잉카인터넷 시큐리티대응센터 블로그

k01922.exe 악성코드 분석 보고서 1. 개요 인터넷뱅킹 파밍을 시도하는 금융권 파밍 악성코드는 정부와 금융권의 지속적인 노력에도 불구하고 금전을 노리는 해커들의 공격 수단으로 계속 사용되고 있다. 다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있다. 이 보고서에서는 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 k01922.exe 파일크기 175,616 byte 진단명 Trojan/W32.KRBanker.175616.E 악성동작 인터넷 뱅킹 파밍 네트워크 m***.co.kr, 23.***.**.10, 23.***.**.18, 114.***.***...

pmsis.exe 악성코드 분석 보고서 1. 개요 최근 대부분의 일상생활을 PC를 통해 해결 가능하게 됨으로써 사용자가 인지하지 못하는 방법으로 설치되는 악성파일이 급증하고 있다. 이로 인해 PC 의 제어권을 빼앗기거나, PC 사용 정보를 유출하는 등 다수의 위험에 노출되게 된다. 이번에 분석한 pmsis.exe 의 경우 사용자가 인지하지 못하는 사이에 설치되어 PC의 사용 정보를 유출할 뿐 아니라 사용자의 키보드 사용 정보의 유출 위험성이 있어 개인정보의 유출 및 2차 피해의 우려가 있다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 pmsis.exe 파일크기 145,408 byte 진단명 Trojan/W32.Agent_Packed.145408.I 악성동작 파일/프로세스 제어, 키보드 후킹, ..

2015년 12월 악성코드 통계 악성코드 Top20 2015년 12월(12월 1일 ~ 12월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1-1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로이목마) 유형이며 총 5,491건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Gen:Trojan.Heur.JP.iu1@a847J8kP Trojan 5491건 2위 Gen:Trojan.Heur.GZ@B1ab4XA6LpO Trojan 3380건 3위 Adware/LemonWebtoon.B Adware 3148건 4위 Adware/Shortcut.AppIs.F Adware 2..

잉카인터넷, ‘2016년 신한카드 ICT 우수 협력사’로 선정 금융보안 전문기업 잉카인터넷(대표 주영흠)은 2016년 신한카드 ICT 우수 협력사로 선정됐다고 18일 밝혔다. 지난해에 이어 2년 연속 선정된 것이다. 잉카인터넷은 ‘탁월한 기술력과 파트너쉽’, ‘최고의 ICT 제품 및 서비스'를 제공 하여 신한카드 ICT 시스템 발전에 공헌한 결과, 이를 인정받아 2016년 신한카드 ICT 우수 협력사로 선정되었다. 한편, 잉카인터넷은 신한카드에 금융보안 솔루션 nProtect Online Security (이하 nProtect NOS)를 제공 및 서비스하고 있다. nProtect NOS는 금융사기로부터 개인정보를 보호하는 통합 보안 프로그램으로 키보드보안 / 웹 백신 / 개인PC 방화벽 등의 기능을 제공..

PC 부팅을 막는 MBR 악성코드 1. 개요 하드디스크의 MBR(Master Boot Record ; 마스터부트레코드) 영역을 파괴하여 PC 부팅을 못 하게 만드는 MBR 악성코드가 성행하기 시작했다. MBR 영역을 파괴하는 악성코드는 이전 한수원 해킹 사건, 3.20 사이버 테러, 6.25 사이버테러 등에서 국내 주요기관을 마비시킨 이력이 있다. MBR이란 파티션 된 저장장치(하드 디스크, 이동식 저장장치, USB메모리 등)의 가장 앞 부분에 쓰여있는, 저장장치 이용 시 반드시 필요한 정보이다. MBR에는 PC 부팅에 반드시 필요한 여러 정보(파티션정보, 부트로더 정보 등)이 손상되면 저장장치를 읽을 수 없게 되어 대표적으로 PC 부팅 실패 등 여러 이상이 발생한다. 이에 잉카인터넷 시큐리티 대응센터(..

