본문 바로가기

악성코드 정보1046

남아공 월드컵 관련 메일로 위장한 악성 메일 유포 2010년 6월은 아프리카 대륙에서 처음으로 열리는 월드컵(World Cup)경기가 남아프리카공화국에서 시작된다. 이러한 남아공 월드컵을 악성코드 유포를 위한 전자 메일 소재로 사용된 사실이 3월 25일 시만텍(Symantec) 블로그 "Targeted Attack uses FIFA World Cup 2010 as a hook"를 통해 알려졌다. 이 번에 유포된 남아공 월드컵 관련 악성코드를 첨부한 전자 메일은 아래 시만텍에서 공개한 이미지와 같이 "World Cup Travel Guide" 라는 메일 제목을 가지고 있으며 첨부 파일로는 어도비 아크로뱃(Adobe Acrobat)에서 사용되는 PDF 파일인 "Soccer TravelSouthAfrica.pdf"이 첨부 되어 있다. 해당 전자 메일은 이번 .. 2011. 10. 27.
천안함 침몰 관련 뉴스 기사로 위장한 악성 메일 유포 지난 2010년 3월 26일 금요일 야간 서해안 앞바다에서 침몰한 천안함과 관련한 뉴스 기사를 위장하여 악의적인 웹 사이트로 연결하는 전자 메일이 2010년 3월 27일 해외에서 유포된 것이 보고 되었다. 이 번 천안함 침몰이 한국 뿐 만 아니라 국외에서도 많은 관심을 받고 있는 참사를 악성코드 유포에 악용한 전자 메일은 아래 이미지와 같은 전자 메일 형식로서 메일 제목으로는 "Dozens missing after ship sinks near North Korea"이며 별도의 첨부 파일이 존재 하지 않는다. 해당 전자 메일에는 북한 인근 해역에서 배가 침몰하였다는 내용과 함께 자세한 내용은 제공한 웹 사이트 링크를 통해 확인 할 것을 유도하고 있다. 그러나 해당 전자 메일에서 제공하고 있는 웹 사이트 링.. 2011. 10. 27.
인터넷 익스플로러 제로 데이 취약점 악용 변형 스크립트 2010년 3월 11일 ASEC에서는 마이크로소프트(Microsoft)의 인터넷 익스플로러(Internet Explorer)에서 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 타켓 공격(Targeted Attack)이 발생하였다고 전한 바 있었다. 3월 18일 해외에서 이 번에 발견된 인터넷 익스플로러의 제로 데이 취약점을 악용하는 스크립트 변형이 발견되었다. 이 번에 발견된 해당 취약점을 악용하는 스크립트 악성코드는 위 이미지와 같이 기존과 동일한 쉘코드(Shellcode)를 사용하고 다운로드 받는 파일을 XOR로 디코딩하여 실행 시키는 특징이 있다. 실제 해당 스크립트 악성코드가 실행되면 중국에 위치한 특정 시스템으로 부터 2929.exe(30,532 바이트)를 사용자 계정의.. 2011. 10. 27.
CVE-2010-0188 취약점 악용 PDF에 대한 상세 분석 2010년 3월 8일 마이크로소프트(Microsoft)의 Malware Protection Center 블로그에 "CVE-2010-0188: Patched Adobe Reader Vulnerability is Actively Exploited in the Wild" 라는 글이 게시되었다. 해당 글의 요지는 지난 2월 16일 어도비(Adobe)사에서 공지한 아크로뱃 리더(Acrobat Reader) PDF에 존재하는 CVE-2010-0188 및 CVE-2010-0186 취약점에 대한 보안 패치 "Security updates available for Adobe Reader and Acrobat" 중에서 CVE-2010-0188 취약점을 악용하는 PDF 파일이 발견되었다는 것이다. ASEC에서는 해당 PDF.. 2011. 10. 27.
