미분류

4월 2일자로 발송된 악성 파일을 첨부한 스팸메일이 확인되어 알려드립니다. 3개의 악성스팸메일이 확인되었는데 두 개는 우리의 단골 손님 DHL을 가장한 악성스팸메일입니다. DHL Services. Get your parcel NR.9195DHL Express. Please get your parcel NR.8524 DHL을 위장한 메일 외 아래와 같은 악성스팸메일이 유포되고 있습니다. YOUR TEXT 악성스팸메일들의 제목 및 본문 등 자세한 내용은

많은 분들이 소셜 네트워크를 사용하고 있습니다. 국내에서는 싸*월드, 아이러브*쿨 등 해외에서는 Twitter, FaceBook 등등을 많이 사용하고 있는데 이러한 소셜 네트워크를 이용하여 피싱 뿐만 아니라 악성코드가 많이 배포되고 있어서 이번 글을 포스팅하게 되었습니다. 필자도 가끔식 Twitter에 트위트 메세지를 남기고 있습니다. 자주 들어가지는 않지만 조금 전에 잠시 들어갔다가 자극적인 트위트 메세지를 발견하였습니다.

안녕하세요! 오늘 알아 볼 tool은 Process Explorer입니다! ^^ 이 프로그램은 Windows 운영체제에 대해 매우 해박한 지식을 갖고 계시기로 매우 유명한 분이죠?  sysinternals(현재는 Microsoft사에 인수됨)의 Mark Russinovich씨가 만든 tool로서 최고의 프로세스 관리 유틸리티라 생각됩니다! (사담이이지만, 저희 ASEC 대응팀원중 한분은 이분을 굉장히 존경하십니다.^^;) 이상 간략한 제작자에 대한 소개는 접고 바로 tool 소개를 하도록 하겠습니다! Process Explorer는 앞서 말씀드린바와

네트워크 패킷 분석에 있어 강력한 기능을 제공하는 WireShark! 오늘은 이 녀석에 대해 알아보는 시간을 갖도록 하겠습니다. 하지만 WireShark로 다룰수 있는 범위도 넓고 내용 또한 많아서 한번에 모든 부분을 다룬다는것은 무리(?)라고 생각됩니다. 그래서 일단! WireShark에 대한 이해를 돕는 시간을 갖도록 하겠습니다.^^ 먼저 아래는 WireShark의 공식 사이트 이며 링크된 사이트에서 프로그램을 다운받을 수 있습니다.

얼마전 인터넷 익스플로러에 대한 취약점(981374, CVE-2010-0806)이 권고되었습니다. 해당 취약점은 현재 MS에서 공식 패치를 내놓지 않은 상태이며 임시적으로 DEP를 활성화 하거나 인터넷 익스플로러 8 버전 사용을 권장하고 있었습니다. [해당 취약점에 대한 자세한 내용 링크] 다수의 Zeroday 취약점 권고! : http://core.ahnlab.com/132 인터넷 익스플로러 제로 데이 악용 타켓 공격 상세 분석 : http://blog.ahnlab.com/asec/271

봄의 문턱에서 알아 볼 오늘의 tool은 WinDiff입니다. ^^ WinDiff는 두 파일의 텍스트를 비교해 주는 tool로서 microsoft사에서 만들었으며 무료로 다운로드 받을 수 있습니다. 이제 tool 사용법에 대해 알아보겠습니다! 아래는 WinDiff의 실행과 관련된 파일들입니다. 1.   File(파일) -> Compare Files… [ 비교할 파일을 선택하는 메뉴입니다. ] 2.   비교할 두 파일을 차례대로 선택합니다.      [ 비교 파일은

FakeAV (허위백신 혹은 가짜백신)을 첨부한 악성 스팸메일이 유포되고 있어 사용자 분들의 주의가 요망됩니다. 수신된 악성 스팸메일은 아래 그림과 같이 악성 첨부 파일 'Contract.zip' 을 첨부하고 있으며 첨부된 압축 파일을 다운로드하도록 유도하는 내용이 기재되어 있습니다. 첨부된 악성 파일을 다운로드하여 실행하면 아래와 같이 'XP Security' 라는 FakeAV가 실행되게 됩니다. 첨부된 악성 파일은

Andre Pitre는 미국 Actor 입니다. 그가 갑자기 검색 키워드 상위에 랭크가 된 이유를 아시나요?? 바로 그가 데뷔로 발표한 'Your Name' 이라는 노래 때문이라네요 그의 노래를 감상하실 분들은 아래 링크를 눌러주세요~~^^ Andre Pitre -Your Name 역시나 이 기회를 악성코드 유포자는 놓치지를 않았군요 ^^ 아래 Andre Pitre 키워드로 검색한 결과 중 악성코드

오늘은 가상머신(Virtual Machine)인 VMware에 WinDBG를 붙여 커널 디버깅을 해보겠습니다! WinDBG는 Microsoft사에서 제공하는 디버깅 tool로서 http://www.microsoft.com/whdc/devtools/debugging/installx86.Mspx 에서 무료로 다운 받을 수 있습니다. 본격적인 작업에 앞서 디버거(debugger)의 종류에 대해 잠깐 살펴볼까요! ^^ 디버거의 종류는 크게 유저모드(user mode) 디버거와 커널모드(kernel mode) 디버거로 나눌수 있습니다. 이해를 돕기 위해 인텔 아키텍쳐(Intel Architecture)로 설명드리겠습니다. 다들 이해되셨나요? 다시 한번 간단히 말씀드리면 “WinDBG는 커널 접근이

오늘은 기존에 했던 메뉴얼 언패킹이 아닌 다소 쉬운 방법으로 tool을 사용한 언패킹(unpacking)을 해보도록 하겠습니다.  그전에 패커(Packer)에 대해 다시 한번 간단히 정리 해볼까요! 패킹(packing)은 실행파일 포장이라는 개념으로 쉽게 이해하시면 될 것 같습니다. 아래 그림은 파일이 패킹되어 메모리에 올라가는 일괄의 과정을 표현한 것으로서 패킹된 파일은 메모리 할당시 재배치(Relocation) 과정을 하지 않기 위해 target 프로그램과 동일한 위치에 .txt 섹션을 배치 합니다.  Uninitialized