실행파일을 감염시키는 Win32/Parite 바이러스 피해확산 Posted By ASEC , 2010년 10월 21일 2001.10.01 일 최초로 발견되어, 현재까지 하루평균 8천건 정도의 피해건수가 접수되는 파일감염형 바이러스인 Win32/Parite의 피해건수가 10월 15일을 기점으로 폭발적으로 증가 하였습니다. 국내의 특정광고 목적 프로그램의 업데이트 파일이 악성코드에 감염된 채로 다운로드되어져 발생한 사고로 파악되고 있으며, 해당 감염파일유포가 중단된 후, Win32/Parite 의 피해규모는 현재까지 감소세를 보이고 있습니다. Win32/Parite 는 Trojan 악성코드와 달리, 지속적으로 다른 실행파일들을 감염시키는 virus 류의 악성코드로서 전파능력이 매우 큰 것이 특징입니다. 만일 Parite 가 실행되면 아래와 같이 %temp% 폴더에 랜덤명.tmp 파일을 Drop하고 Explorer.exe 에 인젝션되어 동작하며 주기적으로 실행파일들을 찾아 감염시킵니다. Win32/Parite 에 감염된 파일은, 기존 정상파일 마지막에 3자리 랜덤색션이 추가되고 파일크기가 약 3배정도 증가하는 특징이 있습니다. ㅁ 치료 및 예방방법 -. Win32/Parite 는 V3 엔진에 치료기능이 적용되어 있으므로, V3 의 수동검사를 통하여 치료하시기 바랍니다. -. V3의 '실시간 검사' 를 설정하여 추가 감염을 막을 수 있습니다. -. 용도를 알 수 없는 프로그램은…
안드로이드 동영상 플레이어 앱을 위장한 악성 앱 주의요망 Posted By ASEC , 2010년 10월 15일 1. 서론 성인 동영상 플레이어를 위장하여 특정번호로 SMS 메시지가 전송되어 요금을 과금시키는 안드로이드 악성 어플리케이션(App)이 발견되어 관련 내용을 공유해 드립니다.2. 악성코드 정보 해당 악성 어플리케이션은 2010년 8월 10일 최초 발견되었으며 그 이후 계속해서 변형이 발견되었습니다. 발견 일시 8월 10일 9월 9일 10월 12일 아이콘 어플리케이션 명 MoviePlayer PornoPlayer PornoPlayer [표 1] 성인 동영상 플레이어를 위장한 악성 어플리케이션 [그림1] 안드로이드 폰에 설치된 PornoPlayer 어플리케이션 어플리케이션 내부에 아래와 같은 코드가 존재하여 어플리케이션이 설치되면 특정 번호로 SMS 메시지를 보내 요금을 과금시키는 특징이 있습니다. android.telephony.SmsManager.sendTextMessage(“7132”, 0, “846978”, 0, 0); * '7132' 번호로 “846978” 이라는 문자메시지를 발송. 아래의 코드들은 전달되는 텍스트만 다를 뿐 동일함. android.telephony.SmsManager.sendTextMessage(“7132”, 0, “845784”, 0, 0); android.telephony.SmsManager.sendTextMessage(“7132”, 0, “846996”, 0, 0); android.telephony.SmsManager.sendTextMessage(“7132”, 0, “844858”,…
안드로이드를 겨냥한 악성코드, Fakeplayer 변종 발견 Posted By ASEC , 2010년 10월 14일 금일 새벽, 해외 Anti-Virus 업체인 Kaspersky 에 의해 안드로이드용 Trojan인 'FakePlayer 변종' 이 발견되어 관련 정보를 공개했습니다. [출처: 카스퍼스키랩 블로그] 'porno player' 로 위장한 이 악성코드는 러시아에서 최초 발견되었으며, 악성코드가 설치되면 특정 번호로 sms 메시지를 보내 요금을 과금시키는 특징이 있는 것으로 알려져 있습니다. 현재 ASEC 에서는 해당 악성코드 샘플을 확보하여 Android-Trojan/SmsSend.B 진단명으로 V3 Mobile 엔진에서 진단/치료가 가능하도록 업데이트 하였습니다. 추가적인 정보는 아래 링크에서 확인하실 수 있습니다. http://core.ahnlab.com/230
아이폰 탈옥 도구로 위장한 ‘악성코드’ – Win-Trojan/Agent.535552.F Posted By ASEC , 2010년 9월 28일 1. 개요 아이폰 탈옥 프로그램으로 위장한 정보유출형 악성코드가 발견되어 해당 악성코드에 대한 분석정보를 공유합니다. 2. V3의 대응상태 V3에서는 아래와 같이 대응하고 있습니다. Win-Trojan/Agent.535552.F (V3: 2010.09.28.00) 3. 악성코드 감염 시 증상 (1) 이번 아이폰 탈옥 도구로 위장한 악성코드 Win-Trojan/Agent.535552.F는 웹 사이트와 Torrent라는 P2P 프로토콜을 통해서 유포되고 있음이 확인되었습니다. [그림 1] Torrent를 통해서 유포 중인 Win-Trojan/Agent.535552.F [그림 2] 특정 웹 사이트를 통한 유포시도 (2) Torrent를 통해서 다운로드 한 악성코드는 18,764,288 바이트의 크기를 가지고 있으며 실행하게 되면 아래 경로에 파일을 생성합니다. %USERPROFILE%TempGreenpois0n_ [일부생략].exe(18,746,503 바이트, 악의적인 기능이 없는 실행파일) %USERPROFILE%Tempu16event.html(특정 프로그램의 계정정보를 저장할 html파일) (3) 계정정보 유출기능은 18,764,288 바이트의 크기를 가진 원본 파일이 수행하며 (2)과정에서 생성한 실행파일을 실행하여 아래 창을 출력함으로써 사용자로 하여금 실제 아이폰 탈옥 프로그램이 동작하는 것처럼 인식될 수…
Facebook 등의 SNS 를 통해 전파되는 koobface 악성코드 주의 Posted By ASEC , 2010년 9월 27일 1. 서론 금일 facebook 의 쪽지 기능을 통해 악성코드를 유포시키는 koobface 변종이 확산되고 있어, 관련 내용을 공유합니다. 2. 진단 현황 V3에서는 해당 악성코드를 아래와 같이 진단가능합니다. V3(2010.09.27.04) Win32/Koobface.worm.58368.F Win-Trojan/Tdss.102912.B Win32/Koobface.worm.119808 Win-Trojan/Koobface.253952 Win-Trojan/Koobface.28544 Win32/Koobface.worm.64512.G V3(2010.09.27.03) Win32/Koobface.worm.153600.B Trojan/Win32.Agent Worm/Win32.Koobface Backdoor/Win32.Agent
