엔프로텍트120 [월간동향] 2015년 10월, 11월 악성코드 통계 2015년 10월 악성코드 통계 (1) 악성파일 탐지 현황 2015년 10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 *악성파일 현황을 조사하였으며, [그림 1]은 접수된 악성파일 중 가장 많이 탐지된 악성파일 20건을 탐지 건수를 기준으로 정리한 악성파일 Top20현황이다. 가장 많이 탐지된 악성파일은 Trojan(트로이목마) 유형이며 총 11,500명의 사용자가 피해를 입었다. *악성파일 현황은 nProtect Anti Virus-Spyware(nProtect AVS) 등 nProtect 제품에서 탐지된 악성파일을 기준으로 작성됨. [그림 1] 2015년 10월 악성파일 Top20 현황 (2) 악성코드 진단 비율 10월 한달 동안에는 접수된 악성파일.. 2015. 12. 21. [악성코드 분석] 111.exe (랜섬웨어) 111.exe 악성코드 분석 보고서 1. 분석 정보 http://3****r****n****l***o.com/wp-includes/Text/111.exe 에서 다운로드된 악성코드 111.exe는 특정된 유포경로가 없으나, 웹사이트에 삽입된 익스플로잇이나 이메일을 통해 전파된 것으로 보인다. 111.exe는 사용자 동의없이 PC의 특정 파일들을 암호화하여 사용할 수 없게 하며, 원상복구 대가로 금액을 요구하는 이른바 랜섬웨어다. 실행 시 주요 파일들을 암호화하여 원본파일과 동일한 위치에 원본파일명.ccc 파일을 만들고 원본을 삭제한다. [그림] 감염 전 후 파일비교 모든 폴더에는 복호화 방법을 설명하는 두 파일(_how_recover_kug.html과 _how_recover_ kug.txt)을 생성하고, .. 2015. 12. 21. [악성코드 분석] winhost.exe winhost.exe 악성코드 분석 보고서 1. 분석 정보1.1. 개요고객의 신고에 의해 접수되어 유포 경로가 확인되지 않은 winhost.exe 파일은 실행된 PC에 동작 중이던 정상 프로세스들에 악성코드를 인젝션 하는 동작을 수행한다. 인젝션 된 악성코드는 추가적으로 악성파일 또는 악성코드를 다운로드 한다. 1.2. winhost.exewinhost.exe 파일을 실행하면 현재 동작중인 프로세스 중에서 “explorer.exe” 를 찾는다. 이후 정상 동작 중이던 explorer.exe 프로세스 및 하위 프로세스들에 악성동작을 하기 위한 특정 코드를 인젝션한다. 1.3. 감염된 프로세스 winhost.exe 파일에 의해 정상 프로세스에 인젝션 된 코드는 winhost.exe 파일을 숨기기 위해.. 2015. 12. 16. [악성코드 분석] ver.exe (백신설치 여부 확인) ver.exe 악성코드 분석 보고서 1. 분석 정보 악성파일 ver.exe는 http://l****o***b.co.kr/upload/ver.exe 로부터 최초 발견 되었으며 유포경로가 특정 지어지지 않았다. 다운로드 경로인 해당 사이트(l****o***b.co.kr) 는 이용자가 많은 컴퓨터분야 사이트이기에 사이트의 규모, 크기에 상관없이 공격 표적이 될 수 있음을 보여준다. ver.exe 는 실행 시 C:\Program Files\ 하위에 fuck.dll 파일을 생성하고, 이 파일을 사용하여 서비스를 생성하며 동작을 마친 ver.exe는 자신을 삭제하고 종료한다. [그림]다운로드된 ver.exe fuck.dll을 사용해 생성된 악성 서비스의 이름은 I16410687K이며 “Microsoft Device.. 2015. 11. 26. [악성코드 분석] df.exe (계정정보 탈취) df.exe 악성코드 분석 보고서 1. 분석 정보 df.exe는 출판사 홈페이지 http://www.a****o*k.net/upload_data/temp_files/df/df.exe 에서 발견됐으며 정확한 유포경로는 밝혀지지 않았다. 악성코드 df.exe는 260140.txt(랜덤숫자.txt)의 특정 파일을 임시폴더에 생성하고 실행시킨 후 자신을 삭제한다. 생성된 파일은 확장자명이 txt지만 사실 dll파일이며 *rundll32.exe를 통해 실행된다. (*rundll32.exe : 자체적으로 실행할 수 없는 dll 파일을 실행할 때 사용되는 윈도우 정상 프로그램) 260140.txt 는 rundll32.exe를 사용해 함수 xx를 호출한다. 함수 xx는 레지스트리 키 HKEY_CURRENT_USER\S.. 2015. 11. 25. [악성코드 분석] Duuzer Duuzer 악성코드 분석 보고서 1. 개요 1.1. 분석환경 운영체제 Windows XP SP3 32bit (한글) 분석도구 IDA, PEview, OllyDbg 등 1.2. Duuzer 개요 Duuzer는 C&C형 악성코드로, 해커에게 감염PC에 대해 명령어를 통한 원격제어 등 대부분의 권한을 가질 수 있게 한다. 악성코드 Brambul, Joanap과 함께 동작하는 것으로 알려져 있어 본 보고서에 각 악성파일 분석 정보를 함께 담았다. Duuzer의 경우 특히 정교한 파일 제어와 코드분석에 대한 방어 동작이 있어 PC내 특정 데이터를 노린 숙련된 해커가 만든 것으로 보인다. 2. 분석정보2.1. Duuzer 악성 동작Duuzer는 32bit 및 64bit 시스템 모두 동작하도록 설계돼있다... 2015. 11. 24. 이전 1 ··· 15 16 17 18 19 20 다음
