본문 바로가기

은행

불특정 다수를 상대로한 추가 감염 주의 당부!! 안랩(대표 김홍선, www.ahnlab.com)은 25일 악성코드의 추가배포 징후를 포착하여 고객 및 개인 PC 사용자의 주의를 당부했다. 이번 악성코드의 추가 배포는 오늘 오전 10시 30분부터 시작되었고 기업은 물론이고 개인용 PC(불특정 일반인) 대상으로 유포되었다는 점이 특징이다. 안랩은 어제(24일) 오전 9시 경 변종을 발견하여 분석한 결과 1차 공격에 사용된 악성코드의 특징인 MBR(Master Boot Record) 파괴기능은 물론 C&C(Command & Control) 서버와 통신하는 백도어 설치기능이 추가되었음을 확인했다고 밝혔다. 3월 20일 방송사와 금융사의 전산망을 마비시킨 1차 공격은 내부 타이머로 공격시간대를 특정한 반면 이번 공격에서는 C&C(Command & Control..
주요 방송사 및 은행 전산망 장애 유발 악성코드 분석 3월 20일 14시경 주요 방송사 및 은행 전산망 장애가 발생하는 사고가 한국에서 발생하였으며, ASEC에서는 악성코드 감염 후 디스크 손상으로 부팅 불가로 인해 장애가 발생한 것으로 확인하였다. 현재 해당 악성코드는 운영체제에 따라 디스크를 손상시키는 기능이 포함되어 있으며, 상세한 디스크 손상 내용은 아래 분석 정보에 기술하였다. 해당 악성코드는 V3 엔진(엔진버전: 2013.03.20.06 이상)으로 업데이트 할 경우 검사 및 치료가 가능하며, 3월 20일 오후 6시경부터 제공 중인 전용백신으로도 검사 및 치료 할 수 있다. [UPDATE - 2013/03/25] 현재까지 ASEC에서 분석한 이번 주요 방송사 및 은행 전산망 장애를 유발한 악성코드는 다음 이미지와 같이 A 케이스와 B 케이스로 나누..
[공지] 주요 방송사, 은행 전산망 장애 / 전용백신 제공 안녕하세요. 안랩 ASEC(시큐리티대응센터) 입니다. 3월 20일 14시경 주요 방송사 및 은행 전산망 장애가 발생하였습니다. 악성코드 감염 후 디스크 손상으로 부팅 불가로 인해 장애가 발생한 것으로 확인되었고, 해당 악성코드는 아래와 같이 운영체제에 따라 디스크를 손상시키는 기능이 포함되어 있습니다.- Windows XP, Windows 2003 Server 물리 디스크의 MBR과 VBR 등을 쓰레기 데이터 채움 논리 드라이브 파괴 - Windows VISTA, Windows 7 물리 디스크 파괴 모든 논리 드라이브의 파일 내용을 삭제해당 악성코드는 V3 엔진(엔진버전: 2013.03.20.06 이상)으로 업데이트하시면 검사/치료가 가능합니다.또한 3월 20일 오후 6시경부터 제공 중인 전용백신으로도 ..
국내 인터넷 뱅킹 정보 탈취 악성코드 for Windows, Android 취약점을 이용해서, PC 사용자가 감염사실을 인지 할 수 없도록 동작하는 국내 인터넷 뱅킹 정보 탈취 악성코드가 끊임없이 발견되고 있다. 과거 국내를 대상으로 제작된 정보 탈취 형 악성코드는 주로 주말에 취약점을 통해서 유포/확산 되었지만, 모니터링 결과 주중에도 변형을 제작하여 유포하고 있다. 국내 인터넷 뱅킹 정보 탈취 악성코드는 Windows 뿐만 아니라, Android 기반의 스마트폰 앱으로도 유포되었으며, 변종이 계속 발견되고 있다. 더욱이 구글 공식 마켓인 Play Store 에 등록되어 있어 그 영향이 작지 않을 것이다. 해킹된 웹사이트에 삽입된 악성 스크립트를 통하여 유포되는, 즉 취약점을 통하여 감염되는 흐름은 이 전에 다루었으므로 생략하겠다. 취약점을 통하여 PC에 다운로드/실행 되는 ..
온라인 뱅킹 트로이목마 Banki(2) 지난 12월 국내 인터넷 뱅킹 사용자가 타켓인 악성코드(Banki)에서 특정 시스템 날짜가 되면 윈도우 시스템 파일을 삭제하는 기능이 발견되었다. 과거에 발견된 Banki정보는 아래 페이지에서 확인이 가능하다. http://asec.ahnlab.com/search/banki 이번에 발견된 Banki 변종은 Induc 바이러스에 감염된 악성코드이며, http://210.***.**.32:2323/qq.exe 를 통하여 유포 되는 것으로 확인되었다. (온라인 뱅킹 트로이목마 Banki(1) 에서 유포과정을 다루었다.) 위 파일이 실행되어 악성코드에 감염될 경우 아래와 같은 경로에 파일이 생성된다. C:\Windows\system32\muis\tempblogs.\tempblogs..\ '1216', 'Winl..
온라인 뱅킹 트로이목마 Banki(1) Boland사에서 개발한 프로그래밍 언어인 Delphi에는 일부 버전(Delphi4 ~ 7)에서 사용하는 Sysconst 라이브러리가 있다. Win32/Induc 바이러스는 이 라이브러리를 감염 시킨 후 컴파일 과정에서 생성되는 EXE, DLL 등에 바이러스 코드를 삽입하는 기법의 바이러스이다. Win32/Induc은 2009년 8월경 발견되었으며 그 당시 국내에서 제작 및 배포되고 있는 Delphi 기반의 프로그램들도 해당 바이러스에 감염된 사례가 다수 있었으나 불행 중 다행인 것은 위에서 언급한 것처럼 Win32/Induc은 Delphi소스에 자신의 코드를 삽입하는 기능만 있을 뿐 감염된 소스가 컴파일 되어 생성된 EXE, DLL을 일반 PC에서 실행시켜도 아무런 피해를 발생시키지 않는다. 만약 Wi..
ASEC 보안 위협 동향 리포트 2012 Vol.31 발간 안랩 ASEC에서 2012년 7월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.31을 발간하였다. 이 번에 발간된 ASEC 리포트는 2012년 7월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈Banki 트로이목마의 공습구글 코드를 악용한 악성코드 유포국외 은행 피싱 메일아래아한글 취약점을 악용한 파일 추가 발견링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷BHO에 등록되는 온라인 게임핵 악성코드WinSocketA.dll 파일을 이용하는 온라인 게임핵Cross-Platform 악성코드위구르족을 타깃으로 한 맥 악성코드 2) 모바일 악성코드 이슈APT 공격과 관련된 안드로이드 악성코드 발견스마트폰에도 설치되는 애드웨어 3) ..