악성코드

아이폰 탈옥 도구로 위장한 ‘악성코드’ – Win-Trojan/Agent.535552.F

1. 개요  아이폰 탈옥 프로그램으로 위장한 정보유출형 악성코드가 발견되어 해당 악성코드에 대한 분석정보를 공유합니다. 2. V3의 대응상태  V3에서는 아래와 같이 대응하고 있습니다. Win-Trojan/Agent.535552.F   (V3: 2010.09.28.00) 3. 악성코드 감염 시 증상 (1) 이번 아이폰 탈옥 도구로 위장한 악성코드 Win-Trojan/Agent.535552.F는 웹 사이트와 Torrent라는 P2P 프로토콜을 통해서 유포되고 있음이 확인되었습니다.            [그림 1] Torrent를 통해서 유포 중인 Win-Trojan/Agent.535552.F [그림 2] 특정 웹 사이트를 통한 유포시도   (2) Torrent를 통해서 다운로드 한 악성코드는 18,764,288 바이트의 크기를 가지고 있으며 실행하게 되면 아래 경로에 파일을 생성합니다.   %USERPROFILE%TempGreenpois0n_ [일부생략].exe(18,746,503 바이트, 악의적인 기능이 없는 실행파일) %USERPROFILE%Tempu16event.html(특정 프로그램의 계정정보를 저장할 html파일)   (3) 계정정보 유출기능은 18,764,288 바이트의 크기를 가진 원본 파일이 수행하며 (2)과정에서 생성한 실행파일을 실행하여 아래 창을 출력함으로써 사용자로 하여금 실제 아이폰 탈옥 프로그램이 동작하는 것처럼 인식될 수…

[악성스팸메일 주의] “report”, “Delivery Status Notification (Failure)”

“report“, “Delivery Status Notification (Failure)” 제목의 악성 html 파일을 첨부한 스팸메일이 유포중 입니다. 스팸메일 내 본문 내용은 아래와 같습니다. 1. 메일제목   ▶ report Sending my report. Have a great weekend. Cheers 2. 메일제목   ▶ Delivery Status Notification (Failure) Delivery to the following recipient failed permanently: ampoulesvb8@resp-usc.com Technical details of permanent failure: DNS Error: Domain name not found 해당 html들은 악성코드 제작자가 만든 패턴에 의해 인코딩 되어 있습니다. 인코딩을 풀어보면 아래와 같이 웹페이지를 리디렉션하는 디코딩된 결과가 나오게 됩니다.

해킹된 트위터 계정을 통해 전파되는 가짜 TweetDeck update 악성코드 주의!

1. 서론 데스크탑용 Twitter 클라이언트로 유명한 “TweetDeck”  을 겨냥한 악성코드가 발견되어 관련 내용을 공유합니다. [그림 1. TweetDeck] 2. 상세 내용 Twitter 서비스가 인증관련 부분에 업데이트를 진행함에 따라, 몇몇 Third-party 어플리케이션들이 제대로 동작되지 않는 현상이 발견되었습니다. TweetDeck 어플리케이션도 이와 같은 문제가 생겨 업데이트를 통해 패치하려는 도중, 그 점을 악성코드 제작자가 노리고 TweetDeck 을 업데이트 하라는 내용으로 가장하여 악성코드를 유포한 것으로 보고 있습니다. “tweetdeck-08302010-update.exe” 란 파일명을 사용하는 이 악성코드는 다수의 해킹된 트위터 ID를 통해, 'Tweetdeck 을 업데이트 하라' 라는 아래 내용들로 전해졌습니다. TweetDeck will work until tomorrow, udate now! http://alturl.com/xxx Download TweetDeck udate ASAP! http://alturl.com/xxx Update TweetDeck! http://alturl.com/xxx Hurry up for tweetdeck update! http://alturl.com/xxx Sorry for offtopic, but it is a critical TweetDeck update. It won't work tomorrow http://alturl.com/xxx [표 1. 유출된 계정을 통해 전송되는 악성 트윗] [그림 2….

“New Taxes Coming”, “Sales Dept”, “Garages” 제목의 악성 스팸 주의!!

악성코드를 첨부한 아래 제목의 스팸메일들이 유포되고 있으니 사용자들의 주의가 필요합니다. 해당 스팸메일들에 첨부된 파일들은 악성코드이며 절대 실행하지 않도록 당부드립니다. New Taxes ComingSales Dept Garages [표 1] 악성코드를 첨부한 메일들의 제목 [그림 1] 악성코드를 첨부한 “New Taxes Coming” 제목의 스팸메일 [그림 2] 악성코드를 첨부한 “Sales Dept” 제목의 스팸메일 [그림 3] 악성코드를 첨부한 “Garages” 제목의 스팸메일 각각의 스팸메일에 첨부된 악성코드는 아래와 같은 파일들이 첨부되어 있으며 사용자에게 configuration 파일처럼 보이기 위해 configuration 파일 아이콘을 사용하였지만 확장자를 보면 실행파일 확장자인 exe 확장자를 가진 파일임을 알 수 있습니다. [그림 4] “Sales Dept” 제목의 스팸메일에 첨부된 악성코드 [그림 5] “Sales Dept” 제목의 스팸메일에 첨부된 악성코드 [그림 6] “Garages” 제목의 스팸메일에 첨부된 악성코드 첨부된 악성코드들은 V3 엔진에 반영되어 업데이트 될 예정입니다. 사용자들은 아래와 같은 내용을 항상 유의하여…

메일을 통해 전파되는 악성코드

1. 서론 최근 메일을 통해 전파되는 악성코드가 다수 발견되어 해당 문서를 작성합니다. 2. 전파 경로 해당 악성코드의 전파경로는 메일을 통해 전파가 됩니다. 메일은 아래와 같은 5가지 유형의 메일로 발송되게 되며 모두 정상적인 메일로 위장을 하고 있습니다.유형 1) Facebook 에서 발송한 메일로 위장한 경우 [그림] Facebook 에서 발송한 메일로 위장한 악성코드가 첨부된 스팸메일 유형 2) 구글에서 발송한 메일로 위장한 경우   [그림] Google에서 발송한 메일로 위장한 악성코드가 첨부된 스팸메일 유형 3) 초대 E-Card로 위장한 경우   [그림] 초대 E-Card 로 위장한 악성코드가 첨부된 스팸메일 유형 4) hi5 사이트에서 발송한 메일로 사칭한 경우   [그림] hi5 사이트에서 발송한 메일로 사칭한 악성코드가 첨부된 메일 유형 5) 아마존 사이트에서 발송한 메일로 위장한 경우   [그림] 아마존 사이트에서 발송한 메일로 위장한 악성코드가 첨부된 메일 위 5가지 유형의…