안철수연구소

‘야마꼬!’ 키보드를 누르면 특정 소리가 들린다?

1. 서론 키보드의 특정 키를 누르면 해당 키에 따라 특정 소리가 나는 조커(컴퓨터에 자체에 크게 나쁜 영향을 주지는 않지만 사용자를 놀라게 하는 악성 프로그램들을 말한다.)류의 악성코드에 대해서 알려드립니다. * 조커(Joker)란 무엇인지 아래 URL에 자세한 정보가 있으니 참조해 주시기 바랍니다. http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=13338 2. 감염 시 증상 아래 그림은 한 포털 사이트 Q&A에 작성된 질문입니다.       [그림 1] 한 포털 사이트 Q&A 페이지에 등록된 질문 해당 악성코드에 감염 시 나타나는 대표적인 증상은 특정 키 ( 스페이스 바, 엔터 키 등) 를 누르게 되면 그에 해당하는 특정 소리가 들리게 됩니다. 스페이스 바 : “야마꼬” 엔터 키 : “아하하하” 그 외 Tab, Delete 키 등 [표 1] 키보드 키에 따른 소리 또한 모니터링 툴 및 작업관리자, 레지스트리 편집기 등의 실행을 방해하여 동작하지 못하게 하는 기능도…

안드로이드 동영상 플레이어 앱을 위장한 악성 앱 주의요망

1. 서론 성인 동영상 플레이어를 위장하여 특정번호로 SMS 메시지가 전송되어 요금을 과금시키는 안드로이드 악성 어플리케이션(App)이 발견되어 관련 내용을 공유해 드립니다.2. 악성코드 정보 해당 악성 어플리케이션은 2010년 8월 10일 최초 발견되었으며 그 이후 계속해서 변형이 발견되었습니다.  발견 일시  8월 10일  9월 9일  10월 12일  아이콘  어플리케이션 명  MoviePlayer  PornoPlayer  PornoPlayer [표 1] 성인 동영상 플레이어를 위장한 악성 어플리케이션 [그림1] 안드로이드 폰에 설치된 PornoPlayer 어플리케이션 어플리케이션 내부에 아래와 같은 코드가 존재하여 어플리케이션이 설치되면 특정 번호로 SMS 메시지를 보내 요금을 과금시키는 특징이 있습니다.   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “846978”, 0, 0);    * '7132' 번호로 “846978” 이라는 문자메시지를 발송.       아래의 코드들은 전달되는 텍스트만 다를 뿐 동일함.   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “845784”, 0, 0);   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “846996”, 0, 0);   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “844858”,…

[악성스팸메일 주의] “report”, “Delivery Status Notification (Failure)”

“report“, “Delivery Status Notification (Failure)” 제목의 악성 html 파일을 첨부한 스팸메일이 유포중 입니다. 스팸메일 내 본문 내용은 아래와 같습니다. 1. 메일제목   ▶ report Sending my report. Have a great weekend. Cheers 2. 메일제목   ▶ Delivery Status Notification (Failure) Delivery to the following recipient failed permanently: ampoulesvb8@resp-usc.com Technical details of permanent failure: DNS Error: Domain name not found 해당 html들은 악성코드 제작자가 만든 패턴에 의해 인코딩 되어 있습니다. 인코딩을 풀어보면 아래와 같이 웹페이지를 리디렉션하는 디코딩된 결과가 나오게 됩니다.

“New Taxes Coming”, “Sales Dept”, “Garages” 제목의 악성 스팸 주의!!

악성코드를 첨부한 아래 제목의 스팸메일들이 유포되고 있으니 사용자들의 주의가 필요합니다. 해당 스팸메일들에 첨부된 파일들은 악성코드이며 절대 실행하지 않도록 당부드립니다. New Taxes ComingSales Dept Garages [표 1] 악성코드를 첨부한 메일들의 제목 [그림 1] 악성코드를 첨부한 “New Taxes Coming” 제목의 스팸메일 [그림 2] 악성코드를 첨부한 “Sales Dept” 제목의 스팸메일 [그림 3] 악성코드를 첨부한 “Garages” 제목의 스팸메일 각각의 스팸메일에 첨부된 악성코드는 아래와 같은 파일들이 첨부되어 있으며 사용자에게 configuration 파일처럼 보이기 위해 configuration 파일 아이콘을 사용하였지만 확장자를 보면 실행파일 확장자인 exe 확장자를 가진 파일임을 알 수 있습니다. [그림 4] “Sales Dept” 제목의 스팸메일에 첨부된 악성코드 [그림 5] “Sales Dept” 제목의 스팸메일에 첨부된 악성코드 [그림 6] “Garages” 제목의 스팸메일에 첨부된 악성코드 첨부된 악성코드들은 V3 엔진에 반영되어 업데이트 될 예정입니다. 사용자들은 아래와 같은 내용을 항상 유의하여…

“Hello” 제목의 악성코드를 첨부한 스팸메일 주의!

“Hello”라는 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있어 사용자들의 주의가 당부됩니다. 메일 본문은 간단 명료하게 첨부된 파일을 확인하라는 내용입니다. Facebook 패스워드 변경, DHL 운송 메일 등 사용자를 현혹하기 위해 많은 문구와 이미지를 썼는데 이번에는 1문장으로 끝이네요 ^^;; Please find attached the new Word document. 첨부된 압축파일을 압축해제하면 아래와 같이 doc 문서 파일인 것처럼 위장한 악성코드를 확인하실 수 있으며 V3 제품으로 아래와 같은 진단명으로 진단/치료가 가능합니다. Win-Trojan/Agent.14848.TT [그림1] 스팸메일에 첨부된 악성코드 [그림2] 첨부 파일 실행 시 접속되는 IP의 위치 스팸메일을 통해 전파되는 악성코드 감염으로부터 예방하기 위해 항상 아래와 같은 사항을 준수해 주시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신)…