잉카인터넷 시큐리티대응센터 블로그

dcujl.exe 악성코드 분석 보고서 1. 유포 경로 특정 화장품 판매 쇼핑몰 웹서버(http://www.g*****e.co.kr/**c/***2/dcujl.exe)에 악성파일이 업로드되어 유포되었다. 유포된 dcujl.exe 파일은 정상 wininet.dll 파일 버전정보를 사용하여 사용자가 악성파일로 의심하지 않도록 한다. [그림]dcujl.exe 버전정보 2. 악성 동작 2.1. DCUJL.EXE dcujl.exe 파일은 C:\Documents and Settings\Administrator\Local Settings\Temp경로에 랜덤 크기 문자열을 추가한 자가 복제본을 랜덤한 문자열로 생성 후 실행한다. 실행된 Temp경로 파일 (예: ycepl.exe)은 아래 2개 파일을 생성한다. C:\w..

nasdfgf.exe 악성코드 분석 보고서 1. 유포 경로 nasdfgf.exe는 가짜 네이버 사이트를 통해 유포된다. 가짜 네이버 사이트 http://www.n****r.com 는 실제 네이버 사이트와 유사한 URL을 사용하고 동일한 화면을 출력하기때문에 구분하기가 어렵다. 가짜 네이버 사이트에 접속시 사용자 모르게 http://www.n****r.com/nasdfgf.exe 가 다운로드 및 실행되고, 실행된 nasdfgf.exe는 http://182.***.***.107/polo/polo17.exe 를 다운받아 실행한다. polo17.exe는 또다시 서비스용 dll을 드랍하고 이 dll파일을 이용하여 서비스를 생성한다. [그림]자동실행 등록된 레지스트리 [그림]nasdfgf.exe 아이콘 2. 악성 ..

skype_utility.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 skype_utility.exe 파일크기 45,056 byte 진단명 Trojan/W32.Agent.45056.BXY 악성동작 스카이프 프로필 변경 / 등록 연락처 대상 스팸 메시지 발송 1.2. 분석환경 운영체제 Windows XP SP3 32bit (한글) 분석도구 PEview, OllyDbg , VB Decompiler ​ ​2. 분석정보​2.1. 수집 경로​본 악성파일은 메일로 수집되었다. 악성파일을 분석한 결과 스카이프(인터넷 음성통화, 메시지 전송 프로그램) 사용자를 대상으로 제작된 것으로 보이지만 복제 및 전파, 은닉 루틴이 발견되지 않아 그 피해 및 파급력은 크지 않을 것으로 보인다. 2.2. 파일 분..

ebay_4181254791235_091015.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 kaulj.exe 진단명 Trojan/W32.Yakes.41984.I 악성동작 termservice 시작, MpsSvc와 WinDefend 서비스 중