악성코드 정보

Autoruns 사용법! – Series (1)

안녕하세요! 오늘도 여러분들의 궁금증 해결에 조금이나마 도움을 드리고자 게시물을 올립니다.^^ 자, 준비되셨나요~? 이번에 알아볼 tool은 Autoruns 입니다! 악성코드 분석 시 시스템 구성 유틸리티에서 시작 프로그램 부분을 확인 하는데요, 윈도우에서 제공하는 기본적인 기능만으로  시작 프로그램에 대한 자세한 정보를 알아보는 데는 한계가 있습니다. 그래서 이용하는 tool이 바로 Autoruns 입니다! Autoruns는 Microsoft 사에서 무료로 배포하고 있으며 아래 링크에서 다운 받을 수 있습니다.   ▶ 다운로드 더보기 접기 http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx 접기

You have received an eCard 악성코드 스팸메일 주의!

eCard, christmas card 등등.. 이제 이런 스팸메일들은 제목만 봐도 느낌이 오실거라 생각합니다^^; 이번에 소개드리는 악성코드 유포 스팸메일은 본문에 포함된 링크를 통해 악성코드를 다운받게끔 유도하므로, 메일에 포함된 링크는 절대 클릭하지 마세요! 아래는 메일의 내용입니다. 메일 제목 You have received an eCard  본문 내용 Good day. You have received an eCard To pick up your eCard, click on the following link (or copy & paste it into your web browser): http://micro.[삭제].com/ecard.zip Your card will be aviailable for pick-up beginning for the next 30 days. Please be sure to view your eCard before the days are up! We hope you enjoy you eCard. Thank You 링크를 통해 받은 파일의 압축을 해제하면 ecard.exe 가 나옵니다. 이번에도 ini 파일 아이콘으로 위장했네요. 위 파일은 V3에서 Win-Trojan/Agent.145920.AE(V3,…

Please attention! – DHL 메일로 위장한 스팸메일 주의!

악성코드를 퍼뜨리는 스팸메일의 대명사, DHL 이 다시 등장했습니다. 이번 스팸메일에 사용된 제목은 Please attention!  입니다. 아래의 메일 본문을 확인해보시고 비슷한 유형의 메일 첨부파일은 절대로 실행하지 마세요! Dear customer! The courier company was not able to deliver your parcel by your address. Cause: Error in shipping address. You may pickup the parcel at our post office personaly. Please attention! The shipping label is attached to this e-mail. Print this label to get this package at our post office. Please do not reply to this e-mail, it is an unmonitored mailbox! Thank you, DHL Delivery Services. 첨부된 압축파일을 해제하면 아래의 파일이 나옵니다.   이번에는 ini 파일 아이콘으로 위장하여 실행을 유도하고 있습니다. 위 스팸메일의 첨부파일은 V3에서 Win-Trojan/Downloader.135680.U 로 진단가능합니다.     항상 아래와…

쉿! 묻지마 Active X 설치는 금물…

1. D***CafeOn.dll 프롤로그   2010년 4월 초에 D사의 BGM Player로 위장하여 키로거(Keylogger)를 설치하는 악성 Active X가 발견된 이후로 최근에는 D사의 CafeOn으로 위장하여 키로거(Keylogger)를 다운로드하는 악성 Active X가 유포되었고 앞으로도 사회공학기법(Social Engineering)기법을 사용한 이런 유형의 악성코드 유포가 증가될 것으로 보이므로 사용자들의 각별한 주의가 필요하다. 2. D***CafeOn.dll 상세분석   (1) File Description분석     사용자가 무심코 악성 Active X를 클릭하여 설치할 경우 %WINDIR%Downloaded Program FilesD***CafeOn.dll로   파일이 생성 되는데, 여기서 한가지 문제는 %WINDIR%Downloaded Program FilesD***CafeOn.dll의 등록정보를 보면 알 수가 있다. 보통 악성코드는 File Description이 없는 경우가 대부분이고 있다 하더라도 Microsoft사의 등록정보를 그대로 이용하는 경우가 많지만 D***CafeOn.dll는 File Description뿐만 아니라 완벽하지 않지만 디지털 서명정보도 가지고 있었다. 이렇게 되면 해당 파일을 자세히 보지 않는 이상 일반 사용자들은 정상파일로 생각하기 쉽다.       [그림 1] D사의 디지털 서명을 위장한…

패킷 뜯어 보기! – WireShark편

안녕하세요! 오늘은 “ 패킷 뜯어보기!” 시간입니다! 와이어샤크(wireshark)를 이용하여 네트워크를 흘러 다니는 패킷(packet)이란 녀석을 분석하는 것이지요! 이전에도 언급했듯이 와이어샤크는 네트워크의 패킷을 분석하는데 있어 아주 강력한 툴(tool)입니다. 하지만 패킷과 와이어샤크의 기능에 대한 이해가 없다면 그 강력한 기능도 무용지물일 것입니다. 그래서! 이 글에서는 패킷의 이해도를 높이고 보다 기능적으로  와이어샤크를 사용하기 위한 배움의 시간을 갖고자합니다.  그럼 슬슬 패킷이란 녀석을 뜯어 볼까요? 네트워크와 패킷에 관한 설명에는 늘 빠지지 않고 등장하는 것이 있는데요, 바로 OSI 7 layer와 각 레이어(layer) 별 프로토콜에 대한 설명입니다. OSI 모델(Open Systems Interconnection Reference Model)은 국제표준화기구(ISO)에서 개발한 모델로, 컴퓨터 네트워크 프로토콜 디자인과 통신을 계층으로 나누어 설명한 것입니다. 일반적으로 OSI 7 계층 모델이라 불리기도 합니다.  위 그림을 참고로 하여 각 레이어별 기능과 통신 프로토콜에 대해 간단히 아래 표로 설명 드리겠습니다.   어떤가요? 네트워크에 대한 어느…