악성코드

웹 하드 설치 파일 변경으로 Banki 트로이목마 변형 유포

ASEC에서는 7월 11일 취약한 웹 사이트를 통해 온라인 뱅킹에 사용되는 개인 금융 정보 탈취를 목적으로하는 Banki 트로이목마 변형이 유포되었음을 공개하였다. 개인 금융 정보 탈취를 목적으로하는 Banki 트로이목마 변형이 7월 14일과 15일 주말 사이 사용자가 많은 웹 하드 프로그램 웹 사이트의 설치 파일을 변경하여 유포된 사례가 발견되었다. 이번에 유포된 Banki 트로이목마 변형은 보안 관리가 상대적으로 취약한 웹 하드 프로그램의 웹 사이트에서 배포 중인 설치 파일을 RARSfx로 악성코드와 정상 설치 파일을 압축한 파일을 배포 중인 정상 설치 파일과 변경하여, 사용자로 하여금 악성코드가 포함된 변경된 설치 파일을 다운로드하도록 하였다. 정상 웹 하드 설치 파일을 변경하여 유포된 Banki 트로이목마 변형이 동작하는 전체적인 구조를 도식화 한 이미지는 아래와 같다. 웹 하드 프로그램의 웹 페이지에서 배포 중인 웹 하드 프로그램의 설치 파일은 RARSfx 파일로 압축된 파일로…

ASEC 보안 위협 동향 리포트 2012 Vol.29 발간

안랩 ASEC에서 2012년 5월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.29을 발간하였다.  이 번에 발간된 ASEC 리포트는 2012년 5월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 이력서로 위장한 악성코드 LinkedIn 스팸 메일을 위장한 악성코드 유포 DHL운송 메일로 위장한 악성코드 런던 올림픽 개최를 이용한 악성코드 ws2help.dll 파일을 패치하는 온라인게임핵 변종 악성코드 AV Kill 기능을 가진 온라인게임핵 악성코드 플래시 플레이어의 제로데이 취약점(CVE-2012-0779)을 이용하는 악성코드 Python으로 제작된 맥 악성코드 프로그램 설치 화면 놓치지 마세요 어린이날에도 쉬지 않는 악성코드 제작자 2) 모바일 악성코드 이슈 안드로이드 Notcompatible 악성코드 발견 어도비 플래시 플레이어로 위장한 안드로이드 악성 앱 허위 안드로이드 모바일 백신 유포 허위 유명 안드로이드 앱 배포 웹 사이트 Talking Tom Cat 사이트로 위장한 앱 사이트를 통해 유포되는 악성코드…

지속적으로 발견되는 취약한 한글 파일 유포

ASEC에서는 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 코드 실행 제로 데이(Zero Day, 0-Day) 취약점을 악용하는 악성코드가 6월 15일 발견되었음을 공개하였다. 그리고 6월 22일에는 기존에 발견되었던 취약점을 악용한 취약한 한글 파일이 발견되었음을 공개하였다. 7월 4일 어제 다시 한글 소프트웨어에 존재하는 알려진 취약점을 악용한 취약한 한글 파일이 발견되었으며, 해당 취약한 한글 파일 역시 이메일의 첨부 파일 형태로 국내 특정 조직을 대상으로 유포 되었다. 이메일에 첨부되어 유포된 해당 취약한 한글 파일을 열게 되면 아래 이미지와 동일한 내용이 나타나게 된다. 해당 취약한 파일은 아래 이미지와 같은 구조로 되어 있으며, 6월 15일 발견된 코드 실행 취약점을 응용한 형태가 아니라 이미 보안 패치가 제공되어 있는 취약점이다. 이 번에 발견된 해당 취약한 한글 파일은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터…

한글 코드 실행 취약점 관련 보안 패치 배포

ASEC에서 6월 15일 한글 소프트웨어의 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점을 악용하는 악성코드가 유포되었다는 소식을 전한 바가 있다. 금일 한글 소프트웨어를 개발하는 한글과 컴퓨터에서 한글 소프트웨어에 존재하는 해당 취약점을 제거하기 위한 보안 패치를 배포하였다. 해당 보안 패치는 한글과 컴퓨터 웹 사이트를 통해 보안 패치를 업데이트 할 수 있으며, 아래 이미지와 같이 [한컴 자동 업데이트]를 실행해서도 보안 패치 설치가 가능하다. [한컴 자동 업데이트]가 실행되면 아래 이미지와 같이 현재 설치되어 있는 한글 프로그램에 맞는 보안 패치를 자동으로 설치할 수 있다. 그리고 위 이미지의 [환경 설정]을 클릭하여 [업데이트 방법]과 [자동 업데이트 설정]이 가능함으로 최신 보안 패치가 배포될 경우에 자동 업데이트가 진행 된다. 한글 소프트웨어의 알려진 취약점이나 알려지지 않은 취약점을 악용한 악성코드 유포가 지속적으로 발견되고 있다.  그러므로 한글 소프트웨어 사용자는 한글과 컴퓨터에서 배포하는 보안 패치들을…

한글 제로데이 취약점을 악용한 악성코드 유포

한국에서 많이 사용되는 한글 소프트웨어에 존재하는 알려지지 않은 제로데이(0-Day, Zero-Day) 취약점 또는 기존에 알려진 취약점을 악용한 악성코드 유포는 2010년 무렵부터 국내에서 발견되기 시작하였다. 이러한 취약점이 발견될 때마다 한글 소프트웨어를 개발하는 한글과 컴퓨터에서는 발견된 해당 취약점을 제거하는 보안 패치도 꾸준히 배포하였다. 금일 다시 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하여 악성코드 감염을 시도한 사례가 발견되었다. 이 번에 발견된 취약점을 포함하고 있는 취약한 한글 파일(HWP)은 986,624 바이트의 크기를 가지고 있으며, 전자 메일의 첨부 파일 형태로 유포된 것으로 파악하고 있다. 해당 취약한 파일은 아래 이미지와 같은 구조를 가지고 있으며, 한글 파일 내부에 다른 PE 파일이 인코딩 된 상태로 포함되어 있다. 이 번에 발견된 해당 취약한 한글 파일은 아래 이미지와 같은 전체적인 악성코드 감염 구조를 가지고 있으며, 다른 악성코드들과 로그 파일을 생성하게 된다. 해당…