HashCop_Bypass.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 구분내용파일명HashCop_Bypass.exe, svchost.exe파일크기1,009,152 byte진단명Trojan-Downloader/W32.Agent.1009152.C악성동작Bot, Downloader 1.2. 유포경로 HashCop_Bypass.exe는 *토렌트를 통해 유포되었다. 이 악성 파일에 대한 내용이 담긴 torrent 파일 “Inside Men, 2015 .720p.HDRip-H264.by-kyh -.torrent” 은 현재에도 토렌트 공유 사이트에 업로드 되어 있고 파일 다운로드가 가능하므로 주의가 요구된다. *토렌트 – 사용자와 사용자 간(peer-to-peer) 파일 전송 프로토콜이자 그것을 이용하..

atotal3.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 구분 내용 파일명 atotal3.exe 파일크기 438,272 byte 진단명 Trojan/W32.Agent.438272.SW 악성동작 게임 실행화면 탈취, 파일 생성실행 네트워크 115.**.***.158 에서 다운로드 1.2. 유포경로 atotal3.exe 는 네이트 피싱사이트 nete.kr(115.**.***.158)에서 유포되었다. 정상 사이트(nate.com)와 URL이 비슷한 피싱사이트는 접속 시 정상 사이트와 외관이 동일하기 때문에 이용자가 쉽게 정상 사이트로 착각할 수 있다. 피싱 사이트는 정상 사이트의 정보를 그대로 가져와 보여주지만 페이지 소스코드를 살펴보면 세 개의 악성함수가 숨겨져 있으며, 이 함수를 통해 악성코..

fgrfev1.1.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 fgrfev1.1.exe 파일크기 55,198 byte 진단명 Trojan-PWS/W32.WebGame.55198 악성동작 다운로더 네트워크 14.**.***.148/down/dll.dll 파일명 임의숫자.txt 파일크기 68,006 byte 진단명 Trojan-PWS/W32.WebGame.68006 악성동작 계정정보 탈취 네트워크 14.**.***.148 1.2. 유포경로 fgrfev1.1.exe는 복합쇼핑몰 홈페이지 www.y****k.kr/ad/fgrfev1.1.exe 에 업로드 되어 있다. 수집 당시 해당 웹사이트에는 fgrfev1.1.exe 외에도 다른 두 개의 실행파일이 업로드 되어 있었으나 현재는 다운로드되지 ..

80.exe 악성코드 분석 보고서 1. 분석 정보 1.1. 유포경로 랜섬웨어는 사용자의 PC에서 실행될 경우 PC 내의 문서, 그림 파일 등 특정 파일들을 암호화하고 복호화를 위해서 금전을 요구하는 악성파일이다. 대다수가 이메일의 첨부파일이나 변조된 웹사이트를 통해 전파되어 감염된다. 80.exe 파일은 랜섬웨어 중 TeslaCrypt에 속하며 이메일 첨부파일을 통해 전파되었다. 이메일 내용을 살펴보면 결제와 관련된 내용이며, 첨부된 .zip 파일은 .js 파일이 압축된 것을 확인 할 수 있다. 사용자가 별다른 의심없이 첨부파일을 다운로드하여 압축해제 후 .js 파일을 실행하면 80.exe 파일을 다운로드하고 실행하는 스크립트가 동작한다. [그림] 메일을 통해 유포된 랜섬웨어 80.exe 1.2. 80...

zxarps.exe 악성코드 분석 보고서 1. 분석 정보 1.1. 유포경로 zxarps.exe는 특정된 경로는 없으나 유아용 교육 콘텐츠 제작사이트 www.i****lp**s.com 에 압축파일(zx.exe) 형태로 업로드 되어 있으며, 분석 당시(12월 15일)에도 다운로드가 가능했다. 실행 시 감염PC 환경에 따라 다른 옵션값을 인자로 줘야 제대로 된 악성 동작을 수행하는 것으로 보아 단독으로 실행되기 보다는 다른 악성코드가 다운받아 실행시키는 것으로 보인다. 1.2. 악성 동작 위 유포지에 업로드 되어 있는 zx.exe파일은 별도의 압축 해제 프로그램이 필요 없는 “실행 가능한 압축파일”이다. zx.exe를 실행하면 “zxarps免杀版” 폴더가 생성되고, 해당 폴더 하위에 아래와 같이 압축 해제된 ..