금융 정보 탈취하는 Bebloh 악성코드 발견 Posted By ASEC , 2011년 10월 25일 2009년 9월 30일 오전 미국 보안 업체 핀잔(Finjan)으로 부터 Bebloh 악성코드에 감염된 6000대의 시스템에서 금융 정보가 탈취된 사고가 보고 되었으며 해당 보안 사고는 해외 언론과 국내 언론에서도 공개 되었다. 핀잔의 보고에 따르면 이번에 발견된 악성코드는 은행권에 설치된 보안 인증 시스템을 우회하기 위해서 한 번에 4천달러에서 1만 5천 달러만 계좌 이체를 하였다고 한다. 그리고 유럽과 독일의 특정 은행을 대상으로만 악의적인 기능을 수행하도록 되어 있는 것으로 핀잔에서는 보고 하였다. ASEC에서는 해당 악성코드에 대해 추가적인 조사를 진행하는 과정에서 해당 악성코드는 2008년 11월 경부터 발견되었으며 럭키 스포이트(Lucky Spoilt) 라는 웹 익스플로잇 툴 킷(Web Exploit Toolkit)을 통해 제어가 가능한 것으로 파악하였다. 해당 악성코드는 볼란드 델파이로 제작 되었으며 시스템에 정상적인 감염이 이루어질 경우 정상 프로세스인 csrss.exe에 리모트 스레드(Remote Thread)로 인젝션(Injection)을 시도 하게 된다. 그리고 웹 브라우저(Web Browser)를…
다시 등장한 세금 청구 메일로 위장한 악성코드 Posted By ASEC , 2011년 10월 25일 ASEC에서는 2009년 9월 10일 해외에서 허위 세금 고지 메일로 위장한 Zbot 변형이 발견 되었음을 전한 바가 있었다. 동일한 변형의 해당 악성코드가 동일한 내용과 형태로 2009년 9월 28일 다시 해외 일부 지역에서 유포 되어 미국 국세청과 US Cert 그리고 미국 보안 업체 맥아피(McAfee)에서 각별한 주의를 요하고 있으며 해외 일부 언론을 통해서도 공개 되었다. 미국 썬벨트(Sunbelt)에서 제공한 이미지와 정보에 따르면 위와 같은 형태의 전자 메일로 유포 되었으며 전자 메일 내용에 포함되어 있는 링크를 클릭하게 될 경우 허위 세금 청구 웹 사이트로 연결되며 악성코드를 다운로드 하고 실행하게 하는 형태는 9월 10일에 알려진 바와 동일하다. 해당 허위 세금 청구 메일과 관련한 악성코드는 V3 제품군에서 다음과 같이 진단하며 이 외에 다수의 변형들이 존재함으로 위 이미지와 같은 전자 메일을 수신하게 될 경우에는 삭제하도록 한다. Win-Trojan/Zbot.95744.R Win-Trojan/Zbot.96347 Win-Trojan/Zbot.93868…
메일을 통해 퍼지는 스크립트 다운로더 Posted By ASEC , 2011년 10월 25일 2009년 9월 25일 후배로부터 아는 형으로부터 메일이 와서 열어봤더니 컴퓨터가 이상하다는 전화를 받았다. 메일을 받아 확인해보니 V3에서 JS/Shellcode (2009.09.25.00 이후 엔진)로 추가된 신종 악성코드였다. – 제목 : 안녕하세요! 90 아름다움 후 – 내용 : 확장자가 VBS 파일이 웹사이트 주소 메일 제목은 가변적일 수 있다. 이 VBS 파일이 실행되면 해킹된 국내 웹사이트에서 footer.jpg 파일을 다운로드 받고 C:oko.exe로 실행한다. http://www.ho*****.co.kr/system/admin/v***or/***/footer.jpg oko.exe는 또 다른 다운로더로 다른 악성코드를 다운로드 하며 V3 제품군에서는 다음과 같이 진단된다. Win-Trojan/Hupigon.252928.P Win-Trojan/Hupigon.288256.CE Win-Trojan/Downloader.65024.AJ 아는 사람이 보낸 메일이라고해도 첨부된 파일이나 웹사이트 주소 링크를 클릭하면 악성코드에 감염될 수 있으니 주의해야한다.
국내 트위터(Twitter) 초대 메일 위장 악성코드 발견 Posted By ASEC , 2011년 10월 25일 2009년 6월 17일 해외에서 발견되었던 소셜 네트워크 서비스(SNS, Social Network Service)로 유명한 트위터(Twitter)의 초대 메일로 위장한 악성코드가 2009년 9월 28일 오전 국내에서 다시 발견되었다. 이번에 발견된 트위터(Twitter)의 초대 메일로 위장한 악성코드는 위 이미지와 같은 전자 메일을 통해서 전파 되며 해당 전자 메일에는 Invitation Card.zip 이라는 파일이 첨부 되어 있다. 해당 첨부 파일의 압축 을 풀면 attachment.chm.exe 또는 attachment.pdf.exe 라는 351,232 바이트 크기의 파일이 생성된다. 해당 악성코드가 실행이 되면 외부에 존재하는 시스템에서 또 다른 악성코드인 Virut 바이러스를 다운로드 한 후 실행하여 시스템에 존재하는 정상 파일들의 감염을 시도한다. 트위터로 유포된 해당 악성코드와 다운로드 된 악성코드는 V3 제품군에서 다음과 같이 진단한다. Win-Trojan/Buzus.351232.F Win32/Virut.F 유사한 변형들이 다수 존재함으로 위와 같은 전자 메일이 수신될 경우에는 첨부 파일을 실행 하지 말고 전자 메일을 삭제 하도록 한다. 그리고…
금융정보를 빼가는 클램피 악성코드 Posted By ASEC , 2011년 10월 25일 2009년 9월 21일 국내외 언론을 통해 신종 악성코드인 클램피(Clampi)가 보도되었다. 이 악성코드는 Trojan.Win32.Ilomo, TR/PWS.513024, Win32:Ilomo, Packed.Win32.Krap.v, Trojan/W32.Agent.513024.J, Trojan.Clampi 등으로도 불린다. V3 제품군은 2009.08.10.07 이후 엔진에서 Win-Trojan/Xema.variant 로 진단된다. V3 사용자들은 최신 엔진으로 업데이트하면 예방 및 진단/치료가 가능하다. [관련정보] Clampi Trojan stealing online bank data from consumers and businesses
