안랩 ASEC에서 2012년 5월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.29을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 5월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

이력서로 위장한 악성코드

LinkedIn 스팸 메일을 위장한 악성코드 유포

DHL운송 메일로 위장한 악성코드

런던 올림픽 개최를 이용한 악성코드

ws2help.dll 파일을 패치하는 온라인게임핵 변종 악성코드

AV Kill 기능을 가진 온라인게임핵 악성코드

플래시 플레이어의 제로데이 취약점(CVE-2012-0779)을 이용하는 악성코드

Python으로 제작된 맥 악성코드

프로그램 설치 화면 놓치지 마세요

어린이날에도 쉬지 않는 악성코드 제작자


2) 모바일 악성코드 이슈

안드로이드 Notcompatible 악성코드 발견

어도비 플래시 플레이어로 위장한 안드로이드 악성 앱

허위 안드로이드 모바일 백신 유포

허위 유명 안드로이드 앱 배포 웹 사이트

Talking Tom Cat 사이트로 위장한 앱 사이트를 통해 유포되는 악성코드


3) 보안 이슈

어도비 플래시 플레이어 CVE-2012-0779 취약점 발견

'LOIC' 툴을 이용한 DDoS 공격 주의!


4) 웹 보안 이슈

꾸준히 발견되는 농협 피싱 사이트


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.29 발간


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

빈번하게 발견되는 악성코드를 첨부한 악성 스팸 메일은 facebook, twitter 등의 소셜네트워크  뿐만 아니라DHL, UPS, FedEx 등과 같은 택배회사를 위장하여 악성 스팸 메일을 유포하는 사례가 다수 발견되고 있다.

이 번에 FedEx 메일로 위장하여 악성코드를 첨부한 스팸메일이 발견되어 사용자들의 주의가 필요하다.

아래 링크는 블로그를 통해 기존에 FedEx 메일로 위장한 악성 스팸에 대해 포스팅 된 글이다.


참고로, UPS, DHL 등의 메일로 위장한 악성스팸도 다수 발견되고 있으며 블로그에 게시된 글들은 아래와 같다.



이번에 발견된 FedEx를 위장한 악성스팸메일의 자세한 정보는 아래와 같다.

메일 제목
 - FedEx notification #048128258

메일 본문
 - Dear customer!
The parcel was sent your home address! And  it will arrive within  3
business  day!
More  information  and  the traching number are attached in document
below!
Thank you.
Best regards.
2011 FedEx International GmbH. All rights reserved.
첨부된 파일
 - 첨부된 파일은 PDF 파일이 아닌 exe 확장자의 실행파일이다.




첨부된 파일을 실행하게 되면 아래와 같은 "WindowsRecovery" 라는 이름의 FakeAV (허위백신)에 감염되게 되며 사용자의 시스템이 악성코드에 감염되었다는 허위 경고를 계속적으로 노출시켜 사용자의 불안감을 조장시킨 후 결재를 유도한다.


[그림1] 허위백신 WindowsRecovery

현재 V3 제품에서는 아래 진단명으로 해당 악성코드를 진단하고 있다.

FedEx.exe (18,432 bytes)
 - Win-Trojan/Agent.18432.YR


스팸메일을 통해 유포되는 악성코드의 위험으로 부터 예방하기 위해 아래와 같은 사항들을 준수한다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 않는다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용한다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람한다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 않는다.










신고
Creative Commons License
Creative Commons License
Posted by 비회원

"Hello"라는 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있어 사용자들의 주의가 당부됩니다.

메일 본문은 간단 명료하게 첨부된 파일을 확인하라는 내용입니다. Facebook 패스워드 변경, DHL 운송 메일 등 사용자를 현혹하기 위해 많은 문구와 이미지를 썼는데 이번에는 1문장으로 끝이네요 ^^;;

Please find attached the new Word document.

첨부된 압축파일을 압축해제하면 아래와 같이 doc 문서 파일인 것처럼 위장한 악성코드를 확인하실 수 있으며 V3 제품으로 아래와 같은 진단명으로 진단/치료가 가능합니다.

Win-Trojan/Agent.14848.TT


[그림1] 스팸메일에 첨부된 악성코드


[그림2] 첨부 파일 실행 시 접속되는 IP의 위치

스팸메일을 통해 전파되는 악성코드 감염으로부터 예방하기 위해 항상 아래와 같은 사항을 준수해 주시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.



신고
Creative Commons License
Creative Commons License
Posted by 비회원

악성코드를 퍼뜨리는 스팸메일의 대명사, DHL 이 다시 등장했습니다.

이번 스팸메일에 사용된 제목은 Please attention!  입니다.

아래의 메일 본문을 확인해보시고 비슷한 유형의 메일 첨부파일은 절대로 실행하지 마세요!

Dear customer!
The courier company was not able to deliver your parcel by your address.
Cause: Error in shipping address.
You may pickup the parcel at our post office personaly.
Please attention!
The shipping label is attached to this e-mail.
Print this label to get this package at our post office.
Please do not reply to this e-mail, it is an unmonitored mailbox!
Thank you,
DHL Delivery Services.

