2011년 하반기를 기점으로 구글(Google)에서 개발한 안드로이드(Android) 운영체제의 악성코드가 폭발적으로 증가하였다.

이러한 배경에는 여러가지 요소가 있겠지만, 안드로이드 운영체제에 설치되는 APK(Application Package File) 파일이 구글의 안드로이드 마켓을 벗어난 여러 인터넷 웹 사이트들을 통해 유통됨으로 인해 발생하는 문제도 적지 않다고 할 수 있다.

그리고 최근에는 안드로이드 악성코드들이 유명 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter)로 유포된 사례가 있는 만큼, 안드로이드 악성코드의 유포 방식이 다변화되고 있는 것으로 볼 수 있다.

ASEC에서는 금일 미국에 위치한 특정 시스템에서 아래 이미지와 같이 허위 제작된 안드로이드 마켓이 발견되었다.


해당 허위 안드로이드 마켓에서는 일반 안드로이드 스마트폰 사용자들이 많이 사용하는 앱들을 제공하는 것과 같이 꾸며져 있으나, 실제로는 안드로이드 악성코드들을 유포하고 있었다.

그러므로 안드로이드 스마트폰 사용자들은 앱들을 설치할 때 구글에 운영하는 정식 안드로이드 마켓이나 신뢰 할 수 있는 업체에서 운영하는 안드로이드 마켓에서만 앱들을 다운로드하여 설치 하여야 된다. 그리고 사용하는 안드로이드 스마트폰에 모바일 백신을 설치하고 주기적인 엔진 업데이트 및 검사를 실시하는 것이 중요하다.

해당 허위 안드로이드 마켓에서 유포하는 안드로이등 악성코드들 모두 V3 모바일에서 다음과 같이 진단한다.

Android-Trojan/SmsSend.AJB
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

스마트폰의 사용이 많아지고 이를 이용한 다양한 네트워크 활동들이 보편화가 됨에 따라 이와 관련한 다양한 형태의 보안 위협들을 계속 발견되고 있다.

이와 관련해 가장 큰 보안 위협 이슈로는 안드로이드(Android) 운영체제에 감염되는 악성코드들을 들 수 있으다.

이 외에 최근 ASEC에서는 아래 이미지와 같이 무작위로 휴대전화 번호를 선택하여 문자 메시지(SMS, Short Message Service)를 발송한 것이 확인 되었다.


해당 문자 메시지는 일반적인 스팸성 문자 메시지와는 다르게 메시지 내부에 단축 URL(URL Shortening)을 포함하고 있어, 스마트폰 사용자라면 쉽게 클릭한번 만으로 특정 웹 사이트로 연결되도록 구성한 특징이 있다.

해당 문자 메시지에 포함된 단축 URL은 테스트 당시 해당 단축 URL로 연결되는 웹 사이트로 정상 접속이 되지 않았다. 하지만 스마트폰에 감염되는 악성코드나 스팸성 웹 사이트 등으로 연결되는 다른 보안 위협들로 연결될 가능성이 존재한다.

특히 이러한 단축 URL을 악용한 보안 위협들의 다양한 사례는 트위터(Twitter)와 같은 소셜 네트워크 서비스(Social Network Service)에서도 존재하고 있다. 

그러므로 트위터로 전달되는 메시지와 함께 스마트폰으로 전달 된 문자 메시지에 포함된 단축 URL의 클릭시에는 각별한 주의가 필요하다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
안철수연구소 ASEC에서 2012년 1월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.25을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2012년 1월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

MS12-004 윈도우 미디어 취약점을 악용한 악성코드 유포
스페이스와 탭을 이용한 자바스크립트 난독화 소스 출현
보안 제품의 업데이트를 방해하는 Hosts 파일 변경 악성코드 주의
내 하드디스크가 타버린다고? 불안심리를 자극하는 Hoax 악성코드
단축 URL을 이용해 트위터로 유포 중인 피싱 웹사이트
악성코드 버그로 인한 “응용 프로그램 초기화 오류”와 BSOD(Hard Disk) 발생
MADDEN NFL 12 로 위장한 악성 애플리케이션
일본 성인사이트에서 유포되는 악성 애플리케이
Hash Collision 공격을 통한 웹 서버 서비스 거부 공격(DoS)
HP LaserJet  펌웨어 관련 치명적 보안 취약점 발견

이 외에 악성코드 분석 특집으로 "모바일 악성코드 동향"을 포함하고 있다.
 

