안드로이드폰 월페이퍼(배경화면) 앱에 포함된 사용자 개인정보 유출기능 주의요망 Posted By ASEC , 2010년 8월 5일 1. 서론 요즘 최고의 히트상품은 뭐니뭐니 해도 스마트폰 일 것 입니다.최근 안드로이드폰 월페이퍼 어플리케이션(App)에 포함된 사용자 개인정보 유출기능이 확인되어 주의가 요망되기에 내용을 포스팅 합니다. 2. 악성코드 정보 이번에 이슈가 되고 있는 악성 어플리케이션은 정상적인 월페이퍼 어플리케이션 내부에 사용자정보를 수집하고, 네트워크로 전달하는 기능이 들어 있습니다. 이렇게 정보가 수집되고 전달되는 부분에 대해서는 지속적으로 고민하고, 논의하여 현재의 스마트폰 환경에 적합한 기준을 수립할 예정입니다. 아래 화면은 실제 해당 악성 어플리케이션을 실행한 화면 입니다. [그림] 이번에 이슈가 되고 있는 악성 어플리케이션 3. 대응 현황 V3 Mobile에서는 앱의 구동과는 무관해 보이는 사용자 개인정보가 네트워크를 통해 유출되는 부분에 문제제기를 하였고, 그 일환으로 아래와 같이 Android-Spyware/EWalls 진단명으로 진단하게 되었습니다. 아래 화면은 V3 Mobile을 통해 발견된 악성코드의 진단/치료 화면 입니다. [그림] V3 Mobile 제품에서 악성 어플리케이션을…
메일을 통해 전파되는 악성코드 Posted By ASEC , 2010년 8월 5일 1. 서론 최근 메일을 통해 전파되는 악성코드가 다수 발견되어 해당 문서를 작성합니다. 2. 전파 경로 해당 악성코드의 전파경로는 메일을 통해 전파가 됩니다. 메일은 아래와 같은 5가지 유형의 메일로 발송되게 되며 모두 정상적인 메일로 위장을 하고 있습니다.유형 1) Facebook 에서 발송한 메일로 위장한 경우 [그림] Facebook 에서 발송한 메일로 위장한 악성코드가 첨부된 스팸메일 유형 2) 구글에서 발송한 메일로 위장한 경우 [그림] Google에서 발송한 메일로 위장한 악성코드가 첨부된 스팸메일 유형 3) 초대 E-Card로 위장한 경우 [그림] 초대 E-Card 로 위장한 악성코드가 첨부된 스팸메일 유형 4) hi5 사이트에서 발송한 메일로 사칭한 경우 [그림] hi5 사이트에서 발송한 메일로 사칭한 악성코드가 첨부된 메일 유형 5) 아마존 사이트에서 발송한 메일로 위장한 경우 [그림] 아마존 사이트에서 발송한 메일로 위장한 악성코드가 첨부된 메일 위 5가지 유형의…
“report” 제목의 악성스팸메일 주의! Posted By ASEC , 2010년 8월 4일 현재 “report” 라는 제목의 악성스팸이 유입되고 있습니다. 악성스팸에 첨부된 파일은 이전 포스트 의 “Hello” 악성스팸에서 사용된 동일 샘플로, V3 에서 현재 차단/치료 가능합니다. – 메일 본문 see my report in attach 첨부된 압축파일을 압축해제하면 아래와 같은 아이콘을 사용하는 실행파일이 보이며, V3 제품에서 아래와 같은 진단명으로 진단/치료가 가능합니다. Win-Trojan/Agent.14848.TT [그림1] 스팸메일에 첨부된 악성코드 스팸메일을 통해 전파되는 악성코드 감염으로부터 예방하기 위해 항상 아래와 같은 사항을 준수해 주시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다. 4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
“Hello” 제목의 악성코드를 첨부한 스팸메일 주의! Posted By ASEC , 2010년 8월 4일 “Hello”라는 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있어 사용자들의 주의가 당부됩니다. 메일 본문은 간단 명료하게 첨부된 파일을 확인하라는 내용입니다. Facebook 패스워드 변경, DHL 운송 메일 등 사용자를 현혹하기 위해 많은 문구와 이미지를 썼는데 이번에는 1문장으로 끝이네요 ^^;; Please find attached the new Word document. 첨부된 압축파일을 압축해제하면 아래와 같이 doc 문서 파일인 것처럼 위장한 악성코드를 확인하실 수 있으며 V3 제품으로 아래와 같은 진단명으로 진단/치료가 가능합니다. Win-Trojan/Agent.14848.TT [그림1] 스팸메일에 첨부된 악성코드 [그림2] 첨부 파일 실행 시 접속되는 IP의 위치 스팸메일을 통해 전파되는 악성코드 감염으로부터 예방하기 위해 항상 아래와 같은 사항을 준수해 주시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신)…
유니코드 문자열을 이용하여 문서파일로 위장한 악성코드 Posted By ASEC , 2010년 7월 25일 1. 서론 최근 유니코드를 이용하여 파일명을 변조하여 문서파일로 위장한 악성코드가 발견되어 정보를 공유하고자 해당 문서를 작성합니다. 2. 전파 경로 해당 악성코드는 메일에 첨부되어 전파되는 형태의 악성코드로 불특정 다수에게 전파되는 악성코드가 아닌 특정 시스템을 타켓으로 한 악성코드로 추정됩니다. 추정하기로 국가기관이나 대기업 등의 기밀 자료를 누출하기 위해 제작된 악성코드로 보이며 특정 사용자에게 메일에 첨부파일을 포함하여 전송 후 사용자가 첨부파일을 실행하게 되면 문서나 기타 정보를 누출할 것으로 추정되는 악성코드 입니다. 3. 악성코드 특징 해당 악성코드에서 가장 두드러 지는 특징은 조작된 파일명을 이용한다는 점입니다. 아래 그림은 윈도우에서 “알려진 파일형식의 파일 확장명 숨기기” 옵션을 해제한 상태로 본 화면 입니다. [그림] 탐색기의 확장자 관련 옵션 설정 값 [그림] 위 탐색기 옵션 상태로 본 악성코드 파일명 파일을 보면 확장자가 DOC인 것을 확인할 수 있습니다. 하지만 실제 해당 파일은 DOC가 아닌…
