악성파일92 [악성코드 분석] fgrfev1.1.exe fgrfev1.1.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 fgrfev1.1.exe 파일크기 55,198 byte 진단명 Trojan-PWS/W32.WebGame.55198 악성동작 다운로더 네트워크 14.**.***.148/down/dll.dll 파일명 임의숫자.txt 파일크기 68,006 byte 진단명 Trojan-PWS/W32.WebGame.68006 악성동작 계정정보 탈취 네트워크 14.**.***.148 1.2. 유포경로 fgrfev1.1.exe는 복합쇼핑몰 홈페이지 www.y****k.kr/ad/fgrfev1.1.exe 에 업로드 되어 있다. 수집 당시 해당 웹사이트에는 fgrfev1.1.exe 외에도 다른 두 개의 실행파일이 업로드 되어 있었으나 현재는 다운로드되지 .. 2015. 12. 29. [악성코드 분석] 80.exe (랜섬웨어) 80.exe 악성코드 분석 보고서 1. 분석 정보 1.1. 유포경로 랜섬웨어는 사용자의 PC에서 실행될 경우 PC 내의 문서, 그림 파일 등 특정 파일들을 암호화하고 복호화를 위해서 금전을 요구하는 악성파일이다. 대다수가 이메일의 첨부파일이나 변조된 웹사이트를 통해 전파되어 감염된다. 80.exe 파일은 랜섬웨어 중 TeslaCrypt에 속하며 이메일 첨부파일을 통해 전파되었다. 이메일 내용을 살펴보면 결제와 관련된 내용이며, 첨부된 .zip 파일은 .js 파일이 압축된 것을 확인 할 수 있다. 사용자가 별다른 의심없이 첨부파일을 다운로드하여 압축해제 후 .js 파일을 실행하면 80.exe 파일을 다운로드하고 실행하는 스크립트가 동작한다. [그림] 메일을 통해 유포된 랜섬웨어 80.exe 1.2. 80... 2015. 12. 28. [악성코드 분석] zxarps.exe zxarps.exe 악성코드 분석 보고서 1. 분석 정보 1.1. 유포경로 zxarps.exe는 특정된 경로는 없으나 유아용 교육 콘텐츠 제작사이트 www.i****lp**s.com 에 압축파일(zx.exe) 형태로 업로드 되어 있으며, 분석 당시(12월 15일)에도 다운로드가 가능했다. 실행 시 감염PC 환경에 따라 다른 옵션값을 인자로 줘야 제대로 된 악성 동작을 수행하는 것으로 보아 단독으로 실행되기 보다는 다른 악성코드가 다운받아 실행시키는 것으로 보인다. 1.2. 악성 동작 위 유포지에 업로드 되어 있는 zx.exe파일은 별도의 압축 해제 프로그램이 필요 없는 “실행 가능한 압축파일”이다. zx.exe를 실행하면 “zxarps免杀版” 폴더가 생성되고, 해당 폴더 하위에 아래와 같이 압축 해제된 .. 2015. 12. 24. [악성코드 분석] Cribinst.exe (인터넷 뱅킹 파밍) Cribinst.exe 악성코드 분석 보고서 1. 분석 정보 1.1. 개요 Cribinst.exe 파일은 기타 금융권 악성파일과 동일하게 hosts 파일을 변조하고 인터넷 접속 시 가짜 금융권 사이트로 연결되어 개인정보 입력을 유도한다.다만, 기존의 금융권 악성파일과는 다르게 화면을 캡쳐하여 저장하는 기능이 추가되었다. 1.2. 동작 Cribinst.exe 파일 실행 시 C:\ 하위에 '1b'이란 파일을 생성한다. 확장자가 없는 '1b' 파일은 .bmp파일 포맷을 가지며. 해당 파일을 확인하면 악성코드에 의해 PC 실행화면 중 일부가 캡처된 이미지 파일임을 알 수 있다. [그림] 악성코드에 의해 캡처된 PC 실행화면 또한, C:\windows\system32\drivers\etc\hosts, hosts... 2015. 12. 23. [악성코드 분석] 0f591.exe 0f591.exe 악성코드 분석 보고서 1. 분석 정보 0f5911e332df35dca….exe(이하 0f591.exe)의 유포경로는 알려진 바가 없으나, 게임 '스타 크래프트' 아이콘을 사용하고 있어, 해당 게임 이용자를 대상으로 게임 유틸리티로 가장해 유포된 것으로 추정된다. [그림] 게임 아이콘로 가장한 0f591.exe 아이콘 0f591.exe를 실행하면 여러 폴더에 악성동작을 위한 파일(qwe.exe)을 생성하고 실행시킨다. 생성된 파일은 아래와 같으며, 파일명 qwe.exe인 두 파일은 동일한 파일이다. 경 로 파일명 C:\DOCUME~1\사용자명\LOCALS~1\Temp qwe.exe 234234234.ico C:\WINDOWS qwe.exe [표] 생성 파일 이후 실행된 qwe.exe는 C.. 2015. 12. 22. [월간동향] 2015년 10월, 11월 악성코드 통계 2015년 10월 악성코드 통계 (1) 악성파일 탐지 현황 2015년 10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 *악성파일 현황을 조사하였으며, [그림 1]은 접수된 악성파일 중 가장 많이 탐지된 악성파일 20건을 탐지 건수를 기준으로 정리한 악성파일 Top20현황이다. 가장 많이 탐지된 악성파일은 Trojan(트로이목마) 유형이며 총 11,500명의 사용자가 피해를 입었다. *악성파일 현황은 nProtect Anti Virus-Spyware(nProtect AVS) 등 nProtect 제품에서 탐지된 악성파일을 기준으로 작성됨. [그림 1] 2015년 10월 악성파일 Top20 현황 (2) 악성코드 진단 비율 10월 한달 동안에는 접수된 악성파일.. 2015. 12. 21. 이전 1 2 3 4 5 6 7 ··· 16 다음