안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다 

ASEC 보안 위협 동향 리포트 2011 Vol.25
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
2012년 1월 26일 해외를 중심으로 유명 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter)의 메시지를 통해 트위터 사용자 계정과 암호를 수집하기 위한 용도의 피싱(Phishing) 시도가 발견되었다.

이 번에 발견된 트위터에서 피싱 시도는 처음으로 있는 일이 아니며 2010년 2월 24일 트위터의 다이렉트 메시지(Direct Message)의 단축 URL(URL Shortening)을 이용해 피싱 웹 사이트로 접속을 유도한 사례가 있다.

금일 발견된 트위터에서의 피싱 웹 사이트로 접속을 유도하는 방식은 기존과 동일하게 단축 URL을 이용하여 사용자가 호기심을 가질만한 내용으로 위장하고 있다.

 
해당 트위터 메시지에 포함된 단축 URL을 클릭하게 되면 아래 이미지와 같이 트위터 사용자 로그인 페이지와 유사한 웹 사이트로 연결된다.

 
그러나 실제 해당 웹 사이트는 트위터 사용자 로그인 페이지로 위장하여 트위터 사용자 계정와 로그인 암호를 수집하기 위해 정교하게 제작된 피싱 웹 페이지이다.

그리고 입력되는 사용자 계정과 로그인 암호들 모두는 중국에 위치한 특정 시스템으로 전송하게 되어 있어 수집한 사용자 계정과 로그인 암호를 이용하여 다른 보안 위협 유포에 악용할 것으로 추정된다.

이러한 단축 URL을 이용하여 보안 위협을 유포한 사례들로는 2011년 1월 21일 단축 URL을 이용해 허위 백신 감염을 시도한 사례, 2011년 5월 15일 단축 URL을 이용해 맥(Mac) OS에 감염되는 허위 백신 유포 사례2011년 8월 9일 단축 URL을 이용해 신용카드 결제를 유도하는 스팸 메시지 유포 사례 등 다수가 존재함으로 단축 URL 클릭시에는 각별한 주의가 필요하다.

그러므로 트위터를 통해 잘 모르는 사람을 통해 전달 받은 메시지에 포함된 단축 URL 클릭시에는 주의를 기울여야 한다.
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근 국내 유명 연예인인 A양을 촬영한 것으로 알려진 사생활 동영상이 유포되어 사회적으로 큰 이슈를 일으키고 있다.

이러한 사회적인 큰 이슈를 악용하여 2011년 12월 8일 저녁 국내에서도 많은 사용자가 있는 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter) 등을 통해 해당 연예인의 사생활 동영상으로 위장한 악성코드가 유포 되었다.


해당 트위터 계정은 비교적 최근에 생성한 것으로 보여지며, 해당 계정의 사용자에 대해 자세한 사항들이 존재하지 않는다. 그리고 다른 일반적인 내용 없이 위 이미지와 같이 유명 연예인의 동영상 파일로 위장한 ZIP 압축 파일을 다운로드하도록만 유도하고 있다.

해당 URL을 복사하여 웹 브라우저에서 다운로드를 시도하게 되면 아래 이미지와 같이 "[삭제] 아나운서 2분50초짜리.zip.zip(6.67MB)" 파일이 다운로드 된다.


다운로드 된 ZIP 압축 파일의 압축을 풀게 되면 아래 이미지와 같이 다수의 JPG 이미지 파일과 SFX로 압축된 EXE 파일이 존재한다.


그리고 텍스트 파일에서는 압축 파일에 같이 포함된 SFX로 압축된 EXE 파일을 실행하여야지만 동영상을 볼 수 있는 것 처럼 실행을 유도하고 있다.


