구글 뉴스그룹을 이용한 악성코드 조정 Posted By ASEC , 2011년 10월 24일 2008년 9월 11일 시만텍(Symantec)에서 유명한 검색 엔진인 구글(Google)의 그룹(Group) 서비스를 이용하여 특정 명령을 수신하는 악성코드가 발견되었다는 보고가 있었다. 시만텍의 보고가 있은 후 외국 언론을 통해 해당 악성코드가 보도 되었으며 맥아피(McAfee)에서도 관련 정보를 공개하고 있다. 이러한 소셜 네트워크 서비스(Social Network Service)를 이용하여 악성코드를 조정한 형태는 2009년 8월 14일 트위터(Twitter)의 RSS 서비스를 이용한 사례가 있었다. 이 번에 발견된 Grups 트로이목마는 DLL 파일로 비주얼(Visual) C++ MFC(Microsoft Foundation Class library)로 제작되었으며 실행 압축은 되어 있지 않다. 그리고 Rundll32.exe 를 이용해 자신을 실행 하도록 되어 있다. 해당 악성코드는 중국에서 제작된 것으로 추정되는 특정 뉴스그룹(Newsgroup)에 접속하여 해당 그룹에서 게시한 RC4 스트림으로 암호화 한후 Base64로 인코딩 한 게시물을 읽어들여 공격자가 지정한 특정 명령을 수신하여 실행 하도록 되어 있다고 한다. 시만텍에서 해당 악성코드를 분석 할 당시에는 대만 지역…
뉴욕타임스를 통해 배포된 허위백신 프로그램 Posted By ASEC , 2011년 10월 24일 2009년 9월 둘째 주말 뉴욕타임스 뉴스리더를 통해 허위 백신 프로그램 광고가 떴다. 공격자는 웹사이트를 해킹해 광고를 삽입한 것으로 보인다. '당신의 컴퓨터가 악성코드에 감염되었다'라는 전형적인 허위 내용을 보여주고 사용자들이 프로그램을 다운로드 하도록하는 것이다. 해당 프로그램은 악성코드 진단 및 치료 능력은 거의 없는 허위 백신 프로그램으로 알려졌으며 사용자에게 결제를 요구한다고 한다. 뉴욕타임스는 주의하라는 공지를 했다. 뉴욕 타임스의 명성을 이용해 돈을 벌기위해 홈페이지를 해킹한 것으로 보인다. 이와 관련한 사항들은 아래 글들을 참고 하기 바란다. 뉴욕타임스 웹사이트 해킹 굴욕 (ZDNet, 2009년 9월 14일) Fake anti-virus attack hits New York Times website readers
911테러와 허위 안티 바이러스 소프트웨어 Posted By ASEC , 2011년 10월 24일 2009년 9월 11일은 이슬람 무장 테러 단체인 알 카에다의 테러리스트들에 의해 납치된 4기의 여객기가 미국 뉴욕의 세계 무역 센터와 워싱턴의 미국 국방부 청사인 펜타곤에 자살 충돌한 사건이 발생하였다. 해당 사건으로 인해 수많은 인명 피해가 발생하였던 큰 사고 였으며 현재도 복구 공사가 뉴욕에서 진행되고 있으며 많은 사람들이 애도하고 있다. 9월 11일 테러가 발생한지 8년이 지난 2009년 9월 11일에는 사회 공학 기법을 악용하여 허위 안티 바이러스 소프트웨어를 설치하고자 하는 사례가 발견되었으며 해당 보안 위협에 대해서 맥아피(McAfee)와 트렌드마이크로(TrendMicro)에서도 관련 정보를 공개하고 있다. 트렌드마이크로에서 공개한 정보에 따르면 해당 허위 안티 바이러스 소프트웨어는 구글(Google) 검색 엔진 웹 사이트에서 911과 같은 검색을 통해서 악의적인 웹 사이트 링크를 제공해 허위 안티 바이러스프트웨어 설치 파일인 Scanner-7c545a_2031.exe을 다운로드 한 후 실행하게 된다고 한다. 해당 파일이 실행되면 맥아피에서 공개한 아래…
개인 신용 카드 정보 매매 사례 발견 Posted By ASEC , 2011년 10월 24일 몇 년 전부터 보안 업계에서는 감당하기 어려울 정도로 급격한 악성코드의 증가세를 목격 할 수 있었으며 이러한 악성코드의 증가세는 곧 컴퓨터 시스템에 존재하는 사용자의 개인 정보 등을 금전으로 거래 하기 위해서임을 사이버 블랙 마켓(Cyber Black Market)에서 확인
허위 세금 고지 메일로 위장한 Zbot 변형 발견 Posted By ASEC , 2011년 10월 24일 2009년 9월 10일 새벽 2시경 해외에서 허위 세금 고지 메일로 위장하여 악성코드를 다운로드 하도록 유도하는 전자 메일이 유포되었다. 이 번에 유포된 허위 세금 고지 메일은 다음과 같은 전자 메일 형식을 가지고 있으나 기존 유포되었던 허위 운송 메일로 위장한 Bredolab 변형과는 다른 형태를 가지고 있다. * 메일 제목 Notice of Underreported Income * 메일 본문 Please review your tax statement on Internal Revenue Service (IRS) website review tax statement for taxpayer id: info-00000174073547US Internal Revenue Service 위 전자 메일 형식에서와 같이 악성코드가 압축 파일 형태로 첨부되어 있지 않으며 허위로 제작된 세금 고지 웹 사이트로 연결되도록 링크만 제공하고 있다. 해당 전자 메일에서 제공하는 웹 사이트 링크를 클릭하게 될 경우 아래 이미지와 같은 미국에 존재하는 웹 사이트로 연결 되나 현재 해당 웹 사이트는…
