본문 바로가기
인터넷 익스플로러 긴급 보안패치 예정 얼마전 인터넷 익스플로러에 대한 취약점(981374, CVE-2010-0806)이 권고되었습니다. 해당 취약점은 현재 MS에서 공식 패치를 내놓지 않은 상태이며 임시적으로 DEP를 활성화 하거나 인터넷 익스플로러 8 버전 사용을 권장하고 있었습니다. [해당 취약점에 대한 자세한 내용 링크] 다수의 Zeroday 취약점 권고! : http://core.ahnlab.com/132 인터넷 익스플로러 제로 데이 악용 타켓 공격 상세 분석 : http://blog.ahnlab.com/asec/271 보안 권고 981374 : http://www.microsoft.com/kore/technet/security/advisory/981374.mspx 하지만 해당 취약점에 대한 공격 및 악성코드가 다수 전파되어 마이크로.. 2010. 3. 30.
파일의 텍스트 비교와 악성코드 분석의 응용 - WinDiff 편 봄의 문턱에서 알아 볼 오늘의 tool은 WinDiff입니다. ^^ WinDiff는 두 파일의 텍스트를 비교해 주는 tool로서 microsoft사에서 만들었으며 무료로 다운로드 받을 수 있습니다. 이제 tool 사용법에 대해 알아보겠습니다! 아래는 WinDiff의 실행과 관련된 파일들입니다. 1. File(파일) -> Compare Files... [ 비교할 파일을 선택하는 메뉴입니다. ] 2. 비교할 두 파일을 차례대로 선택합니다. [ 비교 파일은 "카라의 루팡" 노래 가사이며 시연을 위해 하나의 파일은 가사를 일부 수정하였습니다. ^^ ] 3. 비교 후 같은 파일일 경우에는 identical(동일)이라는 멘트가 나타나며 다른 경우 아래와 같이 확인됩니다. [ 폰트는 Edit -> Set Font.... 2010. 3. 29.
악성 스팸 메일 주의! "scan upon download" FakeAV (허위백신 혹은 가짜백신)을 첨부한 악성 스팸메일이 유포되고 있어 사용자 분들의 주의가 요망됩니다. 수신된 악성 스팸메일은 아래 그림과 같이 악성 첨부 파일 'Contract.zip' 을 첨부하고 있으며 첨부된 압축 파일을 다운로드하도록 유도하는 내용이 기재되어 있습니다. 첨부된 악성 파일을 다운로드하여 실행하면 아래와 같이 'XP Security' 라는 FakeAV가 실행되게 됩니다. 첨부된 악성 파일은 V3 엔진에 반영되어 아래와 같은 진단명으로 V3에서 진단 및 치료가 가능합니다. Contract.exe Win-Trojan/Fakeav.201216.B Contract.exe Win-Trojan/Fakeav.202240.G 항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로.. 2010. 3. 29.
Andre Pitre 키워드 검색 시 주의! Andre Pitre는 미국 Actor 입니다. 그가 갑자기 검색 키워드 상위에 랭크가 된 이유를 아시나요?? 바로 그가 데뷔로 발표한 'Your Name' 이라는 노래 때문이라네요 그의 노래를 감상하실 분들은 아래 링크를 눌러주세요~~^^ Andre Pitre -Your Name 역시나 이 기회를 악성코드 유포자는 놓치지를 않았군요 ^^ 아래 Andre Pitre 키워드로 검색한 결과 중 악성코드 유포페이지로 연결되는 검색 결과가 발견되었습니다. 이런 패턴을 너무 많이 봐서 이제는 진부할 법도 하지만 한번 살펴보도록 하겠습니다. 언제나 그랫듯 재활용에 재활용을 거듭하는 플래쉬 이미지와 경고 팝업창을 띄우면서 사용자의 시스템이 악성코드에 감염되었다고 허위로 보고를 하고 있습니다. 다운로드 되는 파일의 이.. 2010. 3. 24.