해당 EXE 파일을 실행하게 되면 위 이미지와 같이 압축을 풀 경로를 선택하도록 하고 있으며, 아래 이미지와 같이 실제 성인 동영상 파일과 다수의 이미지 파일들이 해당 폴더에 생성된다.


그러나 해당 파일을 실행한 시스템의 사용자 모르게 netsecurity.exe(143,360 바이트) 파일도 같이 압축이 풀리면서 실행 된다.

netsecurity.exe이 실행되면 윈도우 시스템 폴더(C:\Windows\System32)에 netdrvsrty.exe(114,800 바이트) 파일을 생성하고, 윈도우 레지스트리(Windows Registry)에 다음 키 값을 생성하여 시스템 재부팅 이후에도 자동 실행 되도록 구성한다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
netsecurityDRV = "C:\WINDOWS\system32\netdrvsrty.exe"



생성된 netdrvsrty.exe는 마이크로소프트 비주얼 C++(Microsoft Visual C++) MFC로 제작 되었으며 해당 파일은 코드 상으로는 감염된 시스템의 IP 주소를 수집하고 감염된 시스템의 인터넷 익스플로러(Internet Explorer) 즐겨찾기 폴더에 웹 페이지 바로가기 파일들을 생성하게 되어 있다. 그러나 테스트 당시에는 코드상으로 존재하는 해당 악의적인 기능들이 정상 동작 하지 않았다.

이러한 일련의 사항들을 살펴 볼 때 이번 유명 연예인의 사생활 동영상으로 위장하여 유포된 악성코드는 제작자의 명령에 따라 즐겨찾기 파일들 조작하는 애드웨어(Adware) 기능을 수행하기 위해 제작된 것으로 볼 수 있다.

해당 유명 연예인의 사생활 동영상으로 위장하여 유포된 악성코드들 모두 V3 제품 군에서 다음과 같이 진단한다.

Downloader/Win32.Korad
Trojan/Win32.Sysckbc
Dropper/Agent.6596635
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

2011년 페이스북(facebook) 사용자가 10억명을 넘어설 것이라는 예측이 나오는 가운데, 악성코드 제작자가악성코드를 유포를 위해  엄청난 사용자를 확보한 페이스북을 사칭하여 이를 악용하는데 최적의 소재이다.

이미 페이스북을 사칭하여 악성코드를 첨부한 스팸메일이 지속적으로 발견되고 있으며 이는 단연 페이스북 뿐만 아니라 트워터, 마이스페이스 등도 악성코드 제작자에 의해 악성코드 유포에 악용되고 있다.

참고로 블로그를 통해 포스팅하였던 페이스북을 위장하여 악성코드를 첨부한 스팸메일 관련 글은 아래와 같다.



이번에 발견된 페이스북을 위장한 악성 스팸메일의 제목과 본문은 아래와 같다.

메일제목 : Your password is changed

메일본문
Good afternoon
Spam is sent from your FaceBook account.
Your password has been changed for safety.
Information regarding your account and a new password is attached to the letter.
Read this information thoroughly and change the password to complicated one.
Please do not reply to this email, it's automatic mail notification!
Thank you for using our services.
FaceBook Service.
Of course, Halls success led to an immediate recrudescence of the efforts to extract artemisium from the Syx ore, and, equally of course, every such attempt failed.Hall, while keeping his own secret, did all he could to discourage the experiments, but they naturally believed that he must have made the very discovery which was the subject of their dreams, and he could not, without betraying himself, and upsetting the finances of the planet, directly undeceive them. The consequence was that fortunes were wasted in hopeless experimentation, and, with Halls achievement dazzling their eyes, the deluded fortune-seekers kept on in the face of endless disappointments and disaster. And presently there came another tragedy. The Syx mill was blown up! The accident--although many people refused to regard it as an accident, and asserted that the doctor himself, in his chagrin, had applied the match--the explosion, then, occurred about sundown, and its effects w ere awful.


