본문 바로가기

전체 글보기1174

imm32.dll 패치하는 악성코드, Win32/Parite와 함께... 최근에 해킹된 웹 사이트를 통해서 유포되는 imm32.dll 패치하는 악성코드가 Win32/Parite에 감염된 채로 유포되는 사례가 있었다. 이와 관련된 악성코드들에 대해서 현재 안철수연구소는 아래와 같이 대응하고 있다. 안철수연구소의 대응상태 V3:2011.05.08.00 이후 엔진버전이면 아래 악성코드들에 대해서 진단 및 치료가 가능하다 Win32/Parite Dropper/Win32.OnlineGameHack Win-Trojan/Patcher.90112.F Win-Trojan/Patched.CO imm32.dll 패치하는 악성코드, 감염경로와 감염조건 이번에 발견된 악성코드의 감염경로는 위에서 언급한 데로 해킹된 웹 사이트를 통해서 유포가 되며 아래 취약점이 존재하는 PC에서 실행된다. √ MS1.. 2011.05.09
[악성스팸경보] FedEx 메일을 위장한 악성스팸! 빈번하게 발견되는 악성코드를 첨부한 악성 스팸 메일은 facebook, twitter 등의 소셜네트워크 뿐만 아니라DHL, UPS, FedEx 등과 같은 택배회사를 위장하여 악성 스팸 메일을 유포하는 사례가 다수 발견되고 있다. 이 번에 FedEx 메일로 위장하여 악성코드를 첨부한 스팸메일이 발견되어 사용자들의 주의가 필요하다. 아래 링크는 블로그를 통해 기존에 FedEx 메일로 위장한 악성 스팸에 대해 포스팅 된 글이다. 2009/10/20 Fedex Tracking [숫자] 참고로, UPS, DHL 등의 메일로 위장한 악성스팸도 다수 발견되고 있으며 블로그에 게시된 글들은 아래와 같다. 2010/07/02 UPS #(숫자) 제목의 악성스팸메일 주의하세요! 2010/01/12 UPS Delivery P.. 2011.05.09
[악성스팸메일] Spam from your Facebook account 2011년 페이스북(facebook) 사용자가 10억명을 넘어설 것이라는 예측이 나오는 가운데, 악성코드 제작자가악성코드를 유포를 위해 엄청난 사용자를 확보한 페이스북을 사칭하여 이를 악용하는데 최적의 소재이다. 이미 페이스북을 사칭하여 악성코드를 첨부한 스팸메일이 지속적으로 발견되고 있으며 이는 단연 페이스북 뿐만 아니라 트워터, 마이스페이스 등도 악성코드 제작자에 의해 악성코드 유포에 악용되고 있다. 참고로 블로그를 통해 포스팅하였던 페이스북을 위장하여 악성코드를 첨부한 스팸메일 관련 글은 아래와 같다. 2010/04/27 Facebook Password Reset Confirmation! Support Message. 2010/02/14 updated account agreement 2009/12/.. 2011.05.03
사진을 클릭했을 뿐인데? 새로운 SEO Poisoning Attack 예전에 블로그를 통해 SEO Poisoning Attack에 대해 소개한적이 있습니다. http://core.ahnlab.com/128 이전에는 검색엔진에서 검색한 결과를 클릭하였을 시 악성코드가 삽입된 페이지로 이동하는 형태였습니다. 이러한 형태가 한동안 잠잠하다 최근에 새로운 유형의 공격이 확인 되었습니다. 최근에 "Presley Walker", "Yuri Gagarin" 등 특정 인물 검색 시 아래와 같이 나타나는 사진을 클릭했을 뿐인데 악성코드가 삽입된 사이트로 이동되는 사례가 발견 되었습니다. 이러한 검색 결과로 나온 사진을 클릭하게 되면 아래와 같은 과정으로 허위로 악성코드가 감염되었다는 경고를 보여주며 파일을 다운로드 받아 실행하라는 메세지가 나오게 됩니다. 해당 파일을 실행하게 되면 아래와.. 2011.04.27
