6.25 DDoS 공격에 사용된 악성코드 상세 분석 Posted By ASEC , 2013년 6월 25일 6월 25일 오전 10시에 일부 정부 기관 홈페이지를 대상으로 DDoS(Distributed Denial of Service) 공격을 수행하도록 제작된 악성코드가 발견되었다. ASEC에서는 해당 DDoS 공격 수행 기능을 가진 악성코드들을 신속하게 확보하여 상세한 분석을 진행 중에 있다. 현재까지 분석된 정보들은 아래와 같으며, 추가적으로 분석된 정보들은 ASEC 블로그를 통해 지속적으로 업데이트 할 예정이다. [업데이트 히스토리] 1) 2013.06.25 – 6.25 DDoS 공격에 사용된 악성코드 상세 분석 내용 최초 작성 2) 2013.06.26 – 6.25 DDoS 공격에 사용된 악성 스크립트 상세 분석 내용 추가 1. 공격 시나리오 특정 웹하드 업체(www.simdisk.co.kr)의 설치 파일(RARSFX)을 변조하여 압축 해제 후 SimDiskup.exe 가 실행 되도록 해두었다. 아래 이미지는 이 번에 유포된 악성코드들의 전체적인 상관 관계를 도식화한 이미지이다. 2. 주요 파일 분석 정보 1) servmgr.exe (4,383,232 바이트) 해당 파일은 전체적인 구조에서 드롭퍼(Dropper) 역할을 수행하도록 제작된 악성코드이다. 해당 파일의 리소스(Resource) 영역에는 다른 PE…
ASEC 보안 위협 동향 리포트 2012 Vol.36 발간 Posted By ASEC , 2013년 2월 13일 안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 온라인 뱅킹 트로이목마 Banki(1) 온라인 뱅킹 트로이목마 Banki(2) 패스워드를 노리는 악성코드 악성코드의 3단 콤보 공격 온라인 게임핵 변종 악성코드 특정 후보의 정책관련 한글문서 위장 악성코드 부킹닷컴을 사칭한 악성코드 과다 트래픽을 발생시키는 악성코드 상품권 번호 탈취하는 온라인 게임핵 악성코드 Xerox WorkCentre를 사칭한 악성 메일 Facebook을 사칭한 악성 e-mail 주의 2) 모바일 악성코드 이슈 국내 스마트폰 사용자를 노린 Win-Android/Chest 악성코드 PUP 앱의 폭발적인 증가 3) 보안 이슈 Stuxnet 기술을 이용하는 MySQL 취약점 지속적으로 보고되는 인터넷 익스플로러 use-after-free 취약점 4) 2012년 보안 동향 분석 악성코드 통계 – 2012년 악성코드,…
ASEC 보안 위협 동향 리포트 2012 Vol.35 발간 Posted By ASEC , 2013년 2월 13일 안랩 ASEC에서 2012년 11월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.35을 발간하였다. 이 번에 발간된 ASEC 리포트는 2012년 11월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 JPEG 이미지 파일을 탈취해가는 악성코드 공다팩 (Gongda Pack) 스크립트 악성코드 과도한 트래픽을 발생시키는 악성코드 1 과도한 트래픽을 발생시키는 악성코드 2 이란에서 발견된 스턱스넷과 유사한 형태의 웜 특정 기관의 공고 관련 문서로 위장한 악성코드 조어도 영유권 분쟁 관련 문서로 위장한 악성코드 18대 대선 관련 엑셀문서로 위장한 악성코드 맥도널드 공짜 쿠폰 받아가세요! Security Shield 허위 백신 해커 그룹 어나니머스 를 사칭한 랜섬웨어 발견 PayPal 결제정보 수정권고 피싱메일 주의 2) 모바일 악성코드 이슈 국내 타깃 안드로이드 악성코드 (스마트 청구서) 국내 타깃 안드로이드 악성코드 (구글 Play Store) 브라우저로 위장한…
ASEC 보안 위협 동향 리포트 2012 Vol.33 발간 Posted By ASEC , 2012년 11월 7일 안랩 ASEC에서 2012년 9월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.33을 발간하였다. 이 번에 발간된 ASEC 리포트는 2012년 9월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 인터넷 익스플로러 버전 7과 8의 제로데이 취약점을 악용하는 악성코드 자바 취약점을 악용하는 악성코드 트래픽을 유발하는 악성코드 P2P 사이트를 통해 유포되는 무협지 위장 악성코드 다양한 전자 문서들의 취약점을 악용한 악성코드 취약점을 이용하지 않는 한글 파일 악성코드 윈도우 8로 위장한 허위 백신 발견 당첨! 자동차를 받아가세요 도움말 파일로 위장한 악성코드가 첨부된 메일 UPS, Amazon 메일로 위장한 악성코드 악성코드 치료 후 인터넷 연결이 되지 않는다면 2) 모바일 악성코드 이슈 2012 미국 대선을 노린 광고성 애플리케이션 주의 일본 여성을 타깃으로 하는 Loozfon 모바일 악성코드 Anime character named Anaru(Android Malware)…
네트워크 트래픽 유발 Win32/Palevo.worm 조치가이드 Posted By ASEC , 2009년 9월 22일 1. 개 요 Win32/Palevo.worm(원본파일명 ; sysdate.exe) 악성코드 관련하여 UDP/5907, UDP/80 등 다수 트래픽을 유발하는 현상이 발생하여 긴급 조치를 위한 가이드를 작성/배포합니다. [그림 1. 관련 트래픽 차단 현황] 2. 주요 증상 주요증상은 다음과 같습니다. 1) 시스템 루트RECYCLERs-1-5-21-[숫자]에 sysdate.exe, Desktop.ini 파일을 생성. 2) 레지스트리 추가를 통해 시작프로그램에 등록. HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonTaskman “C:RECYCLERS-1-5-21-[숫자]sysdate.exe” HKEY_USERSS-1-5-21-[숫자]SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell explorer.exe,C:RECYCLERS-1-5-21-[숫자]sysdate.exe 3) 외부 사이트 접속시도 b***erfly.***Money.biz 9*.9.1*0.**3 bu****fly.s***p.es 8*.1*6.1**.7* q***asdfg.sinip.es 7*.2**.1*2.1*2 unk****.w* 7*.*0.2*.1** 3. 증상 발생 시 조치방법 1) 긴급 수동조치 추가 감염을 예방하기 위해 시스템루트RECYCLER 폴더 이하에 생성된 sysdate.exe 파일을 삭제 합니다. 삭제하는 방법은 아래와 같습니다. 먼저 Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다. 다운로드 : http://asec001.v3webhard.com/IceSword.zip 다운로드 받은 프로그램을 실행하면 위와 같은 프로그램이 실행이 됩니다. 이제 해당 파일을 삭제하기 위해 File 탭으로…
