잉카인터넷 시큐리티대응센터 블로그

1. 개 요 최근 해외를 중심으로 지속적인 유포가 이루어졌던 허위백신이 이번에는 실제 Anti-Virus 제품인 AVG로 위장하여 유포 중인 것이 확인되었다. 실제 AVG Anti-Virus 제품을 사용해보지 못했거나 국내 백신제품을 주로 이용하던 사용자들은 이 허위백신이 마치 정상 Anti-Virus 제품인 것으로 현혹될 수 있기 때문에 주의가 필요하다. 2. 감염경로 및 증상 이번에 발견된 허위백신 또한 다른 허위백신과 마찬가지로 이메일의 첨부 파일, 변조된 웹사이트 접근, 또는 트위터와 페이스북 등의 SNS(Social Network Service)를 통한 링크 접속으로 아래의 그림과 같은 허위백신 설치파일을 다운로드할 수 있다. 다운로드된 허위백신 설치파일은 실제 AVG 제품과 유사한 아이콘 모양..

1. 개 요 최근 DDoS 공격명령 전달 등이 가능한 트위터 봇을 생성하는 툴킷이 보고되면서 사용자들의 각별한 주의가 요구되고 있다. 이러한 툴킷은 악성파일 제작 전문가가 아니더라도 해당 툴을 이용해 DDoS 공격명령 전달 등이 가능한 악성파일을 손쉽게 제작할 수 있어 많은 주의가 필요하며, 관련한 대책 마련이 시급한 상황이다. [참고 : 백신 못 잡는 ‘트위터 좀비PC’, 누구든 완전범죄 공격자로 ] http://www.boannews.com/media/view.asp?idx=24702&kind=1 2. 감염 경로 및 증상 해당 트위터 봇 생성 툴킷은 Google 등 검색 포털 사이트를 통해 쉽게 접할 수 있으며, 악성파일 제작자가 아니더라도 해당 생성 툴킷을 이용해 손쉽게 악성파일을 제작할 수 있다...

1. 개 요 현재 가장 널리 알려진 봇넷은 제우스(Zeus)이다. 해당 악성파일은 사용자의 금융 계정 정보 등의 탈취를 주목적으로 하고 있으며, 악성파일의 제작에 사용되는 툴킷 등이 블랙마켓을 통해 조직적으로 거래되고 있다. 그런데 2010년경부터 스파이아이(SpyEye)라는 제우스 봇넷의 경쟁 툴킷이 등장했고 최근까지 버전이 업그레이드되며, 지속적인 거래가 이루어지고 있는 것으로 알려졌다. 스파이아이는 2010년 하더만(Harderman)이 제우스 개발자 슬래빅(Slavik)으로부터 소스 코드를 공식 인수하면서 본격적인 활동이 시작되었으며, 현재도 스파이아이와 제우스의 소스코드를 통합하는 작업이 진행 중이라고 보고되었다. 또한, 제우스와 경쟁 관계다 보니 툴킷에 자연스럽게 "Kill Zeus" 기능 등..

1. 개요 최근 까지 인스턴스 메신저 또는 쪽지 등을 통하여 직접적인 파일 다운로드 방식으로 악성파일을 유포 하였던 일명 "네이트온 악성파일"이 특정 인터넷 게시판으로 접속을 유도한 뒤 웹 브라우저의 취약점을 이용하여 감염을 유발하는 등 좀 더 다양하고 지능된 유포 방식이 확인 되어 관련 글을 작성하여 보았다. [참고 : 메신저 쪽지 등으로 유포되는 악성코드 주의] http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=56&page= [참고 : 네이트온 쪽지로 유포 중인 악성코드 그림 파일] http://viruslab.tistory.com/1788 2. 감염 방식 및 취약점 정보 2-1. 감염 방식 최초 악의적인 공격자에 의하여 해..

1. 개요 Ransomware로 알려진 악성파일 유포 사례가 지속적으로 증가하고 있는 추세 이다. 이러한 가운데 사용자 컴퓨터의 바탕화면을 잠그고 해제가 가능한 코드를 제공하는 대신 금액 지불을 요구하는 악성파일 이 해외에서 다수 발견되고 있어, 이에 대한 사용자들의 각별한 주의가 요망된다. 현재 해당 악성파일은 Ransomware 형태로서, 컴퓨터에 감염되면 특정 경로에 악성파일을 생성한 후 시스템을 강제 재부팅 하게된다. 재부팅 되어진 컴퓨터는 사용자가 정상적으로 사용이 불가능하도록 바탕화면을 잠금 상태로 바꾼뒤 "Ransom"을 강요하게 된다. 종래의 악성파일은 단순히 컴퓨터의 정보유출 및 내부의 파일을 무차별하게 파괴하는 등의 목적 수행에 그 초점을 두고 있으나 Ransomware 형태의 경우 금..

