Malicious Software, Friday Night Fever~!! Posted By ASEC , 2011년 6월 24일 1. 서론 ⊙ 금요일 퇴근 후 또는 학업을 마치고, PC를 사용하는 인터넷 사용자를 타겟으로 하는 악성코드가 여전히 기승을 부리고 있다. 이러한 악성코드의 감염 원인과, 예방방법을 알아보자. 2. 악성코드 유포 사이트 ⊙ 국내에서 주말마다 반복되는 악성코드 유포 경유지 이번주는 어디일까? 본격적인 어둠이 오기전 먼저 유포를 시작하는 곳 중, 한두 곳만 살펴 보았다. – 악성코드 유포 경유지 : 현재는 조치되어 유포하고 있지 않다. [그림] 악성 스크립트 유포 사이트 – 해당 사이트에 접속하면, 아래와 같은 사이트로 연결되어 악의적인 스크립트가 실행된다. [그림] 악성코드를 감염시키기 위해 다운로드 되는 파일 정보 – 이중 마지막 단계인 main.swf 파일을 살펴보자. 최근, Adobe Flash Player (CVE-2011-2110) 취약점을 이용한 악성코드 감염이 일반적이다. [그림] Adobe Flash Player 취약점을 이용한 main.swf 내부 코드 – 다운로드 받는 파일을 확인해 보자. main.swf 파일에 파라미터 “info=”를 통해 URL을…
시스템 파일을 변조하는 온라인 게임핵 악성코드 변경 Posted By ASEC , 2011년 6월 19일 1. 서론최근 윈도우 시스템 파일을 악성으로 변조하는 온라인 게임핵 악성코드가 다수 발견되고 있다. 이러한 악성코드는 대부분 웹사이트를 통해 유포되는데 계속해서 새로운 변종을 만들고 있어 많은 사용자가 감염이 되어 정보공유 차원에서 작성을 한다.2. 악성코그 감염 경로해당 악성코드는 웹사이트를 통해 유포되며 유포방법은 총 3가지 취약점을 이용한다.1) Adobe Flash Player, CVE-2011-0611위 취약점은 SWF 파일을 이용한 취약점으로 주소 banner숫자.swf, nb.swf 등의 파일명으로 유포가 이루어 진다. 분석을 해보면 아래와 같이 SWF 파일 내부에 쉘코드가 포함된 것을 확인할 수 있다. [그림 1] SWF 파일 분석 화면 해당 쉘코드를 분석하면 아래와 같이 jpg을 받아 실행함을 알 수 있다. 확장자는 jpg나 실제로는 이미지 파일이 아닌 악성코드 파일이다. [그림 2] 쉘코드 분석 후 최종 다운로드 받는 URL을 확인한 화면 2) Adobe Flash Player, CVE-2011-2110해당 취약점은 지난 6월 15일에 보안…
악성코드 유포에 이용된 Adobe Flash Player 취약점 업데이트! Posted By ASEC , 2011년 6월 15일 최근 주말에 국내 다수의 사이트에서 윈도우 시스템 파일을 악성으로 변조시키는 악성코드가 유포되었습니다. 유포에 이용된 취약점은 Adobe Flash Player 취약점이며, Adobe 사에서 금일 긴급 보안 업데이트가 이루어 졌습니다. 따라서 아래 사이트를 방문하셔서 업데이트를 꼭! 진행하시기 바랍니다.Adobe Flash Player 업데이트 : http://www.adobe.com/go/getflash상세정보 : http://www.adobe.com/support/security/bulletins/apsb11-18.html추가로 현재 시스템에 설치된 Adobe Flash Player 버전을 확인하고자 하신다면 아래 메뉴에서 확인해 보시기 바랍니다. Windows 7 : [제어판] – [시스템 및 보안] – [Flash Player] Windows XP : [제어판] – 왼쪽의 [기타 제어판 옵션] – [Flash Player] 위 메뉴를 찾아 실행 후 아래와 같이 [고급] 탭에서 확인하실 수 있습니다. 현재 최신버전은 10.3.181.26 입니다. 만약 위에 안내해드린 메뉴에서 [Flash Player] 메뉴가 존재하지 않는다면 최신버전이 아니오니 업데이트를 하시기 바랍니다. 추가로 이미 악성코드에 감염된 사용자는 인터넷 익스플로러 실행 시 브라우져가 정상적으로…
윈도우 시스템 파일을 변조하는 악성코드 주의 Posted By ASEC , 2011년 6월 1일 1. 서론최근 lpk.dll, imm32.dll 등 윈도우 중요 시스템 파일을 변조하는 악성코드가 국내 다수의 사이트에서 유포되고 있어 주의 차원에서 해당글을 작성합니다.2. 전파 경로해당 악성코드는 웹사이트를 통해 윈도우 및 기타 어플리케이션 취약점을 통해 전파되며 이때 이용되는 취약점은 주로 아래와 같습니다. Adobe Flash Player 취약점 (CVE-2011-0611)인터넷 익스플로러 취약점 (CVE-2010-0806) 이들 취약점은 모두 가장 최근에 나와 보안 업데이트가 되어 있지 않은 사용자가 많아 다수의 사용자가 해당 악성코드에 감염이 된 것으로 확인되었습니다. 3. 감염 시 나타나는 증상해당 악성코드 감염 시 특별히 눈에 띄게 나타나는 증상이 없어 사용자가 악성코드 감염을 인지할 수 있는 방법은 힘듭니다. 다만 아래와 같이 파일을 확인하여 감염 여부를 확인할 수 있습니다.[감염 확인 방법]1) 내컴퓨터를 실행하여 [도구] – [폴더 옵션] 에서 아래와 같이 설정합니다. 2) 위와 같이 설정 후 C:WindowsSystem32 폴더로 이동하여 아래…
