QR 코드를 통해 감염되는 안드로이드 악성코드 발견 Posted By ASEC , 2011년 10월 7일 스마트폰에 대한 사용이 급증함에 따라 기존의 Barcode 기술의 Data 저장용량의 한계로 인해 새롭게 각광받는 것이 QR 코드라는 기술이다. QR 코드는 스마트폰의 카메라(스캔) 기능을 활용하여 그림과 같은 물리적 자료에서 디지털정보, 즉 인터넷 주소 등을 변환해 주는 역할을 함으로서 특히 이벤트나 광고에서 많이 사용되었다. [ 그림. 광고에 사용되는 QR 코드 ] 위키피디아 참고 http://ko.wikipedia.org/wiki/QR_코드 러시아의 특정 웹사이트에서 이와 같이 효과적으로 정보전달을 할 수 있는 매개체인 QR코드가 SMS를 통해 과금을 시키는 스마트폰 악성코드를 유포하는데 활용된 것이 밝혀져 관련 내용을 전한다. 1. 유포 유형 러시아의 특정 웹페이지에서 어플리케이션 홍보형식으로 QRcode 와 주소링크를 통해 유포되었다. 화면 중앙 상단에 안드로이드 어플리케이션을 바로 받을 수 있는 URL과 QRcode 를 스캔할 수 있게 되어있고, 좌측에는 어플리케이션 실행 화면이 나와있다. [ 그림. 악성코드를 유포하는 러시아 웹사이트 ] 2. 악성코드…
MySQL 사이트에 삽입된 악성 스크립트 Posted By ASEC , 2011년 9월 27일 1. 서론금일 새벽에 MySQL 사이트에 악성 스크립트가 삽입되었다는 내용이 확인되어 관련 내용을 작성 합니다.2. 삽입된 악성 스크립트 상세 분석http://www.mysql.com 사이트 접속 시 연결되는 파일 중 한군데에 아래와 같은 내용의 악성 스크립트가 삽입되었습니다. [그림 1] 삽입된 악성 스크립트 삽입된 스크립트는 난독화 되어 있으며 난독화를 해제하면 아래와 같은 코드가 확인이 됩니다. [그림 2] 난독화 스크립트를 풀었을 때 나오는 코드 위 페이지에 접속하게 되면 Adobe Flash, Adobe Reader, Java 등 취약점을 이용하여 악성코드에 감염되게 됩니다.3. 악성코드 감염 시 나타나는 증상해당 악성코드에 감염되면 아래와 같은 파일이 생성되게 됩니다. C:WINDOWSsystem32t5rc.dll C:WINDOWSsystem32imm32.dllC:WINDOWSsystem32version.dllC:Documents and Settings사용자명Local SettingsTempxth1A.tmp.exe 단, V3…
온라인 게임 사용자의 계정정보를 탈취하는 Bootkit Posted By ASEC , 2011년 9월 27일 Bootkit이란? Bootkit은 감염된 PC의 MBR(Master Boot Record, PC가 부팅하는데 필요한 정보들이 저장된 물리적인 하드 디스크 영역, 512 바이트)을 조작하여 감염된 PC가 부팅 시 다른 악성코드를 생성하도록 해둔 악성코드를 의미한다. Bootkit 분석정보 이번에 국내 침해 사이트를 통해서 유포되었던 Bootkit의 구조는 아래와 같다. [그림 1] Bootkit 악성코드 구조 Bootkit은 감염된 PC의 MBR영역을 조작하여 백신에서 악성코드를 치료하더라도 부팅 시마다 계속 악성코드를 생성하도록 해두었다. 아래 [그림 2]참조 [그림 2] Bootkit 악성코드 실행구조 감염된 PC의 원본 MBR 영역을 암호화하는 과정을 살펴보면 아래와 같다. > 원본 MBR 암호화 작업 00401767 |> /8A0C18 /mov cl, byte ptr [eax+ebx] ; [eax+ebx]부터 1바이트씩 복사 0040176A |. |80F1 9C |xor cl, 9C ; 9C = 암호화 키 0040176D |. |880C18…
정보 수집 및 즐겨찾기를 변경하는 Android 악성 앱 站点之家 Posted By ASEC , 2011년 9월 20일 1. 站点之家 정보 수집 및 즐겨찾기를 변경하는 안드로이드 악성 어플리케이션이 중국에서 발견 되었다. 2. Android-Trojan/ROMZhanDian 알아보기 – 앱 아이콘 / 필요 권한 정보 [그림] 패키지명 / 권한 정보 – 설치 후 변경 사항 [그림] 설치시 생성된 아이콘 / 바로가기 [그림] 앱 실행 화면 / 추가된 즐겨찾기 – 앱 설치시 필요한 권한 및 설치가능 버전 정보 Android 1.5 이상에서 설치되며, 부팅시 시작되도록 설정되어 있다. [그림] Manifest 정보 – 운영 체제, IMEI/IMSI 번호, shop_id, 모델, APP 이름 등, 수집을 시도한다. [그림] 정보 수집 관련 일부 코드 3. 스마트폰 사용시 주의 사항 ! – 최신의 OS 버전과 V3 모바일을 사용 한다. 1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다. 2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저…
MBR (Master Boot Record) 을 감염시키는 온라인 게임핵 악성코드 발견 Posted By ASEC , 2011년 9월 16일 1. 서론 최근 국내에 MBR (Master Boot Record) 을 감염시키는 악성코드가 발견되어 해당 글을 작성합니다.2. 악성코드 분석 해당 악성코드에 감염되게 되면 아래와 같이 MBR (Master Boot Record) 이 변조되게 됩니다. 이로 인해 변조된 MBR 복구해주지 않으면 시스템이 재부팅 될때마다 악성코드가 계속해서 재감염 됩니다. [그림 1] 변경되기 전 MBR (Master Boot Record) [그림 2] 변경 된 후 MBR (Master Boot Record) 추가로 악성코드가 MBR을 변조할 때 원본을 다른 섹터 영역에 암호화 하여 백업을 해둡니다. 따라서 수동으로 복원할 경우 암호화 된 백업본을 복호화 하여 복원을 하면 되나 이는 일반 사용자가 하기에는 무리가 있습니다. 3. 감염 시 나타나는 증상 해당 악성코드는 온라인 게임계정을 탈취하는 악성코드로 감염 시 아래와 같은 증상이 발생하게 됩니다.1) AV 실행 불가 및 실행 시 엑세스 거부 메시지가 발생주로 V3 제품 및 기타…