메일제목 : Spam from your Facebook account

메일본문
Good afternoon.
Spam is sent from your FaceBook account.
Your password has been changed for safety.
Information regarding your account and a new password is attached to the letter.
Read this information thoroughly and change the password to complicated one.
Please do not reply to this email, it's automatic mail notification!
Thank you for attention.
Your Facebook!
About the room and in and out of her shop moved Edith, going softly and quietly.A light began to come into her eyes and colour into her cheeks. She did not talk but new and daring thoughts visited her mind and a thrill of reawakened life ran through her body. With gentle insistence she did not let her dreams express themselves in words and almost hoped that she might be able to go on forever thus, having this strong man come into her presence and sit absorbed in his own affairs within the walls of her house. Sometimes she wanted him to talk and wished that she had the power to lead him into the telling of little facts of his life. She wanted to be told of his mother and father, of his boyhood in the Pennsylvania town, of his dreams and his desires but for the most part she was content to wait and only hoped that nothing would happen to bring an end to her waiting.


첨부파일은 이전과 동일하게 아이콘이 word 문서인 것처럼 보이나 실제로 확장명을 보면 word 문서 파일이 아닌 exe 실행파일임을 알 수 있다.

파일명 : Attached_SedurityCode.exe (두 스팸메일에 첨부된 파일명은 동일함.)


[그림1] 첨부된 악성코드


사용자가 악성코드를 실행하게 되면 문서파일인 것처럼 위장하기 위해 워드파일을 드랍 후 파일을 열기 때문에 사용자는 의심을 덜하게 된다.


[그림2] 사용자를 속이기 위해 열려진 워드문서 파일


현재 V3에서는 아래와 같은 진단명으로 진단/치료가 가능하다.

Attached_SecurityCode.exe 
 - Win-Trojan/Fakeav.51712.V (51,712 bytes)
Attached_SecurityCode.exe 
 - Win-Trojan/Agent.33792.AAJ (33,792 bytes)



스팸메일을 통해 유포되는 악성코드의 위험으로 부터 예방하기 위해 아래와 같은 사항들을 준수한다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 않는다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용한다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람한다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 않는다.







 

신고
Creative Commons License
Creative Commons License
Posted by 비회원
9월 7일 ASEC 블로그를 통해 전달된 Twitter XSS(Cross-site scripting) 취약점이 아직 완전히 패치되지 않은 것으로 확인되어 사용자의 주의가 필요합니다.

[ fig. Twitter XSS POC ]

현재 in-the-wild 샘플은 발견되지 않았지만, 최초 POC 코드가 공개된 후 얼마 되지 않아 In-the-Wild 샘플이 발견된 점으로 미루어 볼 때, 곧 이 취약점을 악용하는 사례가 나타날 것으로 보입니다.

위 취약점은 아래와 같은 방법으로 임시 예방할 수 있습니다.

-. 축약 URL 은 반드시 full URL 을 확인하고, twitter.com 의 하위 주소가 수상한 url은 가급적 접속하지 않는다.


* 참고자료
http://www.securelist.com/en/blog/2276/Twitter_XSS_in_the_wild
http://blog.ahnlab.com/asec/397


추가 내용
9월 8일 현재는 해당 취약점에 대해 조치가 완료되었습니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원
1. 개요
 최근 국내 SNS인 '미투데이'를 이용한 악성코드(이하 미투데이 악성코드)가 발견되어, 관련 샘플 분석 정보와 V3의 엔진 대응 현황에 대해 공유하고자 해당 글을 게시합니다.

관련 기사 : "토종 SNS '미투데이' 이용한 악성코드 유포 발견
http://www.itdaily.kr/news/articleView.html?idxno=23977



2. 악성코드 전파 방법
 미투데이 악성코드는 주로 국내 인터넷파일공유 사이트들(ex. 짱파일 등)을 통해 베포되며, 정상프로그램(utility 등)또는 mp3 음악파일에 악성코드 제작자가 만든 agent프로그램을 결합하여 정상프로그램과 함께 악성코드를 실행하는 수법을 사용하고 있습니다. 이와 같은 성질로 비추어 볼 때, 미투데이 악성코드는 향후에 다양한 변종이 생길 수 있다는 것을 예측할 수 있습니다.

