본문 바로가기

악성코드 정보1153

허위 어도비 플래쉬 플레이어 업데이트로 위장한 악성코드 2010년 8월 11일 오전 해외에서 허위로 만들어진 어도비(Adobe) 플래쉬 플레이어(Flash Player) 업데이트 웹 사이트를 통해 악성코드를 유포하고 있는 것이 발견되었다. 이번에 발견된 허위 어도비 플래쉬 플레이어 업데이트 웹 사이트는 어제 어도비사에 취약점 제거를 위해 보안 패치를 배포한 것과 유사한 시기에 발견된 형태라 주의가 필요하다. 허위 어도비 플래쉬 플레이어 업데이트 웹 사이트는 아래 이미지와 같이 실제 어도비에서 운영하는 업데이트 웹 사이트와 유사하게 제작되어 있어 일반 사용자의 입장에서는 허위 사실 여부를 파악하기 어렵다는 점을 특이 사항으로 볼 수 있다. 해당 허위 웹 사이트에서는 위 이미지의 붉은 색 박스에서를 클릭하게 되면 아래 이미지와 같이 install_flash_pl.. 2011. 10. 27.
캐스퍼스키의 전자 서명을 도용한 악성코드 최근 해외 보안 업체와 일부 해외 언론을 통해 일반적으로 해당 기업에서 제작하여 배포하는 파일이며 신뢰할 수 있는 파일이라는 의미에서 사용하는 전자 서명(Digital Signature)을 위조하여 사용하는 악성코드들이 발견되었다. 이번과 같이 특정 기업의 전자 서명을 위조한 사례로는 2010년 7월 초 한국에서도 발견되었던 국내 특정 포털에서 배포하는 파일로 위장하기 위해 해당 기업의 전자 서명을 위조하여 배포한 사례가 있다. 그러나 이번에 발견된 악성코드에서 위조한 전자 서명은 과거의 일반 기업의 전자 서명을 위조한 사례와 달리 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서 배포한 신뢰할 수 있는 파일로 위장하였다는 점을 특이 사례로 볼 수 있다. 이번과 같이 특정 악성코드에서 위조한 캐스퍼스.. 2011. 10. 27.
국산 프리웨어로 위장한 트위터 관련 악성코드 2010년 7월 30일 오전 ASEC에서는 국내에서 제작된 프리웨어 프로그램을 이용하여 악성코드 감염을 시도하는 사례가 발견되었다. 이번 국내에서 제작된 프리웨어 프로그램에서 발견된 악성코드 감염 사례는 2010년 5월 해외에서 발견되었던 소셜 네트워크 서비스(SNS, Social Network Service)를 이용해 악성코드에 감염된 시스템들을 조정하는 사례와 유사한 형태를 보이고 있다. 2010년 7월 30일 발견된 국내에서 제작된 프리웨어 프로그램은 아래 이미지와 같이 모기퇴치 프로그램이라고 명시하고 있으나 실제 해당 프로그램이 실행되면 윈도우 시스템 폴더(C:\windows\system32)에 ckass.dll (101,376 바이트)라는 DLL 파일을 생성한다. 생성된 DLL 파일은 아래 .. 2011. 10. 27.
감염 사실을 확인하는 스파이웨어의 행위 최근 들어 프로그램들이 설치 조건에 따라 설치방법을 서로 다르게 하여 이러한 프로그램들을 분석하는 분석가들이 악성여부를 정확하게 판단하기 어렵게 만들고 있다. 얼마 전 ASEC 블로그를 통해 “사용자 동의를 옵션으로 처리한 스파이웨어” 를 소개한 것에 이어 이번에는 프로그램 실행 후 불필요한 프로그램들을 적절한 사용자 동의절차 없이 불특정 다수에게 유포하고 있는 프로그램에 대해 소개하고자 한다. Win-Trojan/Downloader.518657 를 실행하면 사용자가 지정한 파일을 다운로드 할 수 있는 일반적인 P2P(peer-to-peer) 사이트의 파일 다운로더(Downloader) 쯤으로 착각하기 쉽다. 정상적인 P2P 사이트의 다운로더라면 사용자가 다운로드하고 싶은 파일을 선택한 후 해당 파일을 .. 2011. 10. 27.
