본문 바로가기

악성코드 정보1121

V3 실행 여부에 따른 imm32.dll 패치 방식의 변화 몇 년 전부터 인터넷에 존재하는 취약한 웹 사이트들을 악용하여 온라인 게임의 사용자 정보를 유출하는 악성코드들이 다수 유포되기 시작하였다. 과거에는 단순하게 사용자의 키보드 입력이나 웹 페이지 입력 정보들만을 가로채어 인터넷에 존재하는 특정 시스템으로 전송하는 트로이목마 형태였다. 그러나 최근에는 윈도우 시스템에 존재하는 정상 시스템 파일들의 특정 부분을 악성코드를 실행시키는 코드로 변경하는 패치(Patch) 형태로 유포되고 있다. 최근 발견된 온라인 게임 관련 악성코드들을 분석하는 과정에서 V3의 설치 및 실행 여부에 따라서 윈도우 시스템 파일 중 하나인 imm32.dll 에 대한 패치 방식이 달라지는 것으로 분석 되었다. 해당 윈도우 시스템 파일인 imm32.dll 파일을 패치하는 악성코드는 먼저 감.. 2011. 10. 27.
글로벌 에너지 업체를 대상으로한 나이트 드래곤 보안 위협 해외 시각으로 2011년 2월 10일 미국의 월스트리트 저널(The Wall Street Journal)의 기사 "Oil Firms Hit by Hackers From China, Report Says" 를 통해 글로벌 에너지 업체들을 대상으로한 악성코드를 이용한 보안 위협이 발생한 것이 공개 되었다. 해당 보안 위협은 미국 보안 업체 맥아피(McAfee)에의해 발견되었으며 나이트 드래곤(Night Dragon)으로 명명되었다. 이번에 알려진 나이트 드래곤 보안 위협은 2009년 11월 무렵부터 최소 1년 넘게 조직적으로 카자흐스탄, 그리스, 대만과 미국에 위치한 글로벌 오일, 가스 및 석유 화학 제품 업체들을 대상으로 진행된 APT (Advanced Persistent Threat) 형태의 보안 위협으.. 2011. 10. 27.
페이스북 담벼락 게시물로 악성코드 유포 2011년 2월 11일 금일 오전 유명 소셜 네트워크 서비스(Social Network Service)인 페이스북(Facebook)을 사용하는 일부 국내 사용자들 사이에서 악성코드를 다운로드하도록 유도하는 웹 사이트 링크가 포함된 담벼락 게시물이 자동으로 유포되기 시작하였다. 이 번 페이스북 담벼락으로 유포된 악성코드는 2009년 11월 발견되었던 구글 리더의 유튜브 동영상으로 위장한 Koobface 웜과 동일한 사례이며 웹 페이지 내용만 다른 것으로 변경되었다. 금일 국내 페이스북 사용자들 사이에 유포되었던 담벼락 게시물은 아래 이미지와 같이 페이스북으로 연결되어 있는 모든 친구들이 볼 수 있도록 되어 있으며 구글 문서도구 웹 사이트 연결하는 링크로 되어 있다. 해당 페이스북 담벼락 게시물에 포함된 웹.. 2011. 10. 27.
우편 배송 메일로 위장한 메일로 악성코드 유포 ASEC에서는 2011년 1월 26일 페이스북 암호 변경 메일로 위장한 악성코드가 유포되고 있으며 해당 메일에 첨부된 ZIP 압축 파일에 포함된 파일을 실행 할 경우 시스템에 존재하는 FTP 주소와 사용자 정보들을 수집하여 러시아에 위치한 특정 시스템으로 전송한다고 언급한 바가 있다. 해당 페이스북 암호 변경 메일로 위장해 유포되었던 악성코드가 설날 연휴인 2월 3일 무렵부터 해외에서 보내지는 우편 배송 메일로 위장하여 2월 10일 금일까지도 지속적으로 유포되고 있다. 이 번에 유포되었던 허위 우편 배송 메일은 아래 이미지와 동일한 형태를 가지고 있으며 사용되는 메일 제목은 "Post Express. Error in the delivery address! NR"를 가지고 있다. 해당 메일 제목 외에도 추.. 2011. 10. 27.