첨부된 압축파일을 해제하면 아래의 파일이 나옵니다.

 

이번에는 ini 파일 아이콘으로 위장하여 실행을 유도하고 있습니다.

위 스팸메일의 첨부파일은 V3에서 Win-Trojan/Downloader.135680.U 로 진단가능합니다.

 

 

항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.

2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.

3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.

4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원


4월 2일자로 발송된 악성 파일을 첨부한 스팸메일이 확인되어 알려드립니다.
3개의 악성스팸메일이 확인되었는데 두 개는 우리의 단골 손님 DHL을 가장한 악성스팸메일입니다.

DHL Services. Get your parcel NR.9195
DHL Express. Please get your parcel NR.8524

DHL을 위장한 메일 외 아래와 같은 악성스팸메일이 유포되고 있습니다.

YOUR TEXT

악성스팸메일들의 제목 및 본문 등 자세한 내용은 아래 그림들을 참조해 주세요.


<Fig 1. 4월 2일 발송된 악성스팸메일들>




첨부된 악성 파일들을 다운로드하여 압축해제하면
오른쪽 그림과 같이 워드 문서 아이콘으로 사용자에게
워드 문서인 것 처럼 보이게 합니다.






각각의 첨부된 파일들은 V3에서 아래와 같은 진단명들로 진단이 가능합니다.


파일명 : DHL_label_5893.exe
진단명 : Dropper/Malware.59392.GC

파일명 : File.exe
진단명 : Win32/MyDoom.worm.32256



항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.








신고
Creative Commons License
Creative Commons License
Posted by 비회원

최근 DHL메일을 가장한 스팸메일이 지속적으로 유포되고 있습니다. 이 스팸메일에는 DHL로 시작하는 악성파일이 첨부되어 있으며 주로 문서파일 아이콘으로 보여 사용자를 속이고 실행시키도록 유도를 합니다.

자세한 내용은 "악성 스팸 경고" 카테고리에 관련 글들이 많으니 참조해 주세요.

Internet Security 2010 은 다른 FakeAV와 유사한 동작을 하는데 한가지 특이점이 있어 알려드리겠습니다.

< Fig 2. Internet Security 2010 >

생성되는 악성파일 중 C:\winodows\system32\helper32.dll 파일을 삭제한 후 레지스트리 값을 수정하지 않았을 경우 아래와 같이 인터넷 페이지 오류가 발생하게 됩니다.


< Fig 2. 인터넷 페이지 오류 >

Internet Security 2010은 Fig 3.의 정상 레지스트리 값을 Fig 4. 의 레지스트리 값으로 변경하기 때문에 네트워크와 관련된 응용프로그램에서도 오류가 발생하게 됩니다.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 <-- 키


PackedCatalogItem <-- 이름

C:\WINDOWS\system32\helper32.dll.ols\VSock ....  <-- 데이터


* 시스템에 따라 키 값이 달라 질 수 있습니다.


< Fig 3. 정상 레지스트리 값 >



< Fig 4. 변경된 레지스트리 값 >


이 경우 정상 레지스트리 값을 가져와서 변경된 레지스트리 값을 수정해 주어야 합니다. 정상적인 시스템에서의 값을 가져와도 되며, 만약 시스템 복원을 사용하는 사용자라면 Fig 5. 처럼 IceSword 툴을 이용하여 시스템 복원 폴더에서 감염되기 전의 시간대의 레지스트리 중 SYSTEM 값을 'Copy to' 옵션으로 카피를 해 둡니다.

* 정상적인 시스템에서 레지스트리 값을 가져올 수 있는 사용자는 아래 Fig 5. 과정을 생략하셔도 되겠습니다.


< Fig 5. 시스템 복원 폴더 내 정상 레지스트리 카피 >


카피 후 레지스트리 편집기를 실행시키신 후 [파일] - [하이브 로드] 옵션으로 카피를 해 두었던 SYSTEM 파일을 로드합니다.


< Fig 6. 하이브 로드 >


하이브 로드 후 Fig 7.처럼 '내보내기' 옵션으로 Catalog_Entries.reg 파일을 생성합니다.



< Fig 7. 레지스트리 값 내보내기 >


하이브 로드를 하였기 때문에 .reg 파일을 노트패드 등의 에디터로 열어보면 하이브 로드 시 입력하였던 키 이름으로 경로가 설정되어 있는 것을 확인할 수 있으며 이 경우 경로를 수정해 주어야 합니다. 

예를 들어, 필자의 경우 하이브 로드 시 'AhnLab' 이라는 키 이름을 입력하였고 따라서 이 부분을 'SYSTEM'으로 수정을 해 주어야 합니다.


< Fig 8. .reg 파일 경로 수정 >

경로 수정 작업까지 완료했다면 이제 .reg 파일을 실행하여 레지스트리 값을 정상적인 값으로 수정합니다.







 
신고
Creative Commons License
Creative Commons License
Posted by 비회원