북핵 관련 문서파일로 위장한 악성코드 Posted By ASEC , 2013년 4월 26일 최근 북한과의 군사적 긴장 관계를 악용하는 악성코드가 발견되었다. 현재 남한과 북한은 개성공단 폐쇄 및 북한의 미사일 발사 위협 등으로 인해 군사적 위기감이 상당히 높은 상황이다. 이러한 분위기 때문에 실제로 파일을 실행하여 감염되는 사용자가 많을 것으로 보이므로 사용자의 각별한 주의가 요구되는 상황이다. [그림 1] MS워드 파일로 위장한 악성코드 특히 이번에 발견된 악성코드는 위와 같이 ‘차북핵 한국대응조치 결과가 나왔어요.exe’ 라는 파일명을 사용하고 있다. 그러나 MS워드 문서 파일 형식의 아이콘을 그대로 사용하고 있지만, 실제 파일 형식은 exe 실행 파일이다. 악성코드는 RAR 실행압축 파일로 제작되어 있으며, 해당 파일을 실행하면 12.hwp 한글 문서 파일과 다수의 PE 파일을 생성하는데 그 목록은 다음과 같다. <악성코드 실행 시 생성되는 PE파일 목록> C:DOCUME~1ADMINI~1LOCALS~1Tempgm.exe C:WINDOWSsystem32SVKP.sys C:Documents and SettingsAll UsersSysEVrc.hlp C:Documents and SettingsAll UsersSysEVrc.exe C:Documents and SettingsAll UsersSysEVrcdll.dll 해당 악성코드를 실행하면…
출장보고서 문서파일로 위장한 악성코드 Posted By ASEC , 2013년 4월 26일 악성코드를 문서파일로 위장하여 사용자PC를 교묘히 감염시키는 수법이 최근 부쩍 늘고 있다. 이번에 발견된 악성코드는 아래와 같이 '워싱톤 출장 결과 보고서.exe' 라는 파일명을 사용하고 있으며, MS워드 문서파일형식의 아이콘을 그대로 사용하고 있으므로 사용자가 문서파일로 혼동하여 실행시키도록 유도하고 있다. 악성코드는 RAR 실행압축파일로 제작되어 있으며, 해당파일을 실행하면 1.doc 문서파일과 g1.exe,mspool.dll 실행파일을 Drop 한다. 이후 1.doc 문서를 열고 g1.exe 파일을 실행시키는데, 이 때 문서파일은 손상되어 있어 MS워드에서 제대로 열리지 않는다. [그림1] doc 문서 열기실패 메시지 이후 악성코드는 'mspool.dll' 파일을 'Windows mspool service.' 라는 이름의 윈도우 서비스를 등록하고 주기적으로 동작시킨다. [그림2] 등록된 악성 서비스 등록된 악성서비스는 아래의 중국에 위치한 서버에 주기적으로 접속을 시도하나 분석 당시 해당서버는 접근이 불가능하였다. [그림3] 네트워크 연결 정보 Win-Trojan/Agent.218061 등
ASEC 보안 위협 동향 리포트 2012 Vol.28 발간 Posted By ASEC , 2012년 5월 25일 안랩 ASEC에서 2012년 4월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.28을 발간하였다. 이 번에 발간된 ASEC 리포트는 2012년 4월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 악성 DOC 문서를 첨부한 스피어 피싱 메일 북한 광명성 3호 발사 및 핵 실험을 주제로 한 악성코드 4.11 총선 이슈에 발견된 악성코드 런던 올림픽 개최를 이용한 악성코드 핵 안보 정상회담 PDF 문서로 위장한 악성코드 사회공학 기법을 이용하여 유포되는 악성 HWP 파일 국내 주요 금융기관 피싱 사이트 다수 발견 페이스북을 통해 유포되는 보안 제품 무력화 악성코드 보안 제품의 업데이트를 방해하는 Host 파일 변경 악성코드 주의 보안 제품 동작을 방해하는 온라인 게임핵 변종 Mac OS를 대상으로 하는 보안 위협의 증가 윈도우, Mac OS를 동시에 감염시키는 악성코드 자바, MS 오피스…
문서 파일에 포함된 악성코드 주의! Posted By ASEC , 2010년 5월 9일 메일을 이용하여 메일을 유포하는 방식 중 문서 파일을 이용하여 악성코드를 감염시키는 메일이 확인되어 안내해 드립니다. 이러한 기법은 예전에 발견된 내용이나 블로그에 따로 소개해 드린적이 없어 안내해 드립니다. 이러한 메일은 대부분 첨부파일로 DOC 파일 혹은 RTF 파일이 첨부되게 됩니다. 해당 첨부파일을 열면 아래와 같이 나타나게 됩니다. [그림 1. Microsoft Office 가 설치되어 있지 않은 경우] [그림 2. Microsoft Office 가 설치되어 있는 경우] 만약 시스템에 마이크로스프트 오피스가 설치되어 있으면 아래와 같이 Word 프로그램이 나타날 것이며 설치되어 있지 않을 경우 위와같이 워드패드에서 나타날 것입니다. 문서를 열게 되면 PDF 파일의 아이콘이 나타나며 더블클릭을 하라는 메세지가 보입니다. 해당 아이콘을 더블클릭 하면 아래와 같은 창이 나타나게 됩니다. 이때 [실행] 버튼을 누르게 되면 DOC 파일 내부에 있는 EXE 파일이 실행되며 악성코드에 감염되므로 주의를 하시기 바랍니다. 앞으로는…
