안드로이드를 겨냥한 악성코드, Fakeplayer 변종 발견 Posted By ASEC , 2010년 10월 14일 금일 새벽, 해외 Anti-Virus 업체인 Kaspersky 에 의해 안드로이드용 Trojan인 'FakePlayer 변종' 이 발견되어 관련 정보를 공개했습니다. [출처: 카스퍼스키랩 블로그] 'porno player' 로 위장한 이 악성코드는 러시아에서 최초 발견되었으며, 악성코드가 설치되면 특정 번호로 sms 메시지를 보내 요금을 과금시키는 특징이 있는 것으로 알려져 있습니다. 현재 ASEC 에서는 해당 악성코드 샘플을 확보하여 Android-Trojan/SmsSend.B 진단명으로 V3 Mobile 엔진에서 진단/치료가 가능하도록 업데이트 하였습니다. 추가적인 정보는 아래 링크에서 확인하실 수 있습니다. http://core.ahnlab.com/230
아이폰 탈옥 도구로 위장한 ‘악성코드’ – Win-Trojan/Agent.535552.F Posted By ASEC , 2010년 9월 28일 1. 개요 아이폰 탈옥 프로그램으로 위장한 정보유출형 악성코드가 발견되어 해당 악성코드에 대한 분석정보를 공유합니다. 2. V3의 대응상태 V3에서는 아래와 같이 대응하고 있습니다. Win-Trojan/Agent.535552.F (V3: 2010.09.28.00) 3. 악성코드 감염 시 증상 (1) 이번 아이폰 탈옥 도구로 위장한 악성코드 Win-Trojan/Agent.535552.F는 웹 사이트와 Torrent라는 P2P 프로토콜을 통해서 유포되고 있음이 확인되었습니다. [그림 1] Torrent를 통해서 유포 중인 Win-Trojan/Agent.535552.F [그림 2] 특정 웹 사이트를 통한 유포시도 (2) Torrent를 통해서 다운로드 한 악성코드는 18,764,288 바이트의 크기를 가지고 있으며 실행하게 되면 아래 경로에 파일을 생성합니다. %USERPROFILE%TempGreenpois0n_ [일부생략].exe(18,746,503 바이트, 악의적인 기능이 없는 실행파일) %USERPROFILE%Tempu16event.html(특정 프로그램의 계정정보를 저장할 html파일) (3) 계정정보 유출기능은 18,764,288 바이트의 크기를 가진 원본 파일이 수행하며 (2)과정에서 생성한 실행파일을 실행하여 아래 창을 출력함으로써 사용자로 하여금 실제 아이폰 탈옥 프로그램이 동작하는 것처럼 인식될 수…
Facebook 등의 SNS 를 통해 전파되는 koobface 악성코드 주의 Posted By ASEC , 2010년 9월 27일 1. 서론 금일 facebook 의 쪽지 기능을 통해 악성코드를 유포시키는 koobface 변종이 확산되고 있어, 관련 내용을 공유합니다. 2. 진단 현황 V3에서는 해당 악성코드를 아래와 같이 진단가능합니다. V3(2010.09.27.04) Win32/Koobface.worm.58368.F Win-Trojan/Tdss.102912.B Win32/Koobface.worm.119808 Win-Trojan/Koobface.253952 Win-Trojan/Koobface.28544 Win32/Koobface.worm.64512.G V3(2010.09.27.03) Win32/Koobface.worm.153600.B Trojan/Win32.Agent Worm/Win32.Koobface Backdoor/Win32.Agent
[악성스팸메일 주의] “report”, “Delivery Status Notification (Failure)” Posted By ASEC , 2010년 9월 21일 “report“, “Delivery Status Notification (Failure)” 제목의 악성 html 파일을 첨부한 스팸메일이 유포중 입니다. 스팸메일 내 본문 내용은 아래와 같습니다. 1. 메일제목 ▶ report Sending my report. Have a great weekend. Cheers 2. 메일제목 ▶ Delivery Status Notification (Failure) Delivery to the following recipient failed permanently: ampoulesvb8@resp-usc.com Technical details of permanent failure: DNS Error: Domain name not found 해당 html들은 악성코드 제작자가 만든 패턴에 의해 인코딩 되어 있습니다. 인코딩을 풀어보면 아래와 같이 웹페이지를 리디렉션하는 디코딩된 결과가 나오게 됩니다.
GSPI + 숫자로 이루어진 VBS/Autorun 악성코드 대처법 Posted By ASEC , 2010년 9월 15일 1. 서론 VBS 악성코드는 wscript을 이용하기 때문에 작성이 용이하여 높은 감염률을 보이고 있습니다. 이러한 VBS악성코드 중 특정 레지스트리 값을 변경하여 컴퓨터 사용에 장애를 유발하는 GSPI라는 이름의 악성코드에 대한 증상과 치료법에 대해 알아보도록 하겠습니다. 2. 악성코드 감염 시 나타나는 증상