온라인 항공권 구매 관련 메일로 위장한 악성코드 2010년 3월 14일 온라인 항공권 구매 관련 메일로 위장한 허위 백신을 설치하는 악성코드가 유포되었다. 이 번에 유포된 악성코드는 다음과 같은 전자 메일 형태를 가지고 있으며 메일 제목에는 "Online order for airplane ticket N648365"를 가지고 있다. 그리고 메일 본문에는 온라인으로 항공권을 구매하여 감사하며 당신의 계정이 생성되었으며 항공 요금으로 998.63 달러가 청구 할 예정이니 첨부한 신청서를 확인하라는 내용을 담고 있다. 첨부 파일로는 eTicket.zip (156,604 바이트)이 존재하며 해당 압축 파일의 압축을 풀면 eTicket.exe(186,880 바이트)가 생성된다. 생성된 eTicket.exe를 실행되면 시스템에는 익히 알려진 허위 백신 프로그램을.. 2011. 10. 27.
인터넷 익스플로러 제로 데이 악용 타켓 공격 상세 분석 2010년 3월 9일 마이크로소프트(Microsoft)의 인터넷 익스플로러(Internet Explorer)에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 타켓 공격(Targeted Attack)이 발생하였다. 현재까지 해당 타켓 공격에서 악용한 제로 데이 취약점은 미국과 일본으로 추정되는 지역을 대상으로 한 것으로 추정되고 있으며 이번 공격에 사용된 인터넷 익스플로러의 취약점은 마이크로소프트에서 보안 패치를 제공하지 않는 상황임으로 각별한 주의가 필요하다. 해당 취약점과 관련하여 마이크로소프트에서아는 아래와 같은 보안 권고문을 게시하였으며 미국 보안 업체인 맥아피(McAfee)에서도 이와 관련한 글을 블로그에 게시하였다. Microsoft Security Adviso.. 2011. 10. 27.
트위터의 신용카드 정보 노린 메신저 추가 요청 스팸 2010년 2월 25일 ASEC에서는 유명 소셜 네트워크 서비스(Social Network Service) 웹 사이트인 트위터(Twitter)의 사용자간 전송 가능한 다이렉트 메시지(Direct Messages) 중 악의적인 피싱(Phishing) 웹 사이트로 연결되는 링크와 메신저 추가 요청 스팸이 발견되었는 소식을 전한 바가 있었다. ASEC에서는 추가적으로 트위터 다이렉트 메시지로 전송된 메신저 추가 요청의 스팸이 어떠한 목적을 가지고 있는 자세한 분석을 진행하였다. 스팸으로 전송된 메신저 주소를 ASEC의 테스트 메신저 계정에 추가하고 대기하자 해당 스팸 다이렉트 메시지 전송자로 추정되는 인물이 위 이미지에서와 같은 무료 웹캠 웹 사이로 접속하라는 메시지를 남겼다. 해당 웹 캠 웹사이트에 접속하게.. 2011. 10. 27.
구글 검색의 김연아 동영상 위장 허위 백신 2010년 2월 24일 캐나다(Canada) 밴쿠버(Vancouver) 동계 올림픽에서 김연아 선수가 피겨 스케이팅에서 멋진 연기로 금메달을 획득 하였다. 김연아 선수의 피겨 스케이팅 경기가 전세계로 중계된 이후 구글(Google) 검색 웹 사이트에서 김연아 선수의 동영상을 위장한 악성코드가 유포 되었다. 이 번 구글 검색 웹 사이트를 통해 유포된 허위 백신은 2009년 이전 부터 해외에서 악성코드 유포에 많이 악용되었던 BlackHat SEO(Search Engine Optimization)이라는 기법이다. 구글 검색 웹 사이트에서 특정 단어를 입력하여 검색을 할 때 구글 검색 엔진의 랭킹(Ranking) 순위가 특정 알고리즘에 의해 가장 유사도가 높은 웹 사이트가 첫 번째 페이지에 제공 된다. 이러한.. 2011. 10. 27.