새로운 국산 매크로 바이러스 변형 발견 Posted By ASEC , 2011년 10월 24일 2009년 5월에 발견되어 현재까지 총 3가지의 변형이 발견된 국산 엑셀 매크로 바이러스인 X97M/Ecsys의 새로운 변형이 2009년 8월 18일 발견되었다. 일반적으로 엑셀 파일을 열 때에 [보안 경고] 창이 생성된다면 해당 엑셀 파일에 매크로 바이러스가 감염되었을 것으로 의심 해 볼 수 있다. 해당 [보안 경고]창이 나타날 때 [매크로 제외]를 선택하면 해당 엑셀 파일에 존재하는 매크로를 확인 해 볼 수 있다. 이번에 발견된 X97M/Ecsys 매크로 바이러스는 은폐형 바이러스로 바이러스가 실행 중일 때는 사용자가 악의적인 매크로를 확인 할 수 없다. 이는 매크로를 보는 키를 가로채서 매크로를 볼 때 바이러스 코드를 지워버리기 때문이다. 그리고 매크로 바이러스가 활동하지 않을 때 매크로 내용을 확인 할 경우 'StartUp' 을 확인 할 수 있다. X97M/Ecsys 매크로 바이러스의 원형이 4시 44분 44초에 시스템에 존재하는 파일들을 삭제 하는 것 처럼 속이는…
볼란드 델파이 파일 감염 Induc 바이러스 확산 Posted By ASEC , 2011년 10월 24일 2009년 8월 17일부터 ASEC으로는 볼란드 델파이(Boland Delphi)에 감염된 의심스러운 파일들이 접수되기 시작하여 18일에는 다수의 감염 의심 파일들이 접수되었다. ASEC으로 접수된 해당 볼란드 델파이 파일들은 모두 Induc이라는 새로운 바이러스에 감염된 파일들이었으며 한국 뿐 만아니라 소포스(Sophos), 캐스퍼스키(Kaspersky), 아바스트(AVAST), 에프시큐어(F-Secure) 등 대부분의 보안 업체들로부터 새로운 Induc 바이러스의 전파에 대해 보고가 이루어졌다. 이번에 새로 발견된 Induc 바이러스는 기존에 알려진 바이러스들인 후위형, 전위형 및 겹쳐쓰기 등과 같은 전통적인 형태의 바이러스와는 다른 감염 형태를 가지고 있으며 아래와 같은 특징들을 가지고 있다. 1. 시스템에 존재하는 일반 다른 실행 파일들(EXE 및 DLL)에 자신의 바이러스 코드를 삽입 하지 않는다. 2. 볼란드 델파이에서 사용하는 라이브러리 소스 파일인 sysconst.pas에 바이러스 코드를 삽입하여 볼란드 델파이 컴파일러인 ddc32.exe을 통해 변경된 라이브러리 파일을 생성해 감염시키는 방식이다. 3. 볼란드 델파이 개발자가 소스 코드를 빌드하여 실행 파일을 생성하면…
국내로 허위 DHL 운송 메일 악성코드 유입 Posted By ASEC , 2011년 10월 24일 ASEC에서는 2009년 8월 17일 해외에서 허위 DHL 운송 메일로 위장한 악성코드가 발견되었다는 보고가 있었다는 사항을 전한 바가 있었다. 해외에서 발견된 해당 악성코드가 2009년 8월 18일 오전 한국으로도 유입된 것이 확인되어 컴퓨터 사용자들의 많은 주의가 필요하다. 국내에 유입된 해당 악성코드는 위 이미지와 같은 전자 메일 형태에 첨부 파일로 D6513f8c3.zip 등의 압축 파일 형태가 존재하며 해당 압축 파일의 압축을 해제하면 D6513f8c3.exe (37,888 바이트)이 생성된다. 생성된 D6513f8c3.exe (37,888 바이트)은 위 이미지와 같이 마이크로소프트(Microsoft) 엑셀(Excel) 파일의 아이콘 모양을 가지고 있다. 현재 ASEC에서 파악한 바로는 해당 전자 메일과 유사한 형태의 다른 변형들이 존재함으로 위와 같은 전자 메일을 수신할 경우에는 삭제하도록 한다. 현재 V3 제품군에서는 해당 악성코드와 일부 변형들을 다음과 같이 진단한다. Win-Trojan/Bredolab.37376.E Win-Trojan/Bredolab.37888.D 그리고 이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이…
허위 DHL 운송 메일로 위장한 악성코드 유포 Posted By ASEC , 2011년 10월 24일 2009년 8월 17일 오전 02시경 해외에서 허위 DHL 운송 메일로 위장한 악성코드가 발견되었다는 보고가 있었다. 이번에 발견된 허위 DHL 운송 메일로 위장한 악성코드는 2009년 8월 7일 한국에서에서도 발견되었던 UPS 운송 메일로 위장한 악성코드의 또 다른 변형이다. 이번에 발견된 허위 DHL 운송 메일로 위장한 악성코드는 다음과 같은 메일 형태을 가지고 있는 것으로 알려져 있다. * 메일 제목 DHL Delivery problem NR (임의의 7문자) * 메일 본문 Dear customer! We failed to deliver the package sent on the 14th of June in time because the recipient’s address is erroneous. Please print out the invoice copy attached and collect the package at our department. Your DHL Delivery Services. 그리고 첨부 파일로는 D039fc81e.zip 또는 D1c8020fd.zip이 존재하며 압축을 해제하면D039fc81e.exe(37,888 바이트) 또는 D1c8020fd.exe(37,376 바이트) 이 생성된다. 현재 ASEC에서 파악한 바로는…
트위터를 기반으로 한 봇넷 조정 발견 Posted By ASEC , 2011년 10월 24일 미국 시각 2009년 8월 13일 미국의 네트워크 보안 업체인 아르보(Arbor)에서 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter)를 이용하여 악성코드에 감염된 좀비(Zombie) 시스템들의 네트워크인 봇넷(Botnet)으로 조정 명령들을 송신하는 것이 발견되었다고 한다. 아르보에서 발견한 트위터를 이용한 봇넷 명령한 위 이미지에서와 같이 봇넷을 조정할 수 있는 명령어들을 베이스64(Base64)로 인코딩 한 후 이를 다시 아래 이미지와 같이 RSS(Really Simple Syndication)로 악성코드에 감염된 좀비 시스템들에게 명령을 송신하도록 되어 있었다. ASEC에서 분석 당시 송신한 명령으로는 특정 도메인에서 다수의 특정 파일을 다운로드 하는 명령이 존재하였다. 해당 파일들을 다운로드 하여 확인 한 결과 아래 이미지와 같은 베이스64로 인코딩되어 있는 ZIP 압축 파일이었다. 해당 파일들을 디코딩해서 압축을 풀면 UPX로 실행 압축되어 있는 gbpm.exe 파일이 생성된다. 생성된 실행 파일들은 모두 악성코드들로 V3 제품군에서 다음과 같이 진단한다. Win-Trojan/Banc.104960 Win-Trojan/Banc.103936 Win-Trojan/Banc.33792 Win-Trojan/Banc.34304 Win-Trojan/Banc.71680…
