‘G20 Issues paper’ 제목의 악성코드 링크된 스팸메일 주의 Posted By ASEC , 2010년 11월 10일 1. 서론 G20 정상회의 가 얼마남지 않은 시점에, 이러한 사회적 이슈를 이용하는 Social Engineering 기법으로 악성코드를 전파시키는 스팸메일이 발견되어 관련 내용을 공유합니다. 2. 전파 경로 해당 악성코드는 ‘G20 Issues paper’ 라는 제목의 G20 관련 문서가 포함된 메일로 위장하여 전파되며, 메일에 포함된 미국 서버에 존재하는 링크를 클릭시 MS워드문서로 위장된 악성코드가 담긴 압축파일이 다운로드 되게 됩니다. [fig.1] G20을 이용한 악성스팸메일. 출처: Trendmicro 블로그 [fig.2] 접속을 시도하는 시스템에 대한 위치정보 [fig.3] 링크로 전송받는 압축파일 [fig.4] 압축파일 내부에 존재하는 워드문서 위장 악성코드 3. 대응 현황 현재 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능합니다. 엔진버젼: 2010.11.10 Dropper/Agent.77980 Win-Trojan/Downloader.25434.C [fig.5] 해당 악성코드에 대한 V3 제품군 진단명 4. 악성코드 분석 해당 악성코드 내부에는 EXE 파일 및 DOC 문서가 포함되어 있습니다. 따라서 악성코드가 실행이 되면 사용자가 문서파일을 연거처럼 착각을 유도하도록…
파일공유 사이트를 통해 전파된 온라인게임핵 악성코드 Posted By ASEC , 2010년 11월 5일 1. 개요 최근 파일공유 사이트에 악성코드를 다운로드 하는 악성스크립트가 삽입되어 다수의 사용자가 악성코드에 감염되게 되었습니다. 삽입된 악성 스크립트에 대해 어떤 취약점을 이용하며, 악성코드에 감염될 경우 어떤 증상이 발생하며 그 조치방법에 대해 안내하고자 작성을 합니다. 2. 악성코드 유포 방법 최근 몇몇 파일공유 사이트에 악성코드를 다운로드 하는 악성 스크립트가 삽입되었습니다. 따라서 이번 주말을 비롯하여 평일에 다수의 사용자가 악성 스크립트가 삽입된 해당 사이트에 방문을 하였고 악성코드에 감염되게 되었습니다. [그림 1] 안철수연구소 보안통계의 악성코드 배포 URL 통계자료 해당 악성코드는 MS10-018 취약점을 이용하여 EXE 파일을 다운로드 후 실행을 하게 됩니다. [그림 2] 사이트에 삽입된 MS10-018 취약점을 이용하는 악성 스크립트 일부 3. 악성코드 감염 증상 해당 악성코드는 imm32.dll 파일을 변조시켜 게임 계정을 탈취하는 기능을 가진 악성코드 입니다. 해당 악성코드에 감염되면 운영체제에서 사용되는 정상파일인 imm32.dll 파일(108kb)을 imm32.dll.log나 imm32.dll.bak로 백업시킨 후…
경찰청을 사칭한 악성스팸메일 주의! “대구경찰청, 사이버수사대 (참고인 출석요구서)” Posted By ASEC , 2010년 11월 3일 1. 서론 금일 오전 10시경을 기점으로 “대구경찰청, 사이버수사대 (참고인 출석요구서)” 라는 제목의 사기성 스팸메일이 확산되어 주의가 요구됩니다. 악성코드의 링크가 포함된 이 스팸메일은, 마치 자신이 경찰청 직원인 것처럼 메일내용을 꾸며내어 메일 수신자가 악성코드를 다운받아 실행하게끔 유도하고 있습니다. 2. 대응 현황 관련된 아래의 악성파일들은 V3엔진에서 아래와 같이 진단가능하오니, 의심메일을 받으신분들은 V3 수동검사를 통해 PC를 점검해주시기 바랍니다. V3(2010.11.03.05) : Win-Trojan/Sparats.593498 V3(2010.11.03.06) : Win-Trojan/Downloader.551936.B V3(2010.11.03.06) : Win-Trojan/Clicker.582656 3. 