본문 바로가기

악성코드 정보

"내 문서", "바탕화면" 등에 있던 파일들이 모두 사라졌다? 1. 서론 임의의 시스템 계정을 등록 및 활성화 시켜 마치 사용자로 하여금 "내 문서", "바탕 화면" 등에 있던 파일이 사라진 듯한 증상을 보이는 악성 배치 파일이 발견되어 정보 공유 차원에서 작성한다. 2. 감염 시 나타나는 증상 아래 [그림 1]과 같이 악성 배치 파일 (batch file) "Edugate fucker.bat" 파일과 마이크로소프트 (Microsoft)에서 배포하는 "subinacl.exe" 파일이 함께 유포되고 있다. [그림 1] 악성 배치 파일과 정상 subinacl.exe 파일 사용자가 악성 배치 파일을 Edugate fucker.bat 을 실행하게 되면 "edugatefuck" 이라는 계정이 등록되게 되며 "edugatefuck" 계정이 활성화 되게 된다. 또한 "eduga..
시스템 파일을 변조하는 온라인 게임핵 악성코드 변경 1. 서론 최근 윈도우 시스템 파일을 악성으로 변조하는 온라인 게임핵 악성코드가 다수 발견되고 있다. 이러한 악성코드는 대부분 웹사이트를 통해 유포되는데 계속해서 새로운 변종을 만들고 있어 많은 사용자가 감염이 되어 정보공유 차원에서 작성을 한다. 2. 악성코그 감염 경로 해당 악성코드는 웹사이트를 통해 유포되며 유포방법은 총 3가지 취약점을 이용한다. 1) Adobe Flash Player, CVE-2011-0611 위 취약점은 SWF 파일을 이용한 취약점으로 주소 banner숫자.swf, nb.swf 등의 파일명으로 유포가 이루어 진다. 분석을 해보면 아래와 같이 SWF 파일 내부에 쉘코드가 포함된 것을 확인할 수 있다. [그림 1] SWF 파일 분석 화면 해당 쉘코드를 분석하면 아래와 같이 jpg을..
악성코드 유포에 이용된 Adobe Flash Player 취약점 업데이트! 최근 주말에 국내 다수의 사이트에서 윈도우 시스템 파일을 악성으로 변조시키는 악성코드가 유포되었습니다. 유포에 이용된 취약점은 Adobe Flash Player 취약점이며, Adobe 사에서 금일 긴급 보안 업데이트가 이루어 졌습니다. 따라서 아래 사이트를 방문하셔서 업데이트를 꼭! 진행하시기 바랍니다. Adobe Flash Player 업데이트 : http://www.adobe.com/go/getflash 상세정보 : http://www.adobe.com/support/security/bulletins/apsb11-18.html 추가로 현재 시스템에 설치된 Adobe Flash Player 버전을 확인하고자 하신다면 아래 메뉴에서 확인해 보시기 바랍니다. Windows 7 : [제어판] - [시스템 및..
사이트 하나 접속했을 뿐인데, Browser update?! 1. 서론 최근 DHCP 환경에서 DNS Server 의 주소가 확인되지 않은 IP로 변경되어, 인터넷 이용이 불가하다는 일부 문의가 접수되고 있어 주의가 필요하다. 2. 전파 방법 및 감염 경로 - 공유 네트워크로 전파 - 이동식 저장매체를 통한 전파 - 감염된 시스템으로 부터, DNS Server 변조에 의한 전파 3. 악성코드 감염 증상 악성코드 감염시, 아래와 같이 파일이 생성된다. %Temp%\srv(랜덤3자리).tmp %Temp%\srv(랜덤3자리).ini 공유 네트워크내 쓰기 가능한 폴더나 이동식 디스크에는 다음과 같은 형태의 파일이 생성된다. setup(랜덤한 숫자).fon myporno.avi.lnk // MS10-046 취약점 이용 pornmovs.lnk // MS10-046 취약점 이..
