악성코드 정보

안드로이드를 겨냥한 악성코드, Fakeplayer 변종 발견

금일 새벽, 해외 Anti-Virus 업체인 Kaspersky 에 의해 안드로이드용 Trojan인 'FakePlayer 변종' 이 발견되어 관련 정보를 공개했습니다. [출처: 카스퍼스키랩 블로그] 'porno player' 로 위장한 이 악성코드는 러시아에서 최초 발견되었으며, 악성코드가 설치되면 특정 번호로 sms 메시지를 보내 요금을 과금시키는 특징이 있는 것으로 알려져 있습니다. 현재 ASEC 에서는 해당 악성코드 샘플을 확보하여 Android-Trojan/SmsSend.B 진단명으로 V3 Mobile 엔진에서 진단/치료가 가능하도록 업데이트 하였습니다. 추가적인 정보는 아래 링크에서 확인하실 수 있습니다. http://core.ahnlab.com/230

아이폰 탈옥 도구로 위장한 ‘악성코드’ – Win-Trojan/Agent.535552.F

1. 개요  아이폰 탈옥 프로그램으로 위장한 정보유출형 악성코드가 발견되어 해당 악성코드에 대한 분석정보를 공유합니다. 2. V3의 대응상태  V3에서는 아래와 같이 대응하고 있습니다. Win-Trojan/Agent.535552.F   (V3: 2010.09.28.00) 3. 악성코드 감염 시 증상 (1) 이번 아이폰 탈옥 도구로 위장한 악성코드 Win-Trojan/Agent.535552.F는 웹 사이트와 Torrent라는 P2P 프로토콜을 통해서 유포되고 있음이 확인되었습니다.            [그림 1] Torrent를 통해서 유포 중인 Win-Trojan/Agent.535552.F [그림 2] 특정 웹 사이트를 통한 유포시도   (2) Torrent를 통해서 다운로드 한 악성코드는 18,764,288 바이트의 크기를 가지고 있으며 실행하게 되면 아래 경로에 파일을 생성합니다.   %USERPROFILE%TempGreenpois0n_ [일부생략].exe(18,746,503 바이트, 악의적인 기능이 없는 실행파일) %USERPROFILE%Tempu16event.html(특정 프로그램의 계정정보를 저장할 html파일)   (3) 계정정보 유출기능은 18,764,288 바이트의 크기를 가진 원본 파일이 수행하며 (2)과정에서 생성한 실행파일을 실행하여 아래 창을 출력함으로써 사용자로 하여금 실제 아이폰 탈옥 프로그램이 동작하는 것처럼 인식될 수…

Facebook 등의 SNS 를 통해 전파되는 koobface 악성코드 주의

1. 서론  금일 facebook 의 쪽지 기능을 통해 악성코드를 유포시키는 koobface 변종이 확산되고 있어, 관련 내용을 공유합니다.  2. 진단 현황 V3에서는 해당 악성코드를 아래와 같이 진단가능합니다. V3(2010.09.27.04) Win32/Koobface.worm.58368.F Win-Trojan/Tdss.102912.B Win32/Koobface.worm.119808 Win-Trojan/Koobface.253952 Win-Trojan/Koobface.28544 Win32/Koobface.worm.64512.G V3(2010.09.27.03) Win32/Koobface.worm.153600.B Trojan/Win32.Agent Worm/Win32.Koobface Backdoor/Win32.Agent

[악성스팸메일 주의] “report”, “Delivery Status Notification (Failure)”

“report“, “Delivery Status Notification (Failure)” 제목의 악성 html 파일을 첨부한 스팸메일이 유포중 입니다. 스팸메일 내 본문 내용은 아래와 같습니다. 1. 메일제목   ▶ report Sending my report. Have a great weekend. Cheers 2. 메일제목   ▶ Delivery Status Notification (Failure) Delivery to the following recipient failed permanently: ampoulesvb8@resp-usc.com Technical details of permanent failure: DNS Error: Domain name not found 해당 html들은 악성코드 제작자가 만든 패턴에 의해 인코딩 되어 있습니다. 인코딩을 풀어보면 아래와 같이 웹페이지를 리디렉션하는 디코딩된 결과가 나오게 됩니다.

끝나지 않은 Twitter XSS 취약점

9월 7일 ASEC 블로그를 통해 전달된 Twitter XSS(Cross-site scripting) 취약점이 아직 완전히 패치되지 않은 것으로 확인되어 사용자의 주의가 필요합니다. [ fig. Twitter XSS POC ] 현재 in-the-wild 샘플은 발견되지 않았지만, 최초 POC 코드가 공개된 후 얼마 되지 않아 In-the-Wild 샘플이 발견된 점으로 미루어 볼 때, 곧 이 취약점을 악용하는 사례가 나타날 것으로 보입니다. 위 취약점은 아래와 같은 방법으로 임시 예방할 수 있습니다. -. 축약 URL 은 반드시 full URL 을 확인하고, twitter.com 의 하위 주소가 수상한 url은 가급적 접속하지 않는다. * 참고자료 http://www.securelist.com/en/blog/2276/Twitter_XSS_in_the_wild http://blog.ahnlab.com/asec/397 추가 내용 9월 8일 현재는 해당 취약점에 대해 조치가 완료되었습니다.