한국어로 표기된 사이버 범죄 경고 랜섬웨어 유포 Posted By ASEC , 2011년 10월 27일 2011년 3월 11일 해외에서 취약한 웹 사이트들을 악용하여 컴퓨터 사용자들의 정상적인 사용을 방해해 금전적인 이득을 취하는 랜섬웨어(Ransomware)가 유포되었다. 이 번에 유포된 랜섬웨어는 기존에 알려진 랜섬웨어들과 다르게 감염된 시스템의 사용자들에게 경찰에서 경고하는 메시지로 위장하여 사용자의 시스템에서 음란 동영상들과 불법 소프트웨어들이 발견되었음으로 하루가 지나면 해당 증거물들을 사법기관에 전송하겠다는 문구들을 보여주고 있다. 최근에 발견된 랜섬웨어들의 사례를 살펴보면 2010년 12월 2일에는 파일들을 암호화하는 사례와 2010년 12월 3일에는 하디 디스크의 MBR을 덮어쓰는 사례가 발견 되었다. 해당 사례들 대부분은 정상적인 시스템 사용을 방해하고 이를 해결하기 위해서는 금전적인 댓가를 지불하라는 메시지를 전달 하지만 이 번에 발견된 랜섬웨어의 경우에는 사이버 범죄 증거물들이 발견되었다는 것으로 사용자의 불안감을 유발하여 금전적인 댓가를 취하려는 점이 특이한 사례로 볼 수 있다. 해당 랜섬웨어는 취약한 웹 페이지들을 통해 유포 중에 있으며 해당 웹 페이지에 접속하는…
[안랩 긴급공지] 3.4 DDos 공격 악성코드 긴급 예방 조치 방법 Posted By ASEC , 2011년 10월 27일 안철수연구소입니다. 2011년 3월 3일부터 국내 웹사이트를 겨냥한 DDoS 공격 및 감염PC의 시스템 손상을 일으키는 악성코드가 발견 되었습니다. 악성코드는 사용자 PC에 존재하는 문서파일 등 주요파일을 손상시킨 후 부팅에 관여하는 하드디스크 MBR(마스터 부트 레코드) 정보를 파괴하여 PC를 부팅불가 및 데이터복구 불가 상태로 만듭니다. 이에 아래 조치 가이드를 활용하여 즉시 예방조치 하실 것을 권해 드립니다. (본 문서는 Windows 2000/XP/Vista/7/2003/2008 OS에 모두 해당됩니다.) 1. 현재 사용 중인(전원이 켜있는) 컴퓨터의 예방조치 방법 A. 안철수연구소의 전용백신 다운로드 후 검사 2. 현재 사용 중이지 않은(전원이 꺼진) 컴퓨터의 예방조치 방법 A. 안전모드로 부팅 B. 안철수연구소의 전용백신 다운로드 후 검사 전용백신 다운로드 받기 1. 부팅 전 PC에서 랜선을 분리한다. (안전모드 접근불가 경우에 대비한 조치임) 2. PC를 안전모드(네트워킹 사용)로 부팅 안전모드 부팅하는 방법은 PC 부팅한 후 F8 키를 연속적으로(0.5초 간격으로…
V3 실행 여부에 따른 imm32.dll 패치 방식의 변화 Posted By ASEC , 2011년 10월 27일 몇 년 전부터 인터넷에 존재하는 취약한 웹 사이트들을 악용하여 온라인 게임의 사용자 정보를 유출하는 악성코드들이 다수 유포되기 시작하였다. 과거에는 단순하게 사용자의 키보드 입력이나 웹 페이지 입력 정보들만을 가로채어 인터넷에 존재하는 특정 시스템으로 전송하는 트로이목마 형태였다. 그러나 최근에는 윈도우 시스템에 존재하는 정상 시스템 파일들의 특정 부분을 악성코드를 실행시키는 코드로 변경하는 패치(Patch) 형태로 유포되고 있다. 최근 발견된 온라인 게임 관련 악성코드들을 분석하는 과정에서 V3의 설치 및 실행 여부에 따라서 윈도우 시스템 파일 중 하나인 imm32.dll 에 대한 패치 방식이 달라지는 것으로 분석 되었다. 해당 윈도우 시스템 파일인 imm32.dll 파일을 패치하는 악성코드는 먼저 감염된 시스템에서 V3 관련 프로세스가 실행 중인 것을 아래 이미지와 같이 확인한다. 그리고 정상 윈도우 시스템 파일인 imm32.dll의 파일명을 imm32A.dll로 변경 한 이후에 자신의 코드 전체를 덮어 쓰게 된다. 해당…
글로벌 에너지 업체를 대상으로한 나이트 드래곤 보안 위협 Posted By ASEC , 2011년 10월 27일 해외 시각으로 2011년 2월 10일 미국의 월스트리트 저널(The Wall Street Journal)의 기사 “Oil Firms Hit by Hackers From China, Report Says” 를 통해 글로벌 에너지 업체들을 대상으로한 악성코드를 이용한 보안 위협이 발생한 것이 공개 되었다. 해당 보안 위협은 미국 보안 업체 맥아피(McAfee)에의해 발견되었으며 나이트 드래곤(Night Dragon)으로 명명되었다. 이번에 알려진 나이트 드래곤 보안 위협은 2009년 11월 무렵부터 최소 1년 넘게 조직적으로 카자흐스탄, 그리스, 대만과 미국에 위치한 글로벌 오일, 가스 및 석유 화학 제품 업체들을 대상으로 진행된 APT (Advanced Persistent Threat) 형태의 보안 위협으로 알려져 있다. APT 형태의 보안 위협은 2010년 원자력 시스템을 대상으로 공격한 스턱스넷(Stuxnet) 악성코드 위협을 대표적인 사례로 들고 있다. 나이트 드래곤 보안 위협은 웹 서버 해킹, 악성코드 제작 및 유포 그리고 다양한 시스템 해킹 툴 들이 사용되었으며 맥아피에서 공개한…
페이스북 담벼락 게시물로 악성코드 유포 Posted By ASEC , 2011년 10월 27일 2011년 2월 11일 금일 오전 유명 소셜 네트워크 서비스(Social Network Service)인 페이스북(Facebook)을 사용하는 일부 국내 사용자들 사이에서 악성코드를 다운로드하도록 유도하는 웹 사이트 링크가 포함된 담벼락 게시물이 자동으로 유포되기 시작하였다. 이 번 페이스북 담벼락으로 유포된 악성코드는 2009년 11월 발견되었던 구글 리더의 유튜브 동영상으로 위장한 Koobface 웜과 동일한 사례이며 웹 페이지 내용만 다른 것으로 변경되었다. 금일 국내 페이스북 사용자들 사이에 유포되었던 담벼락 게시물은 아래 이미지와 같이 페이스북으로 연결되어 있는 모든 친구들이 볼 수 있도록 되어 있으며 구글 문서도구 웹 사이트 연결하는 링크로 되어 있다. 해당 페이스북 담벼락 게시물에 포함된 웹 사이트 링크를 클릭하게 되면 아래 이미지와 동일한 웹 사이트로 재연결하도록 구성되어 있다. 해당 웹 페이지에서는 몰래 카메라를 보여주는 동영상 웹 페이지로 위장하고 있으며 어도비 플래쉬 플레이어(Adobe Flash Player)가 구버전으로 동영상이 정상적으로 플레이…
