Torrent

국내 유명 웹하드를 통해 유포되는 njRAT 악성코드

njRAT 악성코드는 사용자의 개인 정보를 탈취하며 공격자의 명령을 받아 실행할 수 있는 RAT 악성코드로, 국내에서 개인을 상대로 꾸준히 유포되고 있다. https://asec.ahnlab.com/1367 진단 로그를 분석한 결과 njRAT은 주로 웹하드나 토렌트 등 자료 공유 사이트를 통하여 게임, 인증 툴, 유틸리티 등의 정상 파일로 위장하여 유포되며, 대부분의 경우 원본 프로그램이 실행됨과 동시에 악성코드가 감염되어 사용자 입장에서는 감염 사실을 파악하기 쉽지 않다. ASEC 분석팀은 njRAT 악성코드가 국내 웹하드 사이트를 통해 유포 중인 사례를 소개하고자 한다. 최근 유포된 njRAT의 파일명을 기반으로 역추적한 결과 다음과 같이 국내…

영화 ‘반도’ 동영상 파일로 위장하여 백도어 유포 중 (Torrent)

지난 6월 24일 ASEC 분석팀은 현재 상영중인 영화 “결백” 영화 파일을 위장한 백도어 악성코드의 유포 현황을 발견하였다.  그리고 8월 5일 동일 류의 악성코드를 모니터링 중 최신 영화인 “반도” 영화 파일로 새롭게 위장한 백도어 악성코드가 유포되는 정황을 포착하였다. 공격자는 지난 번과 동일하게 일반 사용자들이 많이 이용하는 “토렌트(Torrent)”를 통해 악성코드를 유포하였으며, 업로드 시점은 8월 4일 02시 20분으로 확인되었다. 자사 ASD(AhnLab Smart Defense) 인프라에 따르면 해당 파일에 의한 감염자 수가 빠르게 증가하고 있다. https://asec.ahnlab.com/1351 유포지에서 다운로드 된 토렌트 파일명은 영화 파일(“반도.2019.1080p.x265.Netbox.zip“)인 것처럼 보이지만, 실제 파일의 확장자는 zip 압축 파일이다. 해당 압축 파일…

AV(19+) 에도 AV(Anti-Virus)는 필요하다 !?

  1. 파일 공유사이트, utorrent, P2P 프로그램에서 다운로드 받은 파일 주의 ! – 파일 공유사이트에서 받은 파일, 믿을 수 있을까 ? – 많은 사람들이 파일 공유사이트를 이용하는 가장 큰 이유중에 하나는 접근하기 쉽고, 원하는것을 쉽게 얻을 수 있어서 일것 이다. 하지만, 파일 공유사이트 및 특정사이트의 접속만(취약점)으로 악성코드에 감염되는 사례를 다수 보여왔고, 현재에도 여전히 유효하다. – 악성코드 유형 및 배포 URL 자료  [그림] 악성코드 유형 분포도 / 악성코드 배포 URL 2. 내 PC의 보안패치, 응용프로그램 패치로 취약점을 조치한다면, 안전할까? – 악성코드가 이용하는 취약점을 패치하였다면, 사이트 접속만으로 감염되지는 않는다. 하지만, 공유되는 파일에 대한 안전성까지 보장하는 것은 아니다. – 파일 공유사이트가 악성코드 경유지 뿐만 아니라, 악성코드 제작자의 유포지로 악용되는 점을 안내하고자 한다. 3. 파일 공유사이트, utorrent, P2P 프로그램에서 받은 동영상(AV) 을 살펴 보자. [그림] 동영상으로 추정되는, exe 로 압축된 형태의…

Ahnlab 프로그램으로 위장한 악성코드 주의! – AhnLaB 레지스터리 최적화 적용파일.exe

금일 안철수연구소 제품으로 위장한 악성코드가 발견되어 해당 내용에 대해 공지합니다. 이 악성코드는 “AnhLaB 레지스터리 최적화 적용파일.exe“ 라는 파일명으로 torrent (p2p방식의 파일공유) 등을 통하여 유포되고 있으며, 마치 Ahnlab 이 만든 정상프로그램인 것처럼 사용자들을 속여, 악성코드를 실행하게 만들고 있어 주의가 요구됩니다. 아래 그림에서 확인할 수 있듯이, 악성코드는 torrent 공유사이트 등을 통해 안철수연구소의 레지스터리 최적화 프로그램이란 내용으로 현재 빠르게 전파되고 있습니다. [그림1. 악성코드파일이 torrent 공유사이트에 공유된 화면] 해당 악성코드는 아래그림의 아이콘과 “AnhLaB 레지스터리 최적화 적용파일.exe” 란 파일명을 사용하고, 크기는 336KB 정도됩니다. [그림2. Ahnlab 제품으로 위장한 악성코드] 악성코드 파일의 속성을 보시면 Ahnlab 에서 만든 파일이 아닌 것을 쉽게 확인하실 수 있습니다. [그림3. 악성코드 파일의 속성] 실제 안철수연구소에서 레지스트리를 수정해주는 제품은 Registry fix 전용백신으로, 아래와 같은 아이콘을 사용하고 있습니다. [그림4. Ahnlab 에서 베포하는 Registry fix 전용백신] 파일 우클릭 -> 속성에서 확인하실 수…