바이러스 백신 7

[악성코드 분석] 북한이 사용한 악성 프로그램 ‘유령쥐’ (Gh0st RAT)

북한이 사용한 악성 프로그램 ‘유령쥐’ 1. 개요지난 6월 13일 경찰청 사이버안전국은 북한이 4차 핵실험 직후인 2월, 국내 대기업 전산망을 해킹했음을 발표하였다. 발표에 따르면 북한은 악성 프로그램 ‘유령쥐’를 이용해 13만여대의 컴퓨터를 감염시켰다고 한다. 이번 보고서에선 이 유령쥐를 자세하게 알아보고자 한다. 실행파일명은 zegost.exe로 통칭 Gh0st RAT의 변종으로 불리고 있다. 여기서 RAT은 Remote Access Tool 혹은 Remote Administrator Tool로 불리며 단어의 차이는 있으나 그 뜻은 원격 접속을 보장하는 도구로 같다. 유령쥐라는 명칭 또한 Gh0st RAT이라는 영문이름에서 비롯된 것으로 보인다. 2. 분석 정보2-1. 파일 정보구분내용파일명svchs..

[악성코드 분석] 다운로드 프로그램으로 위장한 애드웨어 배포 주의

다운로드 프로그램으로 위장한 애드웨어 배포 주의 1. 개요컴퓨터를 사용하다보면 컴퓨터 문의 중 한 번쯤 이런 말을 들어봤을 것이다. “아무것도 하지 않았는데 컴퓨터가 느려졌어요.” “인터넷을 하는데 자꾸 이상한 광고가 나와요. 고쳐주세요.” 이런 문제가 있는 PC를 들여다보면 대부분 애드웨어가 원인인 것으로 밝혀진다. 애드웨어의 유포는 여러 경로지만, 보통 특정 프로그램을 설치할 때 사용자가 인지하기 힘든 방식으로 추가 설치되어 골치를 꽤 썪이곤 한다. 사실 추가설치 자체는 잘못된 방식이 아니다. 마이크로소프트사의 오피스 프로그램만 하더라도 ‘워드’만 설치할지, ‘엑셀’도 설치할지 사용자 편의에 맞게 프로그램 설치를 할 수 있기에 추 후 있을 사항을 대비해 추가설치는 꼭 필요한 형태의 설치 방식이다. 또..

[악성코드 분석] CryptXXX 랜섬웨어 주의

CryptXXX 랜섬웨어 분석 보고서 1. 개요 흔히 많은 사람들은 악성코드는 .exe 파일을 실행하여 감염되는 것으로 알고 있다. 하지만 사람들의 생각과 다르게 .exe 파일 실행이 아니어도 악성코드에 감염되는 방식은 다양하다. 이번 보고서에서는 그 예 중 하나로 .dll 파일형태이며 최근 대형 커뮤니티에 유포되어 문제를 일으킨 랜섬웨어 CryptXXX에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 CryptXXX.dll (임의의 파일명) 파일크기 402, 432 Byte 진단명 Ransom/W32.CryptXXX.402432 악성동작 파일 암호화를 통한 Bit-coin 요구 2-2. 유포 경로 CryptXXX 는 주로 Angler Exploit Kit 을 통해 전파된다..

[악성코드 분석] 백도어 악성코드 분석

백도어 악성코드 분석 보고서 1. 개요 여러 악성코드 종류 중에서 표적의 정보를 탈취하거나 추가적인 공격에 흔히 사용되는 악성코드를 백도어 악성코드라고 불린다. 일반적으로 백도어의 의미는 사용자에게 정상적인 인증을 거치지 않고 공격자가 PC에 접근할 수 있는 동작을 말한다. 이번 보고서에서는 백도어 악성코드를 분석하여 백도어 악성코드가 가지고 있는 일반적인 기능과 방식에 대해 이야기한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 server.exe 파일크기 737,280 Byte 진단명 Trojan-Spy/W32.Agent.737280.D 악성동작 백도어, 사용자 정보 탈취 3. 악성 동작 3-1. 추가 악성 파일 다운로드 분석한 악성코드는 특정 URL에서 추가적인 파일을 내려 받고 실행시킨..

[악성코드 분석] 인터넷 뱅킹 파밍 KRbanker 악성코드 주의

인터넷 뱅킹 파밍 KRBanker 악성코드 분석 보고서 1. 개요 인터넷뱅킹 파밍 악성코드는 정부 및 금융기관의 노력에도 불구하고 해커들의 공격 수단으로 계속 사용되고 있다. 다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있어 치료에 한계가 따른다. 이 보고서에서는 활동이 급증하고 있는 악성파일 'KRBanker'을 분석하여, 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 KRBanker_d8dba.exe 파일크기 338,944 byte 진단명 Banker/W32.Agent.338944 악성동작 금융정보 탈취 네트워크 104.***.***.27 (파밍서버..

[악성코드 분석] 모바일 결제방식 추가, Rokku 랜섬웨어 주의

Rokku 랜섬웨어 분석 보고서 1. 개요2015년도 악성코드의 뜨거운 감자가 금융권 파밍 악성코드였다면, 2016년 가장 주목 받게 될 악성코드 유형은 랜섬웨어가 아닐까 한다. 최근 가장 많이 발견되고 있을 뿐만 아니라, 한번 감염되면 그 피해가 크다는 점에서 현재 가장 위협적인 악성코드이다. 게다가 랜섬웨어는 그 수가 폭발적으로 증가하면서 암호화 방식이나 동작 유형이 다양하게 등장하고 있어 사용자들에게 더욱 공포감을 심어주고 있다. 이번 보고서에서는 수 많은 변종 랜섬웨어 중 하나인 rokku 랜섬웨어에 대해 이야기한다. 2. 분석 정보2-1. 파일 정보구분내용파일명rokkuRansom.exe (임의의 파일명)파일크기681,984 Byte진단명Trojan/W32.Deshacop.681984악성동작파일..

[악성코드 분석] SWF 취약점을 통해 전파된 랜섬웨어

SWF 취약점을 통해 전파된 랜섬웨어 분석 보고서 1. 개요 악성코드의 목적은 금융정보 탈취, 파일 암호화, DDoS 공격용 좀비PC 생성, 단순 PC 파괴 등 다양하다. 그리고 공격자는 이런 악성코드가 사용자의 PC에서 실행되도록 다양한 수단을 이용한다. 취약점 CVE-2016-1019 도 그 중 하나이다. CVE는 Common Vulnerabilities and Exposures의 약자로, 보안 취약점 정보를 제공하는 시스템을 말한다. 각 취약점 별로 번호를 붙여 식별하고, 이 랜섬웨어에서 사용한 CVE-2016-1019 는 2016년 4월에 발견된 취약점으로, Adobe Flash Player 21.0.0.197 이하 버전을 사용할 경우 이 취약점에 노출된다. 이 보고서에서는 CVE-2016-101..