스마트폰을 좀비화시키는 DroidKungFu 악성코드 등장. 1. 개 요 안드로이드폰을 강제루팅 후 권한을 탈취하여 좀비화시키는 악성코드가 또 다시 발견되었다. 해당 악성코드는 'DroidKungFu' 라 불리며, 이전 DroidDream 악성코드와 유사한 패턴을 갖고 있지만 좀 더 정교한 코드와 복잡한 기능을 수행함으로서 악성코드가 계속 진화하고 있다는 것을 증명하고 있다. 본 포스트를 통해 악성코드가 어떻게 진화하였는지 알아보자. 2. 분 석 유포 경로 'DroidKungFu' 악성코드는 정상 앱을 리패키징(re-package) 하여 유포되며, 중국 내 몇몇의 App Market 과 forum 들에서 유포되었다. 그림. 악성 어플 정보 수집 해당 악성코드가 설치되면, 먼저 doSearchReport() -> updateInfo() 함수를 통해 스마트폰의 다양한..
Adobe Flash Player 보안 업데이트 배포 국내 해킹된 사이트를 통해서 유포되는 악성코드가 PC를 감염시키기 위해서 Internet Explorer에 존재하는 취약점 뿐만 아니라, 브라우저에 추가기능으로 실행되는 Adobe Flash Player의 취약점을 이용한 사례도 증가하고 있다. 2011년 01월부터 4월까지 국내 해킹된 사이트를 통해서 유포되었던 악성코드가 PC를 감염시키기 위해서 가장 많이 사용했던 취약점을 통계를 산출해 보면 아래 [표 1]과 같다. 순 위 취약점 ID Application 1 MS10-018 Internet Explorer 2 MS10-090 Internet Explorer 3 MS11-003 Internet Explorer 4 CVE-2011-0611 Adobe Flash Player 5 CVE-2011-0609 ..
중국 QQ 게임을 리패키징한 안드로이드 악성 앱 Android-Trojan/DropAnserver 1. 개요 중국에서 유명한 QQ 관련, 게임을 리패키징한 안드로이드 모바일 악성코드가 발견되었다. 이번 악성 앱의 큰 특징은 추가 악성 앱을 설치하여, 악의적인 행위를 한다. 2. 앱 정보 [그림1] 앱 아이콘 [그림2] 앱 실행화면 3. 특징 QQ 게임을 리패키징 한 악성 앱을 설치할 경우, busybox 의 압축을 해제하여, 악의적인 ELF 파일을 생성하고 anserverb 를 "xxx.apk" 로 변경하여 악성 앱 설치를 시도한다. busybox 는 압축된 파일. [그림3] 악성 앱(apk)를 압축해제 후 파일 구성 화면 1) 앱 설치시 다음과 같은 권한을 요구한다. - Android 1.5 이상에서 설치가능. - SD카드 콘텐츠 수정/삭제. - 인터넷에 최대한 액세스 가능. - 휴대전화 상태 및 ..
스마트폰 이용을 방해하는 스팸문자 최근 스마트폰이 확산됨에 따라 여러가지 문제들이 많이 발생하고 있습니다. 그중 최근에 많은 사용자들이 이용하는 문자서비스 관련 앱인 카카오톡을 통해 아래와 같은 주소의 문자를 받으면 절대 열어보지 말라는 경고의 트윗이 많이 보였습니다. 위에서 경고한 사이트에 접속한 결과 아래처럼 팝업창이 계속해서 나타나고 있었습니다. 이러한 페이지는 일반적으로 PC에서 웹서핑을 방해하기 위해 스크립트를 이용해 무한 Alert 창을 띄우던 조크성 페이지와 동일했습니다. 다만 모바일기기가 점점 PC화 되면서 PC에서 생기던 문제가 스마트폰에도 그대로 영향을 미치는 것입니다. 이렇게 PC에서 문제가 되던 부분이 현재는 스마트폰으로 그대로 적용이 되고 있습니다. 그럼 이러한 무한 팝업은 어떻게 해제할 수 있을까요? 안드로이드 ..