여러분의 배너광고는 안전한가요? Posted By ASEC , 2011년 2월 24일 1. 서론 최근 개인 블로그로 추정되는 블로그에 링크된 배너광고에 악성 URL이 삽입되어 악성코드가 유포되는 사례가 발견되어 이에 대한 분석정보를 공유합니다. 2. 여러분의 배너광고는 안전한가요? 악성코드 유포 사이트들을 분석해 보면 해당 사이트들 자체에 취약성이 존재하여 악성 URL삽입되는 경우도 있지만 외부에서 갖다 쓴 컨텐츠(주로 배너광고)에 악성 URL이 삽입되는 경우도 상당 수 존재합니다. 배너광고는 가장 큰 목적은 수익에 있기 때문에 기업 또는 개인 구분 없이 운영하는 사이트나 블로그에 배너광고를 달고 있지만 이로 인해서 자신의 사이트 또는 블로그가 한 순간에 악성코드 유포지로 전락할 수도 있다는 것을 반드시 알아둘 필요가 있고 이와 관련하여 ASEC대응팀 블로그에서 언급한 바 있습니다. ㆍ참고 사이트: http://core.ahnlab.com/218 최근 악성코드 유포 사이트들을 분석하던 중에 개인 블로그로 추정되는 두 곳에서 사용하는 배너광고에 악성 URL이 삽입되어 악성코드를 유포했음을 발견했고 해당 블로그들의 웹 페이지를 분석한 결과…
메신져를 통해 전파되는 악성코드 주의 Posted By ASEC , 2011년 2월 22일 1. 서론 최근 특정 메신져를 통해 악성코드가 유포되는 사례가 발견되어 해당 내용에 대해서 공유 합니다.2. 악성코드 전파 방법 해당 악성코드는 메신져를 통해 전파되며 아래와 같은 메세지를 통해 악성코드를 다운로드 하는 URL을 전송하게 됩니다. [그림 1] 메신저를 통해 전파되는 메세지 해당 URL에서 파일을 다운로드 하면 DSC002502011.JPG.scr 파일을 다운로드 하며 아래 그림처럼 사진파일로 위장하고 있어 사용자들의 실행을 유도하게 됩니다. [그림 2] JPG 파일로 위장한 악성코드 3. 악성코드 분석 정보 해당 악성코드가 실행되면 아래와 같은 증상이 발생하게 됩니다. 1) 파일 다운로드아래 URL에서 특정 파일을 다운로드 하게 됩니다. http://bis******icat.com/kbn.exe 다운로드 된 파일은 %사용자 계정&Microsoft-Driver-랜덤숫자winrsvn.exe로 저장됩니다.2) 레지스트리 등록아래와 같이 레지스트리 값을 등록하여 자동실행이 되도록 설정하게 됩니다. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Microsoft(R) Service Update=”%사용자 계정&Microsoft-Driver-랜덤숫자winrsvn.exe” 3) 원격 명령 수행winrsvn.exe 파일은 는 Bot기능을 가지고 있어 IRC (216.157.22.141:5500)으로 접속하여 방장(OP)로부터 명령을 받아 명령을 수행하게…
악성코드는 온라인 게임 사이트를 타고,,, Posted By ASEC , 2011년 2월 21일 지난 주말 특정 온라인 게임을 서비스하는 사이트 3곳에서 악성코드 유포 사례가 허니팟에서 탐지되어 분석한 결과 해당 사이트 3곳에 동일한 스크립트 URL이 삽입되어 있었다. 11848_0.js의 정확한 용도는 알 수 없지만 해당 JS파일의 코드를 살펴본 결과 악성코드를 다운로드 하는 악성 URL이 삽입되어 있음을 발견했다. 분석한 내용을 정리해 보면 특정 온라인 게임을 서비스하는 3곳이 직접 해킹되어 악성 URL이 삽입된 것이 아니라 배너광고처럼 외부로부터 제공받은 JS파일에 악성 URL이 삽입된 경우로 볼 수 있다. * 참고 URL: http://core.ahnlab.com/218 감염과정을 정리해 보면 아래와 같다.
안드로이드폰의 개인 정보를 가로채는 악성앱, “Pjapps” 변종 발견 Posted By ASEC , 2011년 2월 20일 1. 서 론 안드로이드폰 사용자의 개인 정보를 가로채는 악성앱, “Pjapps” 변종이 발견되어 관련 내용 공유합니다. 2. 악성코드 분석 정보 Pjapps 는 이전에 소개드렸던 geimini / ADRD 악성코드와 마찬가지로 정상 App 을 변조 후 리패키징하여, 블랙마켓 등의 3rd party 마켓을 통해 유포되는 악성코드입니다. 이번 변종의 경우 “중국의 눈” 이라 불리는 중국 곳곳의 CCTV를 확인할 수 있는 App 이 변조된 형태로 발견되었습니다. 변조된 App 의 경우, 설치시 기존 정상 App 에 비해 과도한 제어 권한을 요구하는 특징이 있습니다. Pjapps 악성코드가 설치될 경우 아래와 같은 동작을 하게 됩니다. 문자메시지(sms) 읽기(유출) 및 보내기 가능 핸드폰 IMEI/IMSI , 폰번호 등의 정보 유출 가능 원격지 서버에서 핸드폰을 조작할 수 있음 3. V3 진단 현황 v3 mobile 제품에서 아래와 같이 진단가능합니다. v3 mobile 엔진버젼: 2011.02.20.00 진단명: Android-Spyware/Pjapps.C 4. 예방…
여러분이 사이트 관리자라면 또는 일반 PC 사용자라면,,, Posted By ASEC , 2011년 2월 20일 ASEC 대응팀에서 운영하는 허니팟을 모니터링 하는 중에 imm32.dll을 패치하는 악성코드의 수집건수가 증가한 정황을 포착했다. 그 원인을 분석해 본 결과 국내 일부 사이트들에서 유포 중인 것을 확인했고 그 과정을 정리해 보면 아래 그림과 같다. 해킹된 쇼핑몰 사이트에서 삽입된 악성 URL을 찾는 과정에서 놀라운 사실을 발견하는데 해당 사이트에서 사용하는 JS파일인 http://www.*****.com/inc/IE_Script.js