1. 개 요 해외시각으로 2011년 1월 20일 해외 보안 업체 등을 통해 트위터 웜이라는 제목하의 허위백신(Fake AV) 유포 사례가 보고되어 Social Network Service(SNS) 사용자들의 주의가 요구되고 있다. 많은 사용자를 보유하고 있는 SNS인 트위터를 통해 해당 사례가 발견되어 피해가 더욱 클 것으로 예상되며, 유포방식으로 Google 단축주소를 활용한 점이 특징이다. [ 참고 : Fake anti-virus attack spreads on Twitter via goo.gl links ] http://nakedsecurity.sophos.com/2011/01/20/fake-anti-virus-attack-twitter-via-goo-gl-links/?utm_source=feedb..

1. 개 요 지난번 글에서 언급하였던 Ransomware의 변종이 해외에서 또 다시 발견되었다. Ransomware는 주로 사용자의 PC에 존재하는 특정 파일들을 암호화하거나 배경화면을 잠그고 제작자가 원하는 화면을 사용자에게 보여주어 암호해제를 위한 키 입력을 주문 등의 증상을 보이며, 복호화를 위한 키 값을 제공하는 조건으로 금품을 요구하고 있다. 업무상 중요한 문서 등이 암호화되거나 PC를 정상적으로 사용할 수 없는 경우가 발생한다면 심각한 금전적 피해가 일어날 수 있다. 이번에 발견된 변종은 어떠한 방식을 취하여 사용자들에게 피해를 줄 수 있는지 알아보도록 하자. 참고 : 금품요구 목적의 새로운 Ransomware 출현! http://erteam.nprotect.com/84 참고 : Ransomw..

1. 개 요 해외시각으로 2011년 1월 18일 Microsoft 블로그를 통해 클라우드 기반의 Anti-Virus 동작을 방해할 수 있는 악성파일이 출현했다는 보고가 있었다. 이번에 보고된 해당 악성파일은 사용자를 속이는 일종의 사회공학적 기법을 사용한 프로그램 설치본 형태를 띠고 있으며, 현재 주목받고 있는 클라우드 시스템을 대상으로 한 최초의 악성파일인 점에서 새로운 보안 위협으로 작용할 전망이다. 참고 : Bohu Takes Aim at the Cloud [ http://blogs.technet.com/b/mmpc/archive/2011/01/19/bohu-takes-aim-at-the-cloud.aspx ] 2. 악성파일 정보 해당 악성파일은 아래의 그림과 같이 아이콘만 얼핏 보면 동영상과 관련..

1. 개 요 2011년 1월 11일, 16일 양일간 국내 특정 인터넷 쇼핑몰, 웹하드 사이트에 악성파일이 삽입되어 유포 중이라는 보고가 있었다. 물론 해당 웹사이트에 접속하는 것만으로 당장 악성파일이 다운로드 되거나 실행되지는 않는다. 다만, 시일이 지났음에도 불구하고 아직까지 해당 업체들로부터 삽입된 악성파일에 대한 조치가 이루어지지 않고 있다는 점과 악성파일을 유포하는 사이트 중 웹하드 관련 사이트가 포함되어 있다는 점 등으로 인해 사용자들의 각별한 주의가 요구되고 있다. 하기의 설명을 참고하여 어떠한 악성파일이 유포되고 있는지 알아보도록 하자. 2. 사이트에 삽입된 악성파일 및 감염 증상 하기와 같은 사이트에 악성파일이 삽입되어 있으며, 이로인해 삽입된 악성파일에 대한 추가적인 유포 등이 가능할 것..

1. 개요 최근들어 개인정보 유출을 목적으로 하는 악성 파일들이 다양한 유포방식을 통하여 발견 되어지고 있다. 이러한 가운데 윈도우 운영체제의 중요 시스템 파일을 변조 하거나 백신 프로그램 검사 우회, 치료나 삭제시 시스템에 영향을 주는 악성파일들이 발견 되어짐에 따라 사용자들의 각별한 주의와 신속한 대응 전략이 마련 되어져야 할 것으로 보여지고 있다. 2. 감염 방식 및 취약점 정보 2-1. 감염 방식 현재 해당 악성파일은 사용자가 변조되어진 웹 페이지를 열람할 경우 MS 보안 취약점에 노출되어진 컴퓨터에서 악성파일이 실행되어 진다. 최근까지도 발생하고 있는 정상 Comres.dll 변조 악성파일은 인스턴스 메시지나 쪽지 등의 확인되지 않은 URL 접근시 또는, 변조되어진 웹 페이지를 열람 할 경우 감..