WinDBG를 이용한 VMware 커널 디버깅! 오늘은 가상머신(Virtual Machine)인 VMware에 WinDBG를 붙여 커널 디버깅을 해보겠습니다! WinDBG는 Microsoft사에서 제공하는 디버깅 tool로서 http://www.microsoft.com/whdc/devtools/debugging/installx86.Mspx 에서 무료로 다운 받을 수 있습니다. 본격적인 작업에 앞서 디버거(debugger)의 종류에 대해 잠깐 살펴볼까요! ^^ 디버거의 종류는 크게 유저모드(user mode) 디버거와 커널모드(kernel mode) 디버거로 나눌수 있습니다. 이해를 돕기 위해 인텔 아키텍쳐(Intel Architecture)로 설명드리겠습니다. 다들 이해되셨나요? 다시 한번 간단히 말씀드리면 "WinDBG는 커널 접근이 가능한 디버깅 .. 2010. 3. 23.
Tool을 이용한 초간단 언패킹! (UPX편) 오늘은 기존에 했던 메뉴얼 언패킹이 아닌 다소 쉬운 방법으로 tool을 사용한 언패킹(unpacking)을 해보도록 하겠습니다. 그전에 패커(Packer)에 대해 다시 한번 간단히 정리 해볼까요! 패킹(packing)은 실행파일 포장이라는 개념으로 쉽게 이해하시면 될 것 같습니다. 아래 그림은 파일이 패킹되어 메모리에 올라가는 일괄의 과정을 표현한 것으로서 패킹된 파일은 메모리 할당시 재배치(Relocation) 과정을 하지 않기 위해 target 프로그램과 동일한 위치에 .txt 섹션을 배치 합니다. Uninitialized data section은 언패킹 후 메모리에 올릴 장소입니다. 언패킹을 하기 위해서는 먼저 Packer Detection(탐지)을 통해 패커를 확인하는 작업이 선행되어야 합니다. .. 2010. 3. 18.
허위백신으로 인한 증상 및 조치 방법 1. 서론 최근 허위백신으로 인하여 피해가 다수 발생하고 있어 증상 및 임시 조치 방법을 소개하고자 해당 내용을 작성 합니다. 2. 증상 해당 악성코드에 감염이 되면 아래와 같은 허위 백신이 실행되며 허위로 악성코드를 진단하여 결제를 유도하게 됩니다. [그림1. 허위백신이 실행된 화면] 위 이미지에서는 AntiVirus XP 2010 이지만 아래와 같이 다수의 이름이 존재합니다. Windows 7 WIndows Vista Windows XP Win 7 Internet Security 2010 Win 7 Internet Security Win 7 Antivirus Pro 2010 Win 7 Antivirus Pro Win 7 Antivirus 2010 Win 7 Antivirus Win 7 Defender.. 2010. 3. 17.
헐리우드 배우 Corey Haim 장례식 & Pacquiao vs Clottey 해외 유명인사 Corey Haim 장례식 혹은 유명 권투 선수 Pacquiao 와 Clottey 선수의 빅매치 경기를 겨냥하여 관련 키워드로 검색 시 아래 그림과 같이 악성코드 유포 사이트로 연결이 되게 됩니다. 악성코드 유포 사이트는 연결될 경우 아래 그림과 같이 백신이 스캔하는 듯한 것처럼 위장한 플래쉬를 동작하여 사용자로 하여금 자신의 PC를 스캔하고 진단 치료하는 것으로 속입니다. (이제 이런 속임수를 너무 많이 봐서 지겨우시죠?? ^^) 허위 진단을 한 후 치료를 원하면 사용자로 하여금 다운로드 후 실행을 하도록 유도를 합니다. SEO Poisoning Attack을 예방하기 위해서는 사이트 가드(Site Guard)와 같은 웹브라우저 보안 제품을 설치하여 사전에 예방할 것을 권해 드립니다. 2010. 3. 16.