본문 바로가기

악성코드 정보

국내 유포 중인 Gandcrab v5.1 안랩 ASEC은 2019년 1월 17일 국내 사용자를 대상으로 한 이력서로 가장하여 유포중인 Gandcrab v5.1을 발견하였다.1월 16일까지는 이력서로 가장한 Gandcrab과 JS 스크립트를 통해 유포되는 Gandcrab은 모두 v5.0.4로 같았다. 그러나 1월 17일부터 이력서를 통해 유포되는 Gandcrab 버전이 5.1로 변경되었다. (JS 스크립트를 통해 유포되는 GandCrab은 v5.0.4)2018년 1..
국내 백신에 대한 새로운 무력화 시도 (GandCrab v5.0.4) 최근 ASEC은 GandCrab 유포 스크립트를 모니터링 중 국내 백신을 대상으로 하는 새로운 무력화 방식을 사용함을 포착하였다. 이전 버전에선 아래의 [그림 1]과 같이 "Uninst.exe"의 실행을 통해 제품 삭제를 시도했다면, 최근 발견된 유포 스크립트는 해당 방식을 제거하고 V3 서비스를 종료하려는 새로운 시도가 발견 되었다. (지난 글: http://asec.ahnla..
Microsoft Office Excel - DDE 이용 악성 기능 실행 마이크로소프트 오피스 제품에서 애플리케이션 사이에서 데이터 전달을 위해 제공하는 프로토콜인 DDE (Dynamic Data Exchange)를 이용하여 페이로드를 전달하는 문서 파일은 VBA 매크로 코드를 이용하지 않고도 악성 기능을 수행할 수 있는 방법이다. 2017년 하반기부터 본격적으로 이러한 DDE를 이용한 악성 워드, 엑셀 등의 문서 파일이 유포되었고, 그해 12월 마이크로소프트는 워드만 DDE ..
GandCrab 5.0.9 등장 안랩 ASEC은 갠드크랩 악성코드관련 정보를 게시하는 marcelo 트위터를 통해 GandCrab의 새로운 버전인 v5.0.9 파일을 확인하였다.현재 국내에서 활발히 유포 되고있는 Gandcrab v5.0.4와 다른 점은 아래 [그림 1]과 같은 메시지 창을 가장 먼저 띄운다. 이 메시지를 보면 곧 국내에도 Gandcrab v5.0.9가 유포될 것으로 보이며 사용자들의 주의가 필요하다.[그림 1] 메시지 박스해당 ..
DOC 확장자를 사용하는 XML파일 대량 유포 중 (Emotet) 안랩 ASEC은 국내 사용자를 대상으로 문서 확장자를 사용하는 XML파일을 스팸 메일을 통해 유포되고 있음을 확인하였다.  XML(Extensible Markup Language)파일은 구조적인 데이터를 쓰기위해 만들어진 파일로 다양하게 사용되고 있다.   현재 국내에 유포되는 doc확장자의 XML파일은 아래 그림처럼 상단에 <?mso-application progid="Word.Document"?> 가 명시되어 있다. ..
CVE-2018-8174 취약점 분석 안랩 ASEC은 랜섬웨어를 포함하여 국내 악성코드 유포에 널리 사용되는 IE 취약점 CVE-2018-8174에 대한 분석을 진행하였다. 해당 취약점은 메그니베르 랜섬웨어 유포에도 사용되고 있으며, 보안패치 적용을 통해 피해를 예방하는 작업이 필요하다.MS 보안 업데이트 페이지 (CVE-2018-8174)- https://portal.msrc.microsoft.com/ko-kr/security-guidance/advisory/CVE-..
GandCrab 랜섬웨어 유포에 사용되는 이메일 주소 (사전예방) 안랩 ASEC은 11월 15일부터 국내에 유포되는 이력서 사칭 메일관련하여 아래의 글을 게시하였다.- http://asec.ahnlab.com/1178 (이력서를 가장하여 유포중인 GandCrab 랜섬웨어 (2018.11.15))당시 공격자가 사용하는 발신자 메일주소는 아래의 사이트를 통해 확인 가능하며, "mshuherk@gmail.com" 메일주소를 갖는 사용자에 의해 등록되는 것으로 확인되었다. - https..
[주의] EPS 파일을 이용한 악성 한글 HWP 문서 | 업데이트 필수 우리나라 주요 공공기관과 기업 등 국내 많은 사용자가 이용하는 '한글과컴퓨터'의 한글 워드프로세서를 대상으로 하는 악성 문서파일(*.HWP)이 꾸준히 제작 및 유포되고 있다. 안랩 분석팀은 2016년부터 2018년 말 현재까지 접수되었던 악성 한글 파일의 상당수가 EPS를 이용하여 악성 기능을 수행한 것을 확인하였다. 여기에서 EPS(Encapsulated PostScript)&..