[그림 1] 미투데이 악성코드와 결합된 프로그램의 일부


3. 악성코드 분석 요약

 Agent 에는 악성코드 제작자가 개설한 것으로 보이는 me2day 와 twitter 계정에 대한 URL 정보가 하드코딩되어 있습니다. agent는 이 하드코딩된 URL 을 일정 주기를 갖고 접속하여 명령(Command) 정보를 받아 수행하게 됩니다.

http://me2day.net/adr***in_82
http://twitter.com/adr***in_82
[표 1] 하드코딩된 C&C 서버 URL

 
[그림 2] Me2Day C&C

 
[그림 3] Twitter C&C

 
이 때 agent가 수행할 수 있는 일은 IRCBot과는 다르게, 단순히 페이지에 기재된 URL의 파일을 받아와 실행하는 것(Download & Execute)입니다. 하지만 악성코드제작자 자신이 원하는 작업을 할 수 있도록 실행파일을 만들어 배포함으로써(예를 들면 DoS 공격 실행파일을 업로드한다던지), 기존의 IRCBot 처럼 다양한 작업을 수행할 수 있게 됩니다.


3. 악성코드 상세 분석
 미투데이 악성코드는 크게 네 부분으로 구성되어 동작합니다. 각각의 역할에 대해 살펴보겠습니다.

(1) Dropper. A - 대표파일명: csupdt.exe
Agent DLL 을 Drop하고, dll을 Service 로 등록하여, 부팅시 자동실행될 수 있게 합니다.

File 생성 : C:\Windows\system32\csupdt.dll

서비스 등록 : Windows Net Manager
 HKLM\SYSTEM\ControlSet001\Services\WinNetMng\ImagePath
"C:\WINDOWS\system32\svchost -k cs" 


HKLM\SYSTEM\ControlSet001\Services\WinNetMng\DisplayName
"Windows Net Manager" 



(2) Agent. A 대표파일명: csupdt.dll
위 Dropper 를 통해 생성되는 파일. 서비스에 등록되어 부팅시마다 로드되며, C&C 서버와 주기적으로 통신하며 명령 실행

1) 아래 2개의 사이트 중 1곳을 접속하여 특정 문자열을 파싱하여 명령을 실행. 접속 URL은 하드코딩 되어 있음

* http://me2day.net/adr***lin_82  - 국내
* http://twitter.com/adr***lin_82   - 해외


페이지 내용

    Last tweet!!!
    [[[http://114.***.***.147/upload/atk.exe]]]
    [[[macserver=114.***.***.147:15000]]]
    [[[http://114.***.***.147/upload/fm.exe]]]
    [[[http://114.***.***.147/upload/prvupdtcln.exe]]]
    [[[interval=720]]]
    First tweet!!!



[그림 4] 서울에 위치한 호스팅서버


2) twit이나 me2day에 올라온 내용 중 First tweet!!!, Last tweet!!! 문자열 사이의 문자열을 검출

3) 검출된 문자열에서 다시 [[[, ]]] 로 둘러쌓인 문자열 검출

4) 검출된 문자열은 아래의 의미로 사용됨http, https, ftp - 다운로드 주소
macserver - 해당 주소와 포트로 3번 접속 시도하고 감염 pc의 ip 정보를 전송할 것으로 추측
interval - 접속 시도 주기값으로 분을 나타냄(720 : 720분(12시간) 뒤 재접속 시도)

5) 위의 명령어 외에는 다른 명령어들은 없기때문에 Irc와 같이 다양한 명령을 내릴 수는 없음.

