을 훔치는 기능이 추가 된 것으로 확인되었다. 현재까지 정확한 감염 경로는 알려지지 않았지만 홈페이지를 변조해 취약한 웹브라우저로 접속 했을 때 감염되는 것으로 추정된다. 관련 악성코드는 관계도는 다음과 같다. 1. DSC_UP0399.jpg (imagebase11381.exe) 분석 감염된 시스템은 ahnurl.sys와 olesau32.dll 파일이 생성한다. 감염된 시스템에서 온라인 게임을 로그인 할 때 로그인 정보를 탈취하는 일반적인 온라인 게임 정보 탈취 악성코드이다. 게임 로그.. 2013. 7. 27.
취약점을 악용하지 않는 한글 파일 악성코드 ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 워드프로세스에 존재하는 알려진 코드 실행 취약점을 악용하는 취약한 한글 파일들이 유포된 사례들 다수를 공개하였다. 유포되었던 취약한 한글 파일들 대부분은 아래 3가지 형태의 취약점을 가장 많이 악용하여 백도어 형태의 악성코드 감염을 시도하였다. 1. HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow)로 인한 임의의 코드 실행 취약점 2. HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점 3. EtcDocGroup.DFT에 존재하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점 그러나 9월 10일과 .. 2012. 9. 13.