중고거래 사이트를 위장하여 PC를 좀비화시키는 악성코드 주의 Posted By ASEC , 2011년 1월 31일 1. 서 론 블로그를 통해 디지털카메라, 노트북 등 고가의 물품을 판매하는 것처럼 꾸며 첨부파일 설치를 유도하는 악성코드가 발견되었습니다. 해당 PC를 감염시켜 제어권한을 획득하여 파일 및 중요정보 탈취 / 변조를 유발하기 때문에 주의를 필요로 합니다. 2. 악성코드 유포방법 및 증상 고가의 인기 물품(DLSR, 노트북, 각종 IT기기 등)들을 싸게 파는 것처럼 속여 접속을 유도하고, 제품 사진을 확인하기 위해선 첨부된 파일을 열어보도록 유도하여 악성코드를 감염시키는 방법으로 유포되고 있습니다. 첨부된 파일을 압축 해제하면 다음과 같은 파일들을 확인할 수 있습니다. vbs, bat, exe 파일등의 악성파일이 보이지 않도록 숨김으로 설정되어 있습니다. 위의 파일들이 실행될 경우 백신 프로그램(Anti virus)의 동작을 중단시키고, 재부팅시 백신프로그램이 실행되지 않도록 레지스트리를 수정합니다. 또한 악성코드 실행 파일이 컴퓨터가 시작할 때마다 실행되도록 레지스트리에 추가합니다. 중단되는 프로그램과 수정되는 레지스트리 목록은 아래와 같습니다. 중단을 시도하는 서비스 목록 ALYac_PZSrv…
신년인사로 위장한 악성 스팸메일 주의! Posted By ASEC , 2011년 1월 5일 1. 서 론 신년 인사 eCard 관련 메일로 위장하여, 사회 공학(Social Engineering) 기법을 이용한 악성 스팸메일이 유포되고 있어 주의가 요구됩니다. 2. 악성코드 유포 방법 및 증상 최초 “New Year 2011, Greeting you with heartiest New Year wishes, New Year Ecard Notification” 등 과 같은 2011년을 맞이하는 관련 제목으로 메일이 수신됩니다. 해당 메일을 열어보면 아래와 같은 새해 인사 및 관련 eCard 확인을 위해 링크된 URL의 클릭을 유도합니다. [그림 1] 메일 원문 메일 본문의 URL을 클릭할 경우, 일정 간격으로 다른 URL로 Redirect 됩니다. 처음에는 [그림 2]와 같은 eCard를 볼 수 없다는 메시지와 함께 Flash Player 설치를 위한 링크 클릭을 유도하나, 링크를 통해 다운로드되는 install_flash_player.exe 파일은 해당 악성 스팸메일을 발송하게되는 악성코드 파일입니다. [그림 2] Flash Player로 위장한 악성코드 다운로드 링크 아래 그림은 [그림…
Facebook의 담벼락을 이용한 사이트 전파 사례 Posted By ASEC , 2011년 1월 3일 1. 서론 지난 9월 트위터(Twitter) DM(Direct Message)를 이용하여 사이트를 전파하는 사례를 포스팅 한 적이 있습니다. 최근 유명 소셜 네트워크서비스(SNS)인 페이스북(Facebook)의 어플리케이션 기능을 통해 플래시게임 페이지로 유도하는 스팸성 글이 발견되었습니다. 트위터와 달리 페이스북은 사용자의 담벼락에 글을 남기는 것을 통해 플래시게임 페이지로 유도하고 있습니다. 이전사례와 마찬가지로 URL을 통한 악성코드 유포와 같은 방법으로 악용될 가능성이 있기 때문에 사용자의 주의가 요구됩니다. 2. 사이트 유도 방법 및 사례 1) 사이트 유도 자신의 담벼락 페이지에 아래와 같은 글이 남겨지게 됩니다. [사례 1] 담벼락에 작성된 글 [사례 2] 담벼락에 작성된 글 해당 글을 클릭하게 되면 아래와 같이 어플리케이션을 허가할 것인지에 대한 페이지가 나타납니다. [허가하기]를 누르게 되면 아래와 사례 1, 2 그림과 같이 특정 페이지가 나타납니다. [사례 1] 사용자 클릭 유도 페이지 [사례 2] 사용자…