웹 사이트를 악용한 SEO Sploit Kit 분석 2010년 들어서도 웹 사이트를 악용한 공격은 줄어 들지 않고 있으며 이러한 공격은 현재에도 활발하게 이루어지고 있는 실정이다. 이러한 웹 사이트에 기반을 두고 사용하는 운영체제 또는 웹 브라우저(Web Browser)의 취약점을 악용하는 공격 형태에 있어서 웹 익스플로잇 툴킷(Web Exploit Toolkit)을 이용한 형태는 처음 있는 일이 아니다. ASEC에서는 2010년 3월경 러시아 언더그라운드에서 제작된 것으로 추정되는 새로운 웹 익스플로잇 툴킷인 SEO Sploit Kit을 확보하여 새롭게 제작되는 웹 익스플로잇 툴킷들의 형태를 분석하였다. 이번에 분석한 SEO Sploit Kit 은 러시아에서 2010년 3월에서 6월 사이에 제작된 것으로 추정하고 있으며 관리를 위한 메인 웹 사이트는 아.. 2011. 10. 27.
사용자 동의를 옵션으로 처리한 스파이웨어 과거 국내에서는 스파이웨어에 대한 이렇다할 정의가 없었지만 2005년도경 당시 정보통신부에 의해 "스파이웨어 기준"안이 발표되었고 뒤를 이은 방송통신위원회에 역시 "스파이웨어 사례집"이 발표되어 한 번의 업데이트 이후 현재까지 해당 사례집이 사용되어 오고 있다. 앞에서 언급한 "스파이웨어 사례집 문서들"에서는 스파이웨어를 구분하는 가장 큰 부분으로 "사용자 동의" 라는 점을 언급하고 있다. 최근에 와서는 이러한 부분을 악용한 스파이웨어 제작 업체들은 "사용자 동의를 받는 척" 하는 방식으로 사용자를 기만하기 시작했다. 예를 들면 사용자 약관을 읽어보기 힘들게 만들거나 불공정 약관을 사용하는 방식 등이 있다. 이렇게 적절하지 못한 사용자 동의를 구한 후 프로그램을 설치하는 것에 대해 불편해하는 여론을 스파.. 2011. 10. 27.
계속되는 HTML이 첨부된 스팸 메일 유포 ASEC에서는 2010년 6월 중순 경부터 HTML 파일이 첨부된 스팸(Spam) 메일이 다양한 형태로 위장하여 유포되고 있음을 알려온 바가 있다. 이러한 HTML 파일이 첨부된 스팸 메일은 2010년 6월 15일에는 페이스북(Facebook)으로 위장하여 유포된 사례가 있으며 2010년 7월 5일에는 전송 실패 메일로 위장하여 유포된 사례 등과 함께 다양한 형태로 지속적으로 발견되고 있다. 지속적으로 유포되고 있는 HTML 파일이 첨부된 스팸 메일이 금일 다른 형태로 유포된 것을 ASEC에서 파악하였다. 2010년 7월 9일 발견된 첫 번째 HTML 파일이 첨부된 스팸 메일은 다음 이미지와 같은 형태를 가지고 있으며 메일 제목으로는 "Returned mail: see transcript for deta.. 2011. 10. 27.
금전적으로 거래되는 트위터의 팔로어 수량 2010년 들면서 한국에서도 소셜 네트워크 서비스(Social Network Service)에 대한 관심이 증가하고 이러한 서비스를 이용하는 사용자들이 지속적으로 증가 추세에 있다. 특히 단기간에 많은 사용자가 늘고 있어 다양한 보안 위협들이 발생하고 있는 트위터(Twitter)의 경우 2010년 6월에는 트위터의 사용자 암호 리셋 메일로 위장하여 허위 백신을 유포, 5월에는 트위터를 봇넷을 관리 및 조정하기 위한 서버로 사용하고자하는 사례, 3월에는 트위터 메시지를 통해 허위 백신을 유포 시도 사례와 함께 2월에는 트위터의 다이렉트메시지(Direct Message)를 이용해 피싱(Phishing) 웹 사이트로 유도하는 단축 URL(URL Shortening)이 유포되는 등 다양한 보안 위협 사례들이 발.. 2011. 10. 27.

티스토리툴바