[악성스팸경고] my naked pic is attached 아래 [그림1]과 같이 "my naked pic is attached" 제목으로 파일을 첨부한 스팸메일이 발견되고 있어 사용자들의 주의가 필요하다. 첨부된 악성코드 파일명은 아래 [그림2]와 같이 mypicture.scr이며 스크린세이버 파일 확장자를 가지고 있다. 또한 해당 파일은 [그림3] 과 같이 버전 정보나 디지털 서명은 존재하지 않는다. [그림1] 악성코드를 첨부한 악성 스팸 [그림2] 악성 스팸 메일에 첨부된 악성코드 [그림3] 첨부된 악성코드의 속성 해당 악성코드에 감염이 되면 아래 [그림4] 와 같이 "AntiVirus AntiSpyware 2011" 라는 허위백신 (fakeAV)이 시스템에 설치되게 된다. 결재를 유도하기 위해 시스템이 감염된 것으로 허위 경고를 지속적으로 한다. [그림4.. 2011.04.27
악성메일, 당신의 중요한 정보를 노린다. 특정 대상을 목표로 한 것으로 추정되는 악성코드가 첨부된 메일 유포 사례가 지속적으로 발생하고 있어 사용자들의 주의가 필요하다. 안철수연구소의 대응상태 현재 안철수연구소의 V3제품에서는 해당 악성코드에 대해서 아래와 같이 대응하고 있다. V3:2011.04.22.00: Dropper/Pcclient.868608(V3) Dropper/Pcclient.868608, 어떻게 유포될까? 이번에 발견된 것은 아래 메일형식을 사용하여 유포되었던 것으로 확인되었다. 제목: [긴급 통지] 본문: 긴급 통지 : 최근이 회사는 직원 중독을 분실 알 수 있다. 사무실 시스템 및 Office 소프트웨어를 업데이트하려면, 낯선 사람이 보낸 메시지를 열지 마십시오, 알 수 없는 사이트를 방문하지 마시기 바랍니다. 및 악성 소프트.. 2011.04.27
imm32.dll 교체 악성코드, 당신 PC의 권한을 탐하다. 지난 주말을 기점으로 최근에 보고된 Adobe Flash Player의 취약점(CVE-2011-0611)이용한 악성코드 유포 사례가 증가하고 있습니다. 해당 취약점을 통해서 유포되는 악성코드들 중에는 정상 imm32.dll을 교체하는 것들도 있는데 최근에 발견된 변종에서는 백신에서 또는 사용자가 수동 조치할 수 없도록 윈도우 OS에서 사용하는 특정 계정그룹에 대한 권한을 변경하는 것으로 확인되었습니다. 안철수연구소의 대응상태 현재 안철수연구소의 V3제품에서는 해당 악성코드에 대해서 아래와 같이 대응하고 있습니다. V3:2011.04.18.02 Dropper/Onlinegamehack.83456 / Win-Trojan/Patched.66048 전용백신 다운로드 전용백신 사용 시 주의사항 √ 전용백신의 폴더.. 2011.04.22
악성 플래시 파일, 당신의 PC를 노린다. 해킹된 언론사 사이트를 통한 악성코드 유포 문제는 오래 전부터 발생해 왔고 지난 주말에도 국내 한 언론사 사이트가 해킹되어 악성코드 유포 사례가 발생했었는데 그 당시 악성코드를 PC에 감염시키기 위해서 가장 최근에 보고된 취약점인 CVE-2011-0611을 사용했다는 점에 주목할 필요가 있습니다. 안철수연구소의 대응상태: V3(2011.04.16.00) Dropper/Infostealer.46592.B Dropper/Onlinegamehack5.Gen 외 다수 참고로 V3에서 미진단되는 악성코드가 존재할 수 있습니다. CVE-2011-0611취약점 해결방법: CVE-2011-0611취약점을 해결하기 위해서는 아래 사이트로 접속하여 Adobe Flash Player의 최신 버전을 다운로드하여 설치해야합니다.. 2011.04.18