ahnlab

스마트폰을 좀비화시키는 DroidKungFu 악성코드 등장.

1. 개 요 안드로이드폰을 강제루팅 후 권한을 탈취하여 좀비화시키는 악성코드가 또 다시 발견되었다. 해당 악성코드는 'DroidKungFu' 라 불리며,  이전 DroidDream 악성코드와 유사한 패턴을 갖고 있지만 좀 더 정교한 코드와 복잡한 기능을 수행함으로서 악성코드가 계속 진화하고 있다는 것을 증명하고 있다. 본 포스트를 통해 악성코드가 어떻게 진화하였는지 알아보자. 2. 분 석 유포 경로 'DroidKungFu' 악성코드는 정상 앱을 리패키징(re-package) 하여 유포되며, 중국 내 몇몇의 App Market 과 forum 들에서 유포되었다.                                                             그림. 악성 어플 정보 수집 해당 악성코드가 설치되면, 먼저 doSearchReport() -> updateInfo() 함수를 통해 스마트폰의 다양한 정보들을 수집 후 특정 서버로 전송한다.                                                          그림. dosearchReport                                                          그림. updateinfo 이 과정에서 탈취되는 정보와 유출 경로는 다음과 같다 – 탈취 정보 imei ostype osapi model SDKVersion SDcard info internal Memory Size Net operator phone number running service – 유출 경로 http://www.xinh*****.com:8111/GetCert/DevInfo? http://search.go**********id.com:8511/search/getty.php…

[악성스팸경보] FedEx 메일을 위장한 악성스팸!

빈번하게 발견되는 악성코드를 첨부한 악성 스팸 메일은 facebook, twitter 등의 소셜네트워크  뿐만 아니라DHL, UPS, FedEx 등과 같은 택배회사를 위장하여 악성 스팸 메일을 유포하는 사례가 다수 발견되고 있다. 이 번에 FedEx 메일로 위장하여 악성코드를 첨부한 스팸메일이 발견되어 사용자들의 주의가 필요하다. 아래 링크는 블로그를 통해 기존에 FedEx 메일로 위장한 악성 스팸에 대해 포스팅 된 글이다. 2009/10/20 Fedex Tracking [숫자] 참고로, UPS, DHL 등의 메일로 위장한 악성스팸도 다수 발견되고 있으며 블로그에 게시된 글들은 아래와 같다. 2010/07/02 UPS #(숫자) 제목의 악성스팸메일 주의하세요!  2010/01/12 UPS Delivery Problem NR.숫자 (2) 2009/11/06 [주의] “UPS Delivery Problem” 스팸 메일 (2) 2009/10/28 “UPS Invoice 5305325782943” 스팸 메일 주의! (1) 2009/11/11 [악성 스팸메일 주의!] “DHL Tracking Number 3YMH6JJY” (1) 2009/10/20 DHL service. Please get your parcel. Delivery NR.[숫자] (9) 2009/10/16 DHL…

[악성스팸메일] Spam from your Facebook account

2011년 페이스북(facebook) 사용자가 10억명을 넘어설 것이라는 예측이 나오는 가운데, 악성코드 제작자가악성코드를 유포를 위해  엄청난 사용자를 확보한 페이스북을 사칭하여 이를 악용하는데 최적의 소재이다. 이미 페이스북을 사칭하여 악성코드를 첨부한 스팸메일이 지속적으로 발견되고 있으며 이는 단연 페이스북 뿐만 아니라 트워터, 마이스페이스 등도 악성코드 제작자에 의해 악성코드 유포에 악용되고 있다. 참고로 블로그를 통해 포스팅하였던 페이스북을 위장하여 악성코드를 첨부한 스팸메일 관련 글은 아래와 같다. 2010/04/27   Facebook Password Reset Confirmation! Support Message. 2010/02/14   updated account agreement 2009/12/26   “new login system”, “Facebook Update Tool” 2009/12/16   Facebook Password Reset Confirmation. Important Message 2009/10/29   , 스팸 메일 주의! 이번에 발견된 페이스북을 위장한 악성 스팸메일의 제목과 본문은 아래와 같다. 메일제목 : Your password is changed 메일본문 Good afternoon Spam is sent from your FaceBook account. Your password has been changed for…

imm32.dll을 패치하는 악성코드 조치 가이드 Ver. 2.0

1. 서 론 imm32.dll을 패치하는 악성코드와 관련된 피해사례가 꾸준히 접수되고 있어 확인해 본 결과 기존의 방식과는 조금은 다른 방식을 사용하여 악성코드를 실행하도록 되어 있어 일반 사용자들을 위해서 “imm32.dll을 패치하는 악성코드“에 대한 정보를 업데이트하였다. 2. imm32.dll을 패치하는 악성코드, 수동조치는 어떻게? 최근에 발견된 imm32.dll을 패치하는 악성코드를 수동조치하기 위해서는 두 가지 경우의 수를 두고 수동조치를 해야한다. Case 1. 정상 imm32.dll -> imm32A.dll로 백업 후 순도 100%의 악성 imm32.dll로 교체되는 경우 Case 1에 해당하는 PC에서 안리포트를 실행하여 프로세스 & 모듈 -> 로드된 모듈 부분을 살펴보면 아래 그림처럼 이름 기준으로 서명이 Unsigned된 imm32.dll과 Signed catalog(nt5.cat)된 imm32a.dll파일 두 개가 실행 중임을 알 수 있다. [그림 1] Case 1에 해당하는 PC의 상태 Unsigned된 imm32.dll은 순도 100%의 악성 imm32.dll이며, Signed catalog(nt5.cat)된 imm32a.dll은 악성코드가 백업한 정상 imm32.dll이다. 수동조치는 아래 단계를 거친다….

[긴급] MBR 및 파일 손상 !! 시스템 복구 불가능 !! 부팅전에 전용백신으로 조치하세요 !!

◆ 서론  2011년 3월 3일부터 국내 웹사이트를 겨냥한 DDoS 공격 및 감염PC의 시스템 손상을 일으키는 악성코드가 발견 되었습니다. 시스템 손상은 하드디스크 내부에 존재하는 모든 문서파일 등 주요파일을 손상시킨 후 부팅에 관여하는 MBR 정보를 파괴하여 PC를 부팅불가 및 데이터복구 불가 상태로 만들게 됩니다. 이에 아래 조치 가이드를 활용하여 즉시 예방조치 하실 것을 권해 드립니다. (본 문서는 윈도2000 이상의 모든 OS군에 유효 합니다.) 1. 현재 사용 중인(전원이 켜있는) 컴퓨터의 예방조치 방법  A. 안철수연구소 홈페이지에 접속하여 [전용백신 다운로드] 후 검사 2. 현재 사용 중이지 않은(전원이 꺼진) 컴퓨터의 예방조치 방법  A. 안전모드(네트워크사용)로 부팅  B. 안철수연구소 홈페이지에 접속하여 [전용백신 다운로드] 검사 따라서, 최초 시스템을 부팅하실때 안전모드(네트워크 사용)으로 부팅하여, 안철수연구소에서 제공하는 전용백신으로 선 조치 후 PC 를 사용하시기 바랍니다. MBR 이란? 하드 디스크의 맨 앞에 기록되어…