Please attention! – DHL 메일로 위장한 스팸메일 주의! Posted By ASEC , 2010년 4월 23일 악성코드를 퍼뜨리는 스팸메일의 대명사, DHL 이 다시 등장했습니다. 이번 스팸메일에 사용된 제목은 Please attention! 입니다. 아래의 메일 본문을 확인해보시고 비슷한 유형의 메일 첨부파일은 절대로 실행하지 마세요! Dear customer! The courier company was not able to deliver your parcel by your address. Cause: Error in shipping address. You may pickup the parcel at our post office personaly. Please attention! The shipping label is attached to this e-mail. Print this label to get this package at our post office. Please do not reply to this e-mail, it is an unmonitored mailbox! Thank you, DHL Delivery Services. 첨부된 압축파일을 해제하면 아래의 파일이 나옵니다. 이번에는 ini 파일 아이콘으로 위장하여 실행을 유도하고 있습니다. 위 스팸메일의 첨부파일은 V3에서 Win-Trojan/Downloader.135680.U 로 진단가능합니다. 항상 아래와…
쉿! 묻지마 Active X 설치는 금물… Posted By ASEC , 2010년 4월 22일 1. D***CafeOn.dll 프롤로그 2010년 4월 초에 D사의 BGM Player로 위장하여 키로거(Keylogger)를 설치하는 악성 Active X가 발견된 이후로 최근에는 D사의 CafeOn으로 위장하여 키로거(Keylogger)를 다운로드하는 악성 Active X가 유포되었고 앞으로도 사회공학기법(Social Engineering)기법을 사용한 이런 유형의 악성코드 유포가 증가될 것으로 보이므로 사용자들의 각별한 주의가 필요하다. 2. D***CafeOn.dll 상세분석 (1) File Description분석 사용자가 무심코 악성 Active X를 클릭하여 설치할 경우 %WINDIR%Downloaded Program FilesD***CafeOn.dll로 파일이 생성 되는데, 여기서 한가지 문제는 %WINDIR%Downloaded Program FilesD***CafeOn.dll의 등록정보를 보면 알 수가 있다. 보통 악성코드는 File Description이 없는 경우가 대부분이고 있다 하더라도 Microsoft사의 등록정보를 그대로 이용하는 경우가 많지만 D***CafeOn.dll는 File Description뿐만 아니라 완벽하지 않지만 디지털 서명정보도 가지고 있었다. 이렇게 되면 해당 파일을 자세히 보지 않는 이상 일반 사용자들은 정상파일로 생각하기 쉽다. [그림 1] D사의 디지털 서명을 위장한…
패킷 뜯어 보기! – WireShark편 Posted By ASEC , 2010년 4월 21일 안녕하세요! 오늘은 “ 패킷 뜯어보기!” 시간입니다! 와이어샤크(wireshark)를 이용하여 네트워크를 흘러 다니는 패킷(packet)이란 녀석을 분석하는 것이지요! 이전에도 언급했듯이 와이어샤크는 네트워크의 패킷을 분석하는데 있어 아주 강력한 툴(tool)입니다. 하지만 패킷과 와이어샤크의 기능에 대한 이해가 없다면 그 강력한 기능도 무용지물일 것입니다. 그래서! 이 글에서는 패킷의 이해도를 높이고 보다 기능적으로 와이어샤크를 사용하기 위한 배움의 시간을 갖고자합니다. 그럼 슬슬 패킷이란 녀석을 뜯어 볼까요? 네트워크와 패킷에 관한 설명에는 늘 빠지지 않고 등장하는 것이 있는데요, 바로 OSI 7 layer와 각 레이어(layer) 별 프로토콜에 대한 설명입니다. OSI 모델(Open Systems Interconnection Reference Model)은 국제표준화기구(ISO)에서 개발한 모델로, 컴퓨터 네트워크 프로토콜 디자인과 통신을 계층으로 나누어 설명한 것입니다. 일반적으로 OSI 7 계층 모델이라 불리기도 합니다. 위 그림을 참고로 하여 각 레이어별 기능과 통신 프로토콜에 대해 간단히 아래 표로 설명 드리겠습니다. 어떤가요? 네트워크에 대한 어느…
네이트온 악성코드는 지금도 ing…… Posted By ASEC , 2010년 4월 16일 1. 네이트온 악성코드는 지금도 ing…… 네이트온 악성코드는 우리의 기억에서 잊혀질 만하면 낚시사진과 함께 변종이 1 ~ 2개정도가 출현하여 우리를 괴롭힌다. 옛말에 지피지기(知彼知己)면 백전백승(百戰百勝)이란 말이 있다. 즉 적을 알고 나를 알면 백 번 싸워서 백 번 승리한다는 말인데, 네이트온 악성코드 괴롭힘으로부터 탈출 그리고 감염 시 대처방법에 대해서 알려면 네이트온 악성코드가 어떻게 동작하고 감염 시 어떤 피해가 있는지 알아볼 필요가 있지 않을까? 2. 네이트온 악성코드, 넌 어디서 왔니? 네이트온 악성코드는 아래 그림처럼 네이트온 쪽지를 통해서 유포되며, 무심코 링크를 클릭하면 악성코드가 PC로 다운로드 된다. 또한 RAR로 압축된 형식의 파일을 전송하여 상대방이 다운로드 하도록 유도합니다. 참고로, 아래 리스트는 네이트온으로 배포된 악성파일이 포함된 rar 압축파일명 리스트 중 일부 리스트이며 파일명은 고정적이지 않고 랜덤한 파일명입니다. mesxd213eck.rarjpgssst.rarkdeggshfahf.rarmabkddhs.rarxsbnfbn.rar … 3. 네이트온 악성코드, PC에선 무슨 일이? salarboss.exe는…
4월의 중요 보안 업데이트 리스트 Posted By ASEC , 2010년 4월 15일 이번주에 악성코드와 관련된 다수의 보안 패치가 발표가 되었습니다. 아래 내용을 살펴보신 후 보안패치가 되어 있지 않으시다면 보안패치를 권장 드립니다. 1. 윈도우 보안 업데이트마이크로소프트는 4월 14일에 새로운 보안 공지 11개를 발표했습니다. 아직까지 보안 업데이트를 하지 않으신 분들은 아래 내용을 참고하시어 업데이트를 하시기 바랍니다.4월 공지 요약 : http://www.microsoft.com/korea/technet/security/bulletin/MS10-apr.mspx [윈도우 보안 업데이트 방법]1. 인터넷 익스플로러를 실행합니다.2. 메뉴에서 [도구] – [Windows Update] 를 선택하여 윈도우 업데이트 사이트로 이동 합니다.3. 윈도우 XP 이하의 버전에서는 [빠른 설치] 버튼을 눌러 설치를 계속 진행하며, Vista 이상의 버전에서는 윈도우 업데이트 프로그램이 실행되므로 업데이트를 진행하시기 바랍니다. 추가로 윈도우가 정품이 아닌 경우 마이크로소프트에서는 업데이트를 제공하지 않습니다. 하지만 한국 인터넷 진흥원에서 운영하는 보호나라 사이트에서 “PC 보안 자동 업데이트” 프로그램을 제공하고 있습니다. 해당 프로그램을 이용하여 정품이 아닌 사용자도 업데이트를 꼭 하시기 바랍니다.PC 보안…