감염증상 및 분석정보 위 메일에 첨부된 악성코드는 실행시 c:program fileswmidisplay 하위 폴더에 아래의 파일들을 생성합니다. svcup.exe wmidisplay.exe 또한 Run 레지스트리에 키를 등록하여 윈도우 부트시점에 악성코드가 자동으로 실행되도록 설정합니다. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 이름 : wmidisp 데이터 : C:Program Fileswmidisplaysvcup.exe 홍콩으로 추정되는 지역의 아래의 URL에 접근하며, 악성코드 자신의 버젼을 체크하고, 광고창에 접근하는 주기를 체크하는 기능이 포함되어 있는 것으로 추정됩니다. http://www.w****8.com/***/ins.asp?m=i http://www.w****8.com/****/adver/update.txt http://www.w****8.com/***/set.txt // set.txt 내용 display=0…
‘야마꼬!’ 키보드를 누르면 특정 소리가 들린다? Posted By ASEC , 2010년 10월 27일 1. 서론 키보드의 특정 키를 누르면 해당 키에 따라 특정 소리가 나는 조커(컴퓨터에 자체에 크게 나쁜 영향을 주지는 않지만 사용자를 놀라게 하는 악성 프로그램들을 말한다.)류의 악성코드에 대해서 알려드립니다. * 조커(Joker)란 무엇인지 아래 URL에 자세한 정보가 있으니 참조해 주시기 바랍니다. http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=13338 2. 감염 시 증상 아래 그림은 한 포털 사이트 Q&A에 작성된 질문입니다. [그림 1] 한 포털 사이트 Q&A 페이지에 등록된 질문 해당 악성코드에 감염 시 나타나는 대표적인 증상은 특정 키 ( 스페이스 바, 엔터 키 등) 를 누르게 되면 그에 해당하는 특정 소리가 들리게 됩니다. 스페이스 바 : “야마꼬” 엔터 키 : “아하하하” 그 외 Tab, Delete 키 등 [표 1] 키보드 키에 따른 소리 또한 모니터링 툴 및 작업관리자, 레지스트리 편집기 등의 실행을 방해하여 동작하지 못하게 하는 기능도…
실행파일을 감염시키는 Win32/Parite 바이러스 피해확산 Posted By ASEC , 2010년 10월 21일 2001.10.01 일 최초로 발견되어, 현재까지 하루평균 8천건 정도의 피해건수가 접수되는 파일감염형 바이러스인 Win32/Parite의 피해건수가 10월 15일을 기점으로 폭발적으로 증가 하였습니다. 국내의 특정광고 목적 프로그램의 업데이트 파일이 악성코드에 감염된 채로 다운로드되어져 발생한 사고로 파악되고 있으며, 해당 감염파일유포가 중단된 후, Win32/Parite 의 피해규모는 현재까지 감소세를 보이고 있습니다. Win32/Parite 는 Trojan 악성코드와 달리, 지속적으로 다른 실행파일들을 감염시키는 virus 류의 악성코드로서 전파능력이 매우 큰 것이 특징입니다. 만일 Parite 가 실행되면 아래와 같이 %temp% 폴더에 랜덤명.tmp 파일을 Drop하고 Explorer.exe 에 인젝션되어 동작하며 주기적으로 실행파일들을 찾아 감염시킵니다. Win32/Parite 에 감염된 파일은, 기존 정상파일 마지막에 3자리 랜덤색션이 추가되고 파일크기가 약 3배정도 증가하는 특징이 있습니다. ㅁ 치료 및 예방방법 -. Win32/Parite 는 V3 엔진에 치료기능이 적용되어 있으므로, V3 의 수동검사를 통하여 치료하시기 바랍니다. -. V3의 '실시간 검사' 를 설정하여 추가 감염을 막을 수 있습니다. -. 용도를 알 수 없는 프로그램은…
