사회적 이슈를 이용한 SEO 악성코드 유포 주의

금일 북한의 연평도 포사격 공격이 발생하였으며 해당 사건이 아래 그림과 같이 구글 트렌드 검색어 1위에 일정시간동안 랭크되었습니다. 사회적 이슈가 있을 때 이를 악용하여 SEO Attack 기법으로 악성코드를 유포하는 사례가 많으므로 이에 북한 포사격 관련한 검색 시 주의가 요망됩니다. ※ SEO Attack 이란? http://core.ahnlab.com/128 [그림 1] 북한 연평도 포사격 후 구글 트렌드 검색 랭킹 결과 아래 타사 백신 블로그에서 언급한 포스팅은 금번 북한의 포사격 관련한 SEO Attack이 아니며, 남북 관계를 이용한 SEO Attack으로 악성코드가 유포되었던 사례를 바탕으로 주의를 당부하는 글입니다. http://blog.trendmicro.com/cross-border-korean-shelling-leads-to-fakeav/ SEO Attack으로 유포되는 악성코드는 주로 FakeAV (허위백신) 류이며 상기 타사 백신 블로그에서 언급한 SEO Attack 기법으로 유포되는 악성코드도 아래와 같이 'Security Tool'이라는 악성코드를 유포하였습니다. [그림 2] SEO Attack 기법으로 유포된 FakeAV 악성코드 상기 FakeAV 악성코드는 V3엔진에서 Win-Trojan/Agent.1235456.F  진단/치료 가능합니다. ( 엔진버전 : 2010.11.24.00 )

익스플로러 제로데이 취약점을 이용한 악성코드 유포

1. 서론 최근 확인된 인터넷 익스플로러 취약점을 이용한 악성코드 유포가 확인되어 주의가 필요하여 해당 글을 작성합니다. 2. 유포 경로 및 취약점 최근 국내 유명 포탈의 일부 메뉴에 악성 스크립트가 삽입됨을 확인하였습니다. 해당 악성 스크립트를 분석한 결과 기존에 발견된 익스플로러 취약점 (MS10-018)과 가장 최근에 발견된 익스플로러 취약점으로 아직까지 공식패치가 나오지 않는 취약점 (CVE-2010-3962)을 이용하고 있었습니다. [악성코드 유포 URL] http://125.***.6.18/Multi/f/w3.js     L http://125.***.6.18/Multi/f/w3.asp (CVE-2010-0806, MS10-018)         L http://www.*****114.com/cafe/help/box.exe     L http://125.***.6.18/Multi/f/ns.htm         L http://125.***.6.18/Multi/f/test.htm (CVE-2010-3962)             L http://www.*****114.com/cafe/skin/page/mam.exe [표 1] 삽입된 악성코드 유포 URL [그림 1] 최근에 발견된 익스플로러 취약점을 이용한 악성 스크립트 일부 내용 해당 제로데이 취약점에 대한 자세한 내용은 http://blog.ahnlab.com/asec/432 페이지를 참고하시기 바랍니다. 3. 악성코드 감염 시 나타나는 증상  취약점을 통해 악성코드가 실행되면, 자신과 동일한 파일을 랜덤한 이름으로 아래와 같이 생성하며, explorer.exe…