게임어플리케이션 으로 위장하여 사용자정보를 가로채는 악성 안드로이드앱 주의! Posted By ASEC , 2010년 12월 31일 1. 서론 중국에서 정상 App 으로 위장한 안드로이드 악성코드가 발견되어 관련내용을 공유합니다. [그림1] 악성코드가 포함된, 변조 상태의 'monkey jump' 2. 악성코드 유포 방법 및 영향 1) 악성코드 유포방법 중국의 써드파티 안드로이드 마켓에서 최초로 발견되었으며, 이 악성 app 은 'monkey jump' 등 원본 게임의 소스에 악성코드를 추가하여 수정한 후, 다시 패키징하여 마켓에 배포하는 방식을 사용합니다. 이와 같이 변조된 app 은 아래 그림과 같이 app 을 다운받아설치시 요구되는 권한갯수가 매우 증가하나, 사용자들이 눈치채지 못하고 설치할 확률이 높습니다. – 원본 app 의 요구 권한 android.permission.INTERNET android.permission.ACCESS_COARSE_LOCATION android.permission.READ_PHONE_STATE android.permission.VIBRATE – 변조된 app 의 요구 권한 android.permission.INTERNET android.permission.ACCESS_COARSE_LOCATION android.permission.READ_PHONE_STATE android.permission.VIBRATE com.android.launcher.permission.INSTALL_SHORTCUT android.permission.ACCESS_FINE_LOCATION android.permission.CALL_PHONE android.permission.MOUNT_UNMOUNT_FILESYSTEMS android.permission.READ_CONTACTS android.permission.READ_SMS android.permission.SEND_SMS android.permission.SET_WALLPAPER android.permission.WRITE_CONTACTS android.permission.WRITE_EXTERNAL_STORAGE com.android.browser.permission.READ_HISTORY_BOOKMARKS com.android.browser.permission.WRITE_HISTORY_BOOKMARKS android.permission.ACCESS_GPS android.permission.ACCESS_LOCATION android.permission.RESTART_PACKAGES android.permission.RECEIVE_SMS android.permission.WRITE_SMS [그림 2] 변조된 app 의 요구 권한 2)…
잡지회사 기사로 위장한 악성코드 유포 Posted By ASEC , 2010년 12월 23일 1. 서론 탈취당한 메신저 계정을 통해 자극적인 메시지 및 URL을 유포, 특정 잡지회사의 기사로 위장한 페이지로 유도하는 형태의 사회 공학(Social Engineering) 기법을 이용한 악성코드 유포 사례가 발견되어 사용자들의 주의가 요구됩니다. 2. 악성코드 유포 방법 및 증상 1) 악성코드 유포방법 최초 메신저를 통해 자극적인 메시지와 함께 특정 URL(http://www.po*****ok.com:98/)이 전달되며, URL을 클릭시 아래 그림과 같이 특정 잡지회사의 기사로 위장한 페이지로 이동합니다. [그림 1] 잡지회사 기사로 위장한 페이지 해당 기사의 하단 부분의 “다운로드 더보기… “를 클릭할 경우, 악성코드가 압축된 rar 파일을 다운로드하게 되며 압축 해제 후 파일을 실행하게 되면 악성코드에 감염됩니다. [그림 2] 잡지회사 기사로 위장한 페이지 하단의 링크 [그림 3] 링크 클릭시 파일 다운로드 2) 악성코드 증상 압축 해제 후 생성된 파일이 실행되면 원본과 동일한 파일을 생성합니다. C:WINDOWSsystem32[랜덤파일명].exe 아래와 같이 레지스트리값을 등록하며, 시스템 시작시…
