불특정 다수를 상대로한 추가 감염 주의 당부!! Posted By ASEC , 2013년 3월 25일 안랩(대표 김홍선, www.ahnlab.com)은 25일 악성코드의 추가배포 징후를 포착하여 고객 및 개인 PC 사용자의 주의를 당부했다. 이번 악성코드의 추가 배포는 오늘 오전 10시 30분부터 시작되었고 기업은 물론이고 개인용 PC(불특정 일반인) 대상으로 유포되었다는 점이 특징이다. 안랩은 어제(24일) 오전 9시 경 변종을 발견하여 분석한 결과 1차 공격에 사용된 악성코드의 특징인 MBR(Master Boot Record) 파괴기능은 물론 C&C(Command & Control) 서버와 통신하는 백도어 설치기능이 추가되었음을 확인했다고 밝혔다. 3월 20일 방송사와 금융사의 전산망을 마비시킨 1차 공격은 내부 타이머로 공격시간대를 특정한 반면 이번 공격에서는 C&C(Command & Control) 서버와 교신하여 공격자가 원하는 시간대에 공격을 할 수 있도록 되어있다. 특히 이 악성코드는 기존 백신의 진단/치료를 방해하는 기능이 있다. 안랩은 ASD엔진의 DNA기술을 이용하여 해당 악성코드를 이미 2013.03.20.07 엔진(20일 오후 9시 38분부터 배포)부터 이미 선제 대응이 가능했다….
주요 방송사 및 은행 전산망 장애 유발 악성코드 분석 Posted By ASEC , 2013년 3월 21일 3월 20일 14시경 주요 방송사 및 은행 전산망 장애가 발생하는 사고가 한국에서 발생하였으며, ASEC에서는 악성코드 감염 후 디스크 손상으로 부팅 불가로 인해 장애가 발생한 것으로 확인하였다. 현재 해당 악성코드는 운영체제에 따라 디스크를 손상시키는 기능이 포함되어 있으며, 상세한 디스크 손상 내용은 아래 분석 정보에 기술하였다. 해당 악성코드는 V3 엔진(엔진버전: 2013.03.20.06 이상)으로 업데이트 할 경우 검사 및 치료가 가능하며, 3월 20일 오후 6시경부터 제공 중인 전용백신으로도 검사 및 치료 할 수 있다. [UPDATE – 2013/03/25] 현재까지 ASEC에서 분석한 이번 주요 방송사 및 은행 전산망 장애를 유발한 악성코드는 다음 이미지와 같이 A 케이스와 B 케이스로 나누어서 발생하였다. 우선 위 이미지 좌측 편의 A 케이스에 사용되었던 파일들에 대한 세부 분석 내용은 다음과 같다. 우선 드로퍼인 File A는 %Temp% 폴더에 다음 파일들을 생성하게 된다. 1) File B : MBR 파괴 기능…
[공지] 주요 방송사, 은행 전산망 장애 / 전용백신 제공 Posted By ASEC , 2013년 3월 20일 안녕하세요. 안랩 ASEC(시큐리티대응센터) 입니다. 3월 20일 14시경 주요 방송사 및 은행 전산망 장애가 발생하였습니다. 악성코드 감염 후 디스크 손상으로 부팅 불가로 인해 장애가 발생한 것으로 확인되었고, 해당 악성코드는 아래와 같이 운영체제에 따라 디스크를 손상시키는 기능이 포함되어 있습니다. – Windows XP, Windows 2003 Server물리 디스크의 MBR과 VBR 등을 쓰레기 데이터 채움논리 드라이브 파괴 – Windows VISTA, Windows 7물리 디스크 파괴모든 논리 드라이브의 파일 내용을 삭제 해당 악성코드는 V3 엔진(엔진버전: 2013.03.20.06 이상)으로 업데이트하시면 검사/치료가 가능합니다. 또한 3월 20일 오후 6시경부터 제공 중인 전용백신으로도 검사/치료할 수 있습니다. 전용백신 다운로드 받기 만약 전용백신으로 진단되는 악성코드가 있다면 이미 디스크가 손상되어 부팅이 안될 수 있으니 중요 데이터는 우선 백업을 받으시기를 권해드립니다. 안랩은 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동 중입니다. 추가 정보가 확인되는 대로 안내해 드리겠습니다.
국내 인터넷 뱅킹 정보 탈취 악성코드 for Windows, Android Posted By ASEC , 2013년 2월 1일 취약점을 이용해서, PC 사용자가 감염사실을 인지 할 수 없도록 동작하는 국내 인터넷 뱅킹 정보 탈취 악성코드가 끊임없이 발견되고 있다. 과거 국내를 대상으로 제작된 정보 탈취 형 악성코드는 주로 주말에 취약점을 통해서 유포/확산 되었지만, 모니터링 결과 주중에도 변형을 제작하여 유포하고 있다. 국내 인터넷 뱅킹 정보 탈취 악성코드는 Windows 뿐만 아니라, Android 기반의 스마트폰 앱으로도 유포되었으며, 변종이 계속 발견되고 있다. 더욱이 구글 공식 마켓인 Play Store 에 등록되어 있어 그 영향이 작지 않을 것이다. 해킹된 웹사이트에 삽입된 악성 스크립트를 통하여 유포되는, 즉 취약점을 통하여 감염되는 흐름은 이 전에 다루었으므로 생략하겠다. 취약점을 통하여 PC에 다운로드/실행 되는 악성 파일은 아래와 같다. hxxp://121.***.**.229:280/goutou.exe 해당 파일이 실행되면 아래와 같은 명령으로 시스템의 Hosts 파일이 변조된다. 이후 PC 사용자는 인터넷 뱅킹을 위해 정상(은행) 사이트를 방문하지만, 실제로는 제작자에 의하여…
온라인 뱅킹 트로이목마 Banki(2) Posted By ASEC , 2013년 2월 1일 지난 12월 국내 인터넷 뱅킹 사용자가 타켓인 악성코드(Banki)에서 특정 시스템 날짜가 되면 윈도우 시스템 파일을 삭제하는 기능이 발견되었다. 과거에 발견된 Banki정보는 아래 페이지에서 확인이 가능하다. http://asec.ahnlab.com/search/banki 이번에 발견된 Banki 변종은 Induc 바이러스에 감염된 악성코드이며, http://210.***.**.32:2323/qq.exe 를 통하여 유포 되는 것으로 확인되었다. (온라인 뱅킹 트로이목마 Banki(1) 에서 유포과정을 다루었다.) 위 파일이 실행되어 악성코드에 감염될 경우 아래와 같은 경로에 파일이 생성된다. C:Windowssystem32muistempblogs.tempblogs.. ‘1216’, ‘Winlogones.exe’, ‘csrsses.exe’ [그림1] 악성코드에 의하여 생성된 파일 감염 후 아래와 같이 레지스트리에 서비스로 등록되어, 부팅시 실행된다. [그림2] 서비스 등록 실행된 환경에 따라 다르게 나타날 수 있지만, 악성 프로세스 ‘winlogones.exe’는 정상 프로세스인 ‘winlogon.exe’ 에 자신을 인젝션하여 프로세스 목록에 ‘winlogones.exe’ 가 보이지 않게 한다. 동시에 또 다른 악성 프로세스인 ‘csrsses.exe’ 도 계산기 프로세스 이름인 ‘calc.exe’ 에 자신을 인젝션하여 실행한다. [그림3] 정상적인 프로세스만…
