닥터웹의 2009년 6월 보안 위협 동향 Posted By ASEC , 2011년 10월 24일 러시아 보안 업체인 닥터웹(Dr.Web)에서 2009년 7월 5일 2009년 6월 보안 위협 동향을 정리하여 발표하였다. 닥터웹의 2009년 6월 보안 위협 동향의 특이 사항으로는 전자 메일로 유포되는 악성코드의 증가와 소셜 네트워크 서비스(Social Network Service) 웹 사이트 관련 악성코드의 증가로 보고 있다. 위 이미지는 닥터웹이 감염된 고객 시스템에서 수집한 악성코드 감염 수치를 정렬한 TOP 10이다. 해당 이미지를 보면 베이글(Bagle) 웜과 넷스카이(Netsky) 웜이 상위권에 차지하고 있으며 2009년 1분기와 2분기에 가장 많은 이슈를 만들어 내었던 컨피커(Conficker) 웜의 닥터웹 진단명인 Win32.HLLW.Shadow.based 은 7위를 차지하고 있다는 점이 특이 사항으로 볼 수 있다. 닥터웹의 2009년 6월 보안 위협 동향에 대한 자세한 사항은 아래 웹 사이트를 참고 하기 바란다. June 2009 virus activity review from Doctor Web
이셋의 2009년 6월 보안 위협 동향 Posted By ASEC , 2011년 10월 24일 슬로바키아에 위치한 보안 업체인 이셋(ESET)에서 2009년 6월 보안 위협 동향 보고서를 발표 할 예정이라고 한다. 이번에 제작된 위협 동향 보고서의 발표에 앞서 멀웨어 인텔리전스 디렉터(Director of Malware Intelligence)인 데이비드 할리(David Harley)는 자사 블로그에 이번에 발표 예정인 2009년 6월 보안 위협 동향 보고서의 내용에 대해서 짧게 언급하였다. 이번 2009년 6월 악성코드 TOP 10에서 1위에는 2009년 상반기에 가장 많은 이슈를 만들어낸 컨피커(Conficker)웜이 차지하였고 2위로는 USB와 같은 이동형 저장 장치를 통해 전파되는 악성코드들이 생성하는 Autorun.inf 파일을 진단한 INF/Autorun가 차지하였다고 한다. 그리고 취약점 공격과 관련한 특이 사항으로는 어도비 플래쉬(Adobe Flash)와 어도비 아크로뱃 리더(Adobe Acrobat Reader)의 취약점을 공격하는 SWF 파일과 PDF 파일의 발견이 눈에 띄게 증가하였다고 한다. 그 외에 자세한 사항은 아래 이셋 블로그의 내용을 참고하면 좋을 것이다. June ThreatSense Report
포티넷의 2009년 6월 보안 위협 동향 Posted By ASEC , 2011년 10월 24일 캐나다에 위치한 보안 업체 포티넷(Fortinet)에서 2009년 6월 보안 위협 동향을 발표 하였다. 이번 6월에 발견된 악성코드 TOP은 다음과 같으며 2위와 3위에는 6월 24일 한국에도 유입되었던 Zbot 변형들이 차지하고 있다. 포티넷의 악성코드 TOP 10의 상위권에 Zbot 변형들이 차지하고 있는 것으로 미루어 해외에서도 Zbot 변형들의 높은 확산 시도가 있었던 것으로 해석 할 수 있다. 그리고 5위와 6위에는 스크립트 형태로 웹 브라우저의 취약점을 공격하는 악성코드들이 차지하고 있는 것으로 미루어 웹 사이트를 통한 악성코드의 지속적인 유포에 주의를 기울일 필요가 있다. 그리고 2009년 6개월 동안 전체 악성코드의 발견 수치를 나타낸 그래프가 위 이미지와 같다고 한다. 위 이미지에서 처럼 3월을 기점으로 하여 일시적으로 줄어들었던 악성코드 발견 수치가 다시 증가 추세에 있다고 한다. 이 외의 포티넷의 자세한 보안 위협 동향은 아래 웹 사이트에서 참고하기 바란다. THREATSCAPE…
구글 뉴스그룹을 이용한 악성코드 조정 Posted By ASEC , 2011년 10월 24일 2008년 9월 11일 시만텍(Symantec)에서 유명한 검색 엔진인 구글(Google)의 그룹(Group) 서비스를 이용하여 특정 명령을 수신하는 악성코드가 발견되었다는 보고가 있었다. 시만텍의 보고가 있은 후 외국 언론을 통해 해당 악성코드가 보도 되었으며 맥아피(McAfee)에서도 관련 정보를 공개하고 있다. 이러한 소셜 네트워크 서비스(Social Network Service)를 이용하여 악성코드를 조정한 형태는 2009년 8월 14일 트위터(Twitter)의 RSS 서비스를 이용한 사례가 있었다. 이 번에 발견된 Grups 트로이목마는 DLL 파일로 비주얼(Visual) C++ MFC(Microsoft Foundation Class library)로 제작되었으며 실행 압축은 되어 있지 않다. 그리고 Rundll32.exe 를 이용해 자신을 실행 하도록 되어 있다. 해당 악성코드는 중국에서 제작된 것으로 추정되는 특정 뉴스그룹(Newsgroup)에 접속하여 해당 그룹에서 게시한 RC4 스트림으로 암호화 한후 Base64로 인코딩 한 게시물을 읽어들여 공격자가 지정한 특정 명령을 수신하여 실행 하도록 되어 있다고 한다. 시만텍에서 해당 악성코드를 분석 할 당시에는 대만 지역…
뉴욕타임스를 통해 배포된 허위백신 프로그램 Posted By ASEC , 2011년 10월 24일 2009년 9월 둘째 주말 뉴욕타임스 뉴스리더를 통해 허위 백신 프로그램 광고가 떴다. 공격자는 웹사이트를 해킹해 광고를 삽입한 것으로 보인다. '당신의 컴퓨터가 악성코드에 감염되었다'라는 전형적인 허위 내용을 보여주고 사용자들이 프로그램을 다운로드 하도록하는 것이다. 해당 프로그램은 악성코드 진단 및 치료 능력은 거의 없는 허위 백신 프로그램으로 알려졌으며 사용자에게 결제를 요구한다고 한다. 뉴욕타임스는 주의하라는 공지를 했다. 뉴욕 타임스의 명성을 이용해 돈을 벌기위해 홈페이지를 해킹한 것으로 보인다. 이와 관련한 사항들은 아래 글들을 참고 하기 바란다. 뉴욕타임스 웹사이트 해킹 굴욕 (ZDNet, 2009년 9월 14일) Fake anti-virus attack hits New York Times website readers