6) 해당 사이트에 url 정보만 변경하더라도 감염된 pc는 다양한 악성코드에 감염되어질 수 있음

 
(3) Dropper. B - 대표파일명: atk.exe
Agent DLL 을 Drop하고, dll을 Service 로 등록하여, 부팅시 자동실행될 수 있게 함

- File 생성
C:\WINDOWS\system32\0306\svchost.exe
C:\WINDOWS\system32\0306\ckassnet.dll

- 서비스 등록( Net Authentic Manager )
HKLM\SYSTEM\ControlSet001\Services\netauthmng\ImagePath
"C:\WINDOWS\system32\0306\svchost.exe" 


HKLM\SYSTEM\ControlSet001\Services\netauthmng\DisplayName
"Net Authentic Manager" 


- 사이트 접속
http://web1.z***ile.com/pop.php?sm=bbs_info&idx=3460420
http://web1.z***ile.com/pop.php?sm=bbs_info&idx=3458752


(4) Slave - 대표파일명: prvupdtcln.exe
Agent.A 에 의해 다운받게 되는 파일로, 프로그램 작성 의도에 따라 다양한 행위를 할 수 있음

대표 행위
- WinPnPDrv라는 서비스를 삭제 : 옛 버젼의 악성파일을 삭제할 것으로 추측

- 다음의 2개 파일을 삭제

* C:\Windows\System32\ckass.dll
* C:\Windows\System32\ckass.exe



5. V3 대응 현황

 현재 안철수연구소에서는 실시간으로 미투데이 악성코드 변종을 확인하여 엔진에 반영하고 있습니다. 아래 그래프는 ASD(Ahnlab Smart Defense)에 의해 분석된, 미투데이 악성코드의 누적 시그니쳐 추이 그래프입니다.

[그림 5] 미투데이 시그니쳐 누적 그래프

 
현재 V3 제품군에서는 실시간으로 변종을 확인하여 대응하고 있으며 다수의 진단명이 있으나 가장 최근에 확인된 진단명은 다음과 같습니다.

Trojan/Win32.Adrena
Win-Trojan/Excer.100864
Dropper/Downloader.233984.B
Win-Trojan/Agent.184320.JB
Win-Trojan/Agent.38400.US
외 다수
[표 2] 미투데이 악성코드 진단명

 
현재까지 확인된 미투데이 악성코드 파일명들은 아래와 같습니다.


~DE(숫자+영문).tmp (ex. ~DE16F0.tmp)
01-Avril Lavigne - Alice(Underground).mp3
0409-astor_piazzolla-anconcagua_moderato-osc.mp3
05. ALIVE.mp3
14. Ring My Bell(Feat. 나얼 Of 브라운아이드 소울).mp3
atk.exe
cfosspeed-v401-build1302.exe
ckass.dll
ckass.exe
ckassnet.dll
Cleaner.exe
csupdt.dll
csupdt.exe
dvristler.exe
KeyGen.exe
KMPlayerPlus.exe
MailerCleaner.exe
Memturbo4.exe
newupdt.exe
prvupdtcln.exe
Setup.exe
Spell.exe
svchost.exe
TMP000000E64CBE3EC73DDA7524
UltraISO Premium Edition v9.3.5.2716-RETAIL.exe
VIPSeastorySetup[1].exe
Window7Genuine.exe
winrar393k-32.exe
winrar393k-64.exe
wuauserv.dll
모기잡이.exe
웹브라우져(국산)GloseeSetup_stark.exe
인터넷TV.exe
임시폴더청소기.exe
[표 3] 미투데이 악성코드가 사용한 파일명들

 

6. 예방 방법
 아래의 사항을 숙지하여 미투데이 악성코드로부터 PC를 안전하게 보호하시기 바랍니다.

1) 컴퓨터에 백신을 설치하여 항상 최신버전의 엔진을 유지하도록 합니다.
2) 인터넷 파일공유사이트(XX폴더 등)를 통해 파일을 받거나, 실행할 때는 주의하도록 합니다.
3) 합법적으로 구입한 정품 프로그램만 사용하도록 합니다.
[표 4] 미투데이 악성코드 예방 방법
신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근 트위터를 가장한 악성코드를 다운로드 하는 링크가 첨부된 메일이 확인되어 안내 드립니다.

제목 : Twitter 숫자-숫자



위와 같은 내용의 메일이 오며 위 메일 내용에서 빨간 박스안의 내용은 해당 메일을 받는 사용자의 이메일 계정 주소로 나타날 것입니다. 예를들어 victim@gmail.com 이면 빨간 박스 안의 내용은 gmail.com 이 되는 것입니다.

그리고 위 메일 본문에서 http://twitter.com/account/=im@*사용자 이메일 도메인* 주소의 링크를 클릭하면 보기에는 twitter.com 사이트로 접속하는 것으로 보이지만 실제로는 악성코드를 다운로드 하는 URL로 접속을 하게 됩니다.

해당 링크에서 받은 파일은 ZIP 파일이며 압축을 해제하면 아래와 같은 설치파일의 아이콘을 가장한 악성코드가 나타납니다.


최근 트위터 사용자가 급격하게 늘어남에 따라 트위터를 가장한 메일을 통해 악성코드가 유포되고 있으니 항상 아래와 같은 사항을 지켜 악성코드로 부터 안전하게 시스템을 지키시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원

많은 분들이 소셜 네트워크를 사용하고 있습니다. 국내에서는 싸*월드, 아이러브*쿨 등 해외에서는 Twitter, FaceBook 등등을 많이 사용하고 있는데 이러한 소셜 네트워크를 이용하여 피싱 뿐만 아니라 악성코드가 많이 배포되고 있어서 이번 글을 포스팅하게 되었습니다.

필자도 가끔식 Twitter에 트위트 메세지를 남기고 있습니다. 자주 들어가지는 않지만 조금 전에 잠시 들어갔다가 자극적인 트위트 메세지를 발견하였습니다. 메세지 내 단축 URL이 있어서 클릭을 해 보았습니다.


<Fig 1. 악성 URL로 연결되는 단축 URL이 존재하는 Twitter의 트위트 메세지>


역시나 공짜로 무언가를 얻는 것이란 참으로 힘든 일인가 봅니다. 단축 URL을 클릭을 해 보니 아래 악성코드 유포 URL로 연결되는 것을 확인하였습니다.

잠깐~~ 참고하세요 !

단축 URL을 사용하게 되는 이유는 Twitter의 메세지는 문자수 길이에 제한이 있습니다. 만약 URL 문자수 길이가 너무 많은 길이를 차지하게 된다면 메세지를 작성하는데 제한을 받게 되기 때문에 단축 URL 서비스 하는 곳에서 단축 URL을 만들어서 사용하게 되는 것이죠 ^^


<Fig 2. 단축 URL 클릭 후 악성코드 유포 페이지로 연결된 화면>


ActiveX Object 에러가 발생하였다는 메세지 경고창과 함께 동영상을 보기 위해 ActiveX를 설치하라고 유도합니다.

<Fig 3. 악성코드 다운로드 유도하기 위한 허위 경고창>


역시나 우리의 기대를 저버리지 않고 다운로드 창을 띄워 파일을 다운로드 하도록 합니다. 다운로드한 파일은(inst.exe) 오른쪽 그림과 같은 파일이며 이제는 우리에게 너무나 익숙한 아이콘의 파일이 다운로드 되었습니다.


<Fig 4. 악성코드 다운로드 유도하기 위한 허위 경고창>


<Fig 5. 다운로드 된 악성파일>


다운로드한 파일을 실행하면 'Security Tool'이라는 FakeAV 악성 파일이 실행되며 허위 진단 후 사용자에게 결제를 유도하는 페이지로 연결하게 됩니다.



<Fig 6. FakeAV 실행된 화면>


<Fig 7. 허위 진단 후 결제페이지로 연결된 화면>


현재 첨부된 악성 파일은 아래와 같은 진단명으로 V3에서 진단 및 치료가 가능합니다.

파일명 : inst.exe 
진단명 : Win-Trojan/Fakeav.1113600.AA



악성코드 유포 사이트는 SiteGuard 엔진에 업데이트 하였으며 아래 그림과 같이 페이지 연결이 차단이 되고 있습니다.




작년 이맘 때면 출근 길에 벚꽃을 볼 수가 있었는데 날씨가 아직 풀리지 않아서인지 벚꽃이 눈에 들어오지 않네요. 벚꽃이 개화하면 여의도로 산책 나오셔요~ ^^







신고
Creative Commons License
Creative Commons License
Posted by 비회원