안드로이드를 겨냥한 악성코드, Fakeplayer 변종 발견 Posted By ASEC , 2010년 10월 14일 금일 새벽, 해외 Anti-Virus 업체인 Kaspersky 에 의해 안드로이드용 Trojan인 'FakePlayer 변종' 이 발견되어 관련 정보를 공개했습니다. [출처: 카스퍼스키랩 블로그] 'porno player' 로 위장한 이 악성코드는 러시아에서 최초 발견되었으며, 악성코드가 설치되면 특정 번호로 sms 메시지를 보내 요금을 과금시키는 특징이 있는 것으로 알려져 있습니다. 현재 ASEC 에서는 해당 악성코드 샘플을 확보하여 Android-Trojan/SmsSend.B 진단명으로 V3 Mobile 엔진에서 진단/치료가 가능하도록 업데이트 하였습니다. 추가적인 정보는 아래 링크에서 확인하실 수 있습니다. http://core.ahnlab.com/230
아이폰 탈옥 도구로 위장한 ‘악성코드’ – Win-Trojan/Agent.535552.F Posted By ASEC , 2010년 9월 28일 1. 개요 아이폰 탈옥 프로그램으로 위장한 정보유출형 악성코드가 발견되어 해당 악성코드에 대한 분석정보를 공유합니다. 2. V3의 대응상태 V3에서는 아래와 같이 대응하고 있습니다. Win-Trojan/Agent.535552.F (V3: 2010.09.28.00) 3. 악성코드 감염 시 증상 (1) 이번 아이폰 탈옥 도구로 위장한 악성코드 Win-Trojan/Agent.535552.F는 웹 사이트와 Torrent라는 P2P 프로토콜을 통해서 유포되고 있음이 확인되었습니다. [그림 1] Torrent를 통해서 유포 중인 Win-Trojan/Agent.535552.F [그림 2] 특정 웹 사이트를 통한 유포시도 (2) Torrent를 통해서 다운로드 한 악성코드는 18,764,288 바이트의 크기를 가지고 있으며 실행하게 되면 아래 경로에 파일을 생성합니다. %USERPROFILE%TempGreenpois0n_ [일부생략].exe(18,746,503 바이트, 악의적인 기능이 없는 실행파일) %USERPROFILE%Tempu16event.html(특정 프로그램의 계정정보를 저장할 html파일) (3) 계정정보 유출기능은 18,764,288 바이트의 크기를 가진 원본 파일이 수행하며 (2)과정에서 생성한 실행파일을 실행하여 아래 창을 출력함으로써 사용자로 하여금 실제 아이폰 탈옥 프로그램이 동작하는 것처럼 인식될 수…
Facebook 등의 SNS 를 통해 전파되는 koobface 악성코드 주의 Posted By ASEC , 2010년 9월 27일 1. 서론 금일 facebook 의 쪽지 기능을 통해 악성코드를 유포시키는 koobface 변종이 확산되고 있어, 관련 내용을 공유합니다. 2. 진단 현황 V3에서는 해당 악성코드를 아래와 같이 진단가능합니다. V3(2010.09.27.04) Win32/Koobface.worm.58368.F Win-Trojan/Tdss.102912.B Win32/Koobface.worm.119808 Win-Trojan/Koobface.253952 Win-Trojan/Koobface.28544 Win32/Koobface.worm.64512.G V3(2010.09.27.03) Win32/Koobface.worm.153600.B Trojan/Win32.Agent Worm/Win32.Koobface Backdoor/Win32.Agent
끝나지 않은 Twitter XSS 취약점 Posted By ASEC , 2010년 9월 8일 9월 7일 ASEC 블로그를 통해 전달된 Twitter XSS(Cross-site scripting) 취약점이 아직 완전히 패치되지 않은 것으로 확인되어 사용자의 주의가 필요합니다. [ fig. Twitter XSS POC ] 현재 in-the-wild 샘플은 발견되지 않았지만, 최초 POC 코드가 공개된 후 얼마 되지 않아 In-the-Wild 샘플이 발견된 점으로 미루어 볼 때, 곧 이 취약점을 악용하는 사례가 나타날 것으로 보입니다. 위 취약점은 아래와 같은 방법으로 임시 예방할 수 있습니다. -. 축약 URL 은 반드시 full URL 을 확인하고, twitter.com 의 하위 주소가 수상한 url은 가급적 접속하지 않는다. * 참고자료 http://www.securelist.com/en/blog/2276/Twitter_XSS_in_the_wild http://blog.ahnlab.com/asec/397 추가 내용 9월 8일 현재는 해당 취약점에 대해 조치가 완료되었습니다.
ARP Spoofing을 통해 전파되는 온라인 게임핵 악성코드 Posted By ASEC , 2010년 9월 6일 1. 개요 최근 악성코드 중 ARP Spoofing 증상을 발생하는 악성코드가 확인되었습니다. 해당 악성코드에 대해 조사를 하여 확인된 바 국내의 다수의 사이트에 해당 악성코드를 감염시키는 악성 스크립트가 삽입되어 있음을 확인하였으며 다수의 피해가 우려되어 해당 정보를 공유하고자 해당 문서를 작성합니다. ※ 아래 ARP Spoofer 전용백신 링크를 통해제공되는 전용백신은 2010년 9월 4일부터 현재까지 유포된 ARP Spoofing 증상 유발 악성코드만을진단/치료 하는 전용백신입니다. 모든 악성코드가 대상이 되지는 않으며 알려진 형태만을 진단/치료 합니다. 또한 본문 하단의 ARP Spoofing 탐지/차단 툴은 ARP Spoofing 패킷을 유발하는 시스템을 탐지/차단하는 툴이며 해당 시스템을 치료하기 위해선 V3제품군 또는 v3arpspoofer.exe 전용백신으로 진단/치료하시기 바랍니다. ARP Spoofing 탐지/차단 툴 : ARP Spoofing 패킷을유발하는 시스템을 탐지/차단하는 툴 ARP Spoofer 전용백신 : ARP Spoofing 악성코드에 감염된 시스템을진단/치료 하기위한 전용백신 ARP Spoofer 전용백신 2. 악성코드 감염 경로 해당 악성코드는 웹사이트에…
