파일공유 사이트를 통해 전파된 온라인게임핵 악성코드

1. 개요 최근 파일공유 사이트에 악성코드를 다운로드 하는 악성스크립트가 삽입되어 다수의 사용자가 악성코드에 감염되게 되었습니다. 삽입된 악성 스크립트에 대해 어떤 취약점을 이용하며, 악성코드에 감염될 경우 어떤 증상이 발생하며 그 조치방법에 대해 안내하고자 작성을 합니다. 2. 악성코드 유포 방법 최근 몇몇 파일공유 사이트에 악성코드를 다운로드 하는 악성 스크립트가 삽입되었습니다. 따라서 이번 주말을 비롯하여 평일에 다수의 사용자가 악성 스크립트가 삽입된 해당 사이트에 방문을 하였고 악성코드에 감염되게 되었습니다. [그림 1] 안철수연구소 보안통계의 악성코드 배포 URL 통계자료 해당 악성코드는 MS10-018 취약점을 이용하여 EXE 파일을 다운로드 후 실행을 하게 됩니다. [그림 2] 사이트에 삽입된 MS10-018 취약점을 이용하는 악성 스크립트 일부 3. 악성코드 감염 증상 해당 악성코드는 imm32.dll 파일을 변조시켜 게임 계정을 탈취하는 기능을 가진 악성코드 입니다. 해당 악성코드에 감염되면 운영체제에서 사용되는 정상파일인 imm32.dll 파일(108kb)을 imm32.dll.log나 imm32.dll.bak로 백업시킨 후…

경찰청을 사칭한 악성스팸메일 주의! “대구경찰청, 사이버수사대 (참고인 출석요구서)”

1. 서론 금일 오전 10시경을 기점으로 “대구경찰청, 사이버수사대 (참고인 출석요구서)” 라는 제목의 사기성 스팸메일이 확산되어 주의가 요구됩니다. 악성코드의 링크가 포함된 이 스팸메일은, 마치 자신이 경찰청 직원인 것처럼 메일내용을 꾸며내어 메일 수신자가  악성코드를 다운받아 실행하게끔 유도하고 있습니다. 2. 대응 현황 관련된 아래의 악성파일들은 V3엔진에서 아래와 같이 진단가능하오니, 의심메일을 받으신분들은 V3 수동검사를 통해 PC를 점검해주시기 바랍니다. V3(2010.11.03.05) : Win-Trojan/Sparats.593498 V3(2010.11.03.06) : Win-Trojan/Downloader.551936.B V3(2010.11.03.06) : Win-Trojan/Clicker.582656 3. 감염증상 및 분석정보 위 메일에 첨부된 악성코드는 실행시 c:program fileswmidisplay 하위 폴더에 아래의 파일들을 생성합니다. svcup.exe wmidisplay.exe 또한 Run 레지스트리에 키를 등록하여 윈도우 부트시점에 악성코드가 자동으로 실행되도록 설정합니다. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 이름 : wmidisp 데이터 : C:Program Fileswmidisplaysvcup.exe 홍콩으로 추정되는 지역의 아래의 URL에 접근하며, 악성코드 자신의 버젼을 체크하고, 광고창에 접근하는 주기를 체크하는 기능이 포함되어 있는 것으로 추정됩니다. http://www.w****8.com/***/ins.asp?m=i http://www.w****8.com/****/adver/update.txt http://www.w****8.com/***/set.txt // set.txt 내용 display=0…

‘야마꼬!’ 키보드를 누르면 특정 소리가 들린다?

1. 서론 키보드의 특정 키를 누르면 해당 키에 따라 특정 소리가 나는 조커(컴퓨터에 자체에 크게 나쁜 영향을 주지는 않지만 사용자를 놀라게 하는 악성 프로그램들을 말한다.)류의 악성코드에 대해서 알려드립니다. * 조커(Joker)란 무엇인지 아래 URL에 자세한 정보가 있으니 참조해 주시기 바랍니다. http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=13338 2. 감염 시 증상 아래 그림은 한 포털 사이트 Q&A에 작성된 질문입니다.       [그림 1] 한 포털 사이트 Q&A 페이지에 등록된 질문 해당 악성코드에 감염 시 나타나는 대표적인 증상은 특정 키 ( 스페이스 바, 엔터 키 등) 를 누르게 되면 그에 해당하는 특정 소리가 들리게 됩니다. 스페이스 바 : “야마꼬” 엔터 키 : “아하하하” 그 외 Tab, Delete 키 등 [표 1] 키보드 키에 따른 소리 또한 모니터링 툴 및 작업관리자, 레지스트리 편집기 등의 실행을 방해하여 동작하지 못하게 하는 기능도…

실행파일을 감염시키는 Win32/Parite 바이러스 피해확산

2001.10.01 일 최초로 발견되어, 현재까지 하루평균 8천건 정도의 피해건수가 접수되는 파일감염형 바이러스인 Win32/Parite의 피해건수가 10월 15일을 기점으로 폭발적으로 증가 하였습니다. 국내의 특정광고 목적 프로그램의 업데이트 파일이 악성코드에 감염된 채로 다운로드되어져 발생한 사고로 파악되고 있으며, 해당 감염파일유포가 중단된 후, Win32/Parite 의 피해규모는 현재까지 감소세를 보이고 있습니다.     Win32/Parite 는 Trojan 악성코드와 달리, 지속적으로 다른 실행파일들을 감염시키는 virus 류의 악성코드로서 전파능력이 매우 큰 것이 특징입니다. 만일 Parite 가 실행되면 아래와 같이 %temp% 폴더에 랜덤명.tmp 파일을 Drop하고 Explorer.exe 에 인젝션되어 동작하며 주기적으로 실행파일들을 찾아 감염시킵니다. Win32/Parite 에 감염된 파일은, 기존 정상파일 마지막에 3자리 랜덤색션이 추가되고 파일크기가 약 3배정도 증가하는 특징이 있습니다. ㅁ 치료 및 예방방법 -. Win32/Parite 는 V3 엔진에 치료기능이 적용되어 있으므로, V3 의 수동검사를 통하여 치료하시기 바랍니다. -. V3의 '실시간 검사' 를 설정하여 추가 감염을 막을 수 있습니다. -. 용도를 알 수 없는 프로그램은…

안드로이드 동영상 플레이어 앱을 위장한 악성 앱 주의요망

1. 서론 성인 동영상 플레이어를 위장하여 특정번호로 SMS 메시지가 전송되어 요금을 과금시키는 안드로이드 악성 어플리케이션(App)이 발견되어 관련 내용을 공유해 드립니다.2. 악성코드 정보 해당 악성 어플리케이션은 2010년 8월 10일 최초 발견되었으며 그 이후 계속해서 변형이 발견되었습니다.  발견 일시  8월 10일  9월 9일  10월 12일  아이콘  어플리케이션 명  MoviePlayer  PornoPlayer  PornoPlayer [표 1] 성인 동영상 플레이어를 위장한 악성 어플리케이션 [그림1] 안드로이드 폰에 설치된 PornoPlayer 어플리케이션 어플리케이션 내부에 아래와 같은 코드가 존재하여 어플리케이션이 설치되면 특정 번호로 SMS 메시지를 보내 요금을 과금시키는 특징이 있습니다.   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “846978”, 0, 0);    * '7132' 번호로 “846978” 이라는 문자메시지를 발송.       아래의 코드들은 전달되는 텍스트만 다를 뿐 동일함.   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “845784”, 0, 0);   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “846996”, 0, 0);   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “844858”,…