Taiwan Earthquake

요즘 세계 이곳저곳에서 지진이 발생하고 있다는 뉴스를 참 많이 접하는 것 같습니다. 거기에 쓰나미까지…  아이티, 칠레에 이어 대만에서도 지진이 발생하여 뉴스에 보도되고 있습니다. 역시나 어김없이 악성코드 제작자들은 이 기회를 놓치지 않고 검색엔진에 악의적인 검색 결과가 상위에 노출되도록 하여 Taiwan Earthquake 로 검색한 사용자가 해당 검색 결과를 클릭하도록 유도를 하고 있습니다. 아래 그림은 Taiwan Earthquake 로 검색한 결과 중 악성코드를 유포하는 사이트로 연결하는 검색 결과입니다. [taiwan earthquake로 검색된 악의적인 검색 결과] 아래 그림은 악성코드를 유포하는 사이트들입니다. 해당 사이트로 연결이 되면 사용자의 컴퓨터를 스캔하는 동작을 위장한 플래쉬화면이 나오게 됩니다. [Fig 1. 악성코드 유포사이트_1] [Fig 3. 악성코드 유포사이트_2] 악성코드 유포 사이트는 사용자의 시스템이 감염되었다는 경고 메세지와 함께 아래 그림처럼 파일을 다운로드 하도록 유도합니다. [Fig 4. 악성코드 다운로드 창] [Fig 5. 다운로드 된 악성코드] 현재…

SEO Poisoning

SEO Poisoning 이라는 새로운 카데고리를 추가하였습니다. 처음 이 카테고리에 글을 쓰는 것이기 때문에 SEO Poisoning은 어떤 것인지에 대한 설명을 드리겠습니다. SEO란 Search Engine Optimization(검색 엔진 최적화) 의 약자입니다.  사용자들이 검색 사이트에서 특정 키워드를 검색한 결과의 페이지를 2~3페이지 정도만 보기 때문에 자신의 블로그나 사이트를 많이 노출시키기 위해 각 검색엔진의 SEO 알고리즘을 알아내면 자신의 블로그나 사이트를 검색 결과 상위에 노출되게 할 수가 있습니다. 악성코드 제작자 입장에서는 악성코드를 배포할 사이트를 SEO 알고리즘을 이용하여 검색 결과 상위에 노출시킴으로써 사용자가 검색 결과를 클릭하여 악성코드 유포 사이트로 연결되게 하는 것입니다. 이 카테고리에서 소개할 내용은 SEO를 이용한 악성코드 유포에 대해 다룰 것이며 아래 그림을 보시면 쉽게 이해가 되실 것입니다.  아래 그림은 이전에 아이티 지진 관련하여 검색 사이트에서 “Haiti earthquake donate“로 검색한 결과 중 악성코드 유포 사이트로 연결되는 검색…

Microsoft Windows “MsgBox()” HLP File Execution Vulnerability

금일 인터넷 익스플로러에 대한 새로운 0-Day 취약점이 발표되어 알려 드립니다. 해당 취약점은 VBScript를 이용하여 Internet Explorer 6, 7, 8의 Windows Help(.hlp)를 호출할 수 있다고 합니다.  이러한 취약점을 이용하여 공격자는 원격지에서 원하는 코드를 실행할 수 있습니다. 게다가 Windows Help 에 대한 오버플로우 취약점 역시 존재 한다고 합니다. 현재 해당 취약점을 이용하여 실제 공격으로 이루어진 사례는 발견되지 않았지만 아래와 같이 웹사이트 방문시 F1키의 입력을 요구한다면 누르지 않도록 주의하기 바랍니다.   그리고 패치가 나오기 전 아래 명령어를 이용하여 winhlp32.exe 파일에 대한 권한을 변경시켜 임시적으로 예방할 수 있습니다. [권한 변경 방법] cacls “%windir%winhlp32.exe” /E /P everyone:N [패치가 나온 후 복구 방법] cacls “%windir%winhlp32.exe” /E /R everyone

A new settings file for the [사용자메일주소] has just be released

악성 파일을 첨부한 스팸메일은 2010년에도 여전히 기승을 부리고 있네요. A new settings file for the [사용자메일주소] has just be released 상기 메일 제목으로 악성파일을 첨부하여 배포되고 있습니다. 메일 내 본문 내용은 아래 회색 박스 안과 같은 내용입니다. 참 그럴 듯하게 작성해 놓았네요. 악성코드를 배포할려면 글을 잘 쓸 필요도 있겠습니다 ^^;;; Dear use of the ahnlab.com mailing service! We are informing you that because of the security upgrade of the mailing service your mailbox [사용자 메일 주소] settings were changed. In order to apply the new set of settings open attached file. Best regards, [사용자 메일 서비스 URL] Technical Support.   첨부된 파일은 settings.zip이며 압축을 푼 모습은 왼쪽 그림과 같습니다. 첨부된 파일은 실행 후 아래와 같이 'XP Guardian'이라는 FakeAV를 실행시켜 허위 진단 및…

Windows 일부 제품의 업데이트 종료

Windows Vista Service Pack 0 와 Windows XP Service Pack 2 의 업데이트 지원이 각각 2010년 4월 13일, 2010년 7월 13일 종료되게 됩니다.    자세한 내용은 아래 링크에 나와 있습니다. http://blogs.technet.com/lifecycle/archive/2010/02/24/end-of-support-for-windows-xp-sp2-and-windows-vista-with-no-service-packs-installed.aspx 그러므로 XP의 경우 SP3, Vista의 경우 SP2를 적용해 주셔야 합니다. http://www.microsoft.com/downloadS/details.aspx?displaylang=ko&FamilyID=68c48dad-bc34-40be-8d85-6bb4f56f5110    ->   Windows XP SP3 다운로드 http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=891ab806-2431-4d00-afa3-99ff6f22448d     ->   Windows Vista SP2 다운로드  Windows 2000 제품의 경우 2010년 7월 13일 부터 더이상의 업데트는 없다고 하네요. Windows 2000 및 Windows 2003에 관련한 자세한 내용은 아래의 링크를 참조해 주세요 http://blogs.technet.com/lifecycle/archive/2010/02/24/end-of-support-for-windows-2000-and-extended-support-phase-transition-for-windows-server-2003.aspx http://support.microsoft.com/ph/1131#tab0