노벨 평화상 초청 메일로 위장한 악성코드 발견

1. 서론 외국에서 아크로뱃 리더의 취약점을 이용한 악성 스펨메일  유포사례가 발견되어 사용자의 주의가 요구됩니다. 참고로 현재까지 안철수연구소로 접수된 피해사례는 없습니다. 2. 감염 시 증상 메일에 첨부된 PDF파일을 실행할 경우 Acrobat PDF 문서의 취약점을 이용하여 Stack Overflow를 발생시켜 내부의 쉘코드를 실행합니다. * 취약점 분석정보 : http://blog.ahnlab.com/asec/399 실행된 쉘코드에 의해서 문서 내부에 존재하는 PE파일을 생성하여 실행합니다. [파일생성] %Temp%A9RA7C6.tmp %Temp%svchost.exe (쉘코드로부터 생성된 실행파일) %Temp%invitation.pdf (정상 PDF) %실행위치%iso88591 (쉘코드내용) %WINDIR%midimap.dll (svchost.exe로부터 생성된 DLL파일) [네트워크접속] svchost.exe로부터 생성된 midimap.dll로부터 외부연결시도 phile.****.org:9000 이후 정상 PDF인 invitation.pdf를 화면에 출력하여 사용자로 하여금 정상 PDF 문서로 인식될 수 있도록 위장합니다. [그림 1] invitation.pdf실행 시 3. 조치방법 해당 악성코드는 V3의 2010.11.09.02부터 PDF/Cve-2010-2883로 진단 및 치료가 가능하므로 만약 감염된 경우에는 V3제품을 최신 엔진으로 업데이트하신 후에 검사 및 치료가 가능합니다. 4. 예방방법 (1) 사용 중인…

“16th 아시안 게임” 관련 문서로 위장한 악성코드 주의!

1. 서론 16회 광저우 아시안 게임 개막을 앞두고 아시안 게임 관련 문서로 (PDF) 위장한 악성코드가 발견되어 사용자들의 주의가 당부됩니다. 2. 감염 시 증상 해당 악성코드의 파일명은 아래 그림과 같이 'The 16th Asian Games[공백].exe' 이며, 마치 폴더인 것처럼 위장하여 사용자로하여금 악성코드 실행을 유도하고 있습니다. [그림1] 아시안 게임 관련 문서로 위장한 악성코드 악성코드가 실행될 때 사용자를 속이기 위해서 아래 그림의 PDF가 위치한 폴더(%CurrentPath%The 16th Asian Games)를 화면에 출력하게 되나 생성된 PDF파일은 손상된 파일로서 사용자를 현혹하기 위한 목적으로 사용됩니다. [그림2] 16회 아시안 게임 관련 문서로 위장한 파일 또한 감염될 경우 아래와  같은 URL로 정상적인 접속을 시도하는 것 처럼 보이나 실제로 두 사이트에 접속해 보면 IIS 서버 구성 페이지만 출력되어 특별히 악의적인 행위를 하고 있다고 판단하기 어렵습니다. 하지만 악성코드가 해당 사이트들로 접속하는 패킷을 분석해 보면 [표1]과 같이 USER-Agent로 감염된 PC이름과 IP를 전송하는 것으로 확인되었습니다. [접속…

‘G20 Issues paper’ 제목의 악성코드 링크된 스팸메일 주의

1. 서론  G20 정상회의 가 얼마남지 않은 시점에, 이러한 사회적 이슈를 이용하는 Social Engineering 기법으로 악성코드를 전파시키는 스팸메일이 발견되어 관련 내용을 공유합니다. 2. 전파 경로  해당 악성코드는 ‘G20 Issues paper’ 라는 제목의 G20 관련 문서가 포함된 메일로 위장하여 전파되며, 메일에 포함된 미국 서버에 존재하는 링크를 클릭시 MS워드문서로 위장된 악성코드가 담긴 압축파일이 다운로드 되게 됩니다. [fig.1] G20을 이용한 악성스팸메일. 출처: Trendmicro 블로그 [fig.2] 접속을 시도하는 시스템에 대한 위치정보 [fig.3] 링크로 전송받는 압축파일 [fig.4] 압축파일 내부에 존재하는 워드문서 위장 악성코드 3. 대응 현황  현재 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능합니다. 엔진버젼: 2010.11.10 Dropper/Agent.77980 Win-Trojan/Downloader.25434.C [fig.5] 해당 악성코드에 대한 V3 제품군 진단명 4. 악성코드 분석  해당 악성코드 내부에는 EXE 파일 및 DOC 문서가 포함되어 있습니다. 따라서 악성코드가 실행이 되면 사용자가 문서파일을 연거처럼 착각을 유도하도록…