허위 페이스북 웹 페이지에서 악성코드 유포 2011년 1월 말 경부터 해외에 위치한 다수의 시스템들에서 페이스북(Facebook) 프로필 사진과 관련된 것으로 위장한 허위 페이스북 웹 페이지인 "Facebook Profile Photos"가 생성되는 것이 발견되었으며 해당 웹 페이지에서는 악성코드를 다운로드 하도록 유도하고 있다. 이 번에 발견된 허위 페이스북 프로필 사진 웹 페이지는 2010년 12월 발견된 페이스북 채팅창을 통해 유포되었던 악성코드를 다운로드 하는 웹 페이지 형태와 동일한 구성을 가지고 있다. 위 이미지와 동일한 해당 웹 페이지에서 사진 보기(View Photo)를 클릭하게 되면 facebook-pic.exe (122,880 바이트)가 다운로드 하게 되어 있으며, 해당 악성코드가 실행되면 2010년 11월 페이스북 채팅 창으로.. 2011. 10. 27.
AVG 백신으로 위장해 유포된 허위 백신 한국 시각으로 2011년 1월 31일 금일 해외에서 무료 백신으로 널리 알려진 보안 업체인 AVG에서 배포하는 정상 AVG Anti-Virus 2011 소프트웨어로 위장한 허위 백신이 발견되었다. 이 번에 발견된 AVG로 위장한 허위 백신은 사용자 인터페이스는 정상적으로 AVG에서 배포하는 백신 소프트웨어와 큰 차이가 없다. 이렇게 보안 업체에서 배포하는 정상 보안 소프트웨어로 위장한 허위 백신은 2010년 12월 트렌드마이크로(TrendMicro)에서 발표한 2011년 보안 위협 예측 중 "보안 업체 브랜드(Brand)를 대상으로한 공격"의 한 형태로 분석된다. 과거 허위 백신은 다양한 방식으로 유포되었으며 유사한 명칭 또는 유사한 사용자 인터페이스 등의 방식으로 정상적인 백신으로 위장하였으나 금일 이.. 2011. 10. 27.
페이스북 암호 변경 메일로 위장한 악성코드 유포 2011년 1월 26일, 유명 소셜 네트워크 서비스(SNS, Social Network Service) 중 하나로 국내에서도 많은 사용자들을 보유하고 있는 페이스북(Facebook)에서 보내는 메일로 위장하여 악성코드 유포를 시도한 사례가 발견되었다. 이 번에 발견된 페이스북으로 위장한 악성코드가 첨부된 메일은 2010년 4월에도 발견되었던 사례가 있었던 만큼 페이스북 관련된 메일을 수신하는 경우에는 각별한 주의가 필요하다. 금일 유포된 페이스북에서 보내는 메일로 위장한 악성코드가 첨부된 메일은 아래 이미지에서와 같이 "Facebook Service. Your new password! ID"과 같은 제목을 가지고 있다. 그리고 해당 메일 형식은 메일 본문 내용은 동일하나 다음과 같은 메일 제목들이 추가적.. 2011. 10. 27.
클라우드 보안 제품을 우회하기 위한 악성코드 발견 미국 현지 시각으로 2011년 1월 18일 마이크로소프트(Microsoft)의 Microsoft Malware Protection Center에서는 블로그 "Bohu Takes Aim at the Cloud"을 통해 최근 많은 보안 업체에서 도입하고 있는 클라우드 안티 바이러스(Cloud Anti-Virus) 소프트웨어의 탐지를 회피하는 기능을 가진 악성코드가 발견되었음을 공개하였다. 이 번에 발견된 클라우드 안티 바이러스 소프트웨어의 탐지를 회피하기 위해 제작된 악성코드는 불법적인 광고와 중국에 위치한 특정 포털 웹 사이트의 사용자 정보 등을 탈취할 목적으로 제작되었다. 그 제작과정에서 중국 일부 보안 업체에서 제작한 클라우드 안티 바이러스 소프트웨어들을 대상으로 그 탐지를 우회하도록 제작되었다. 해당.. 2011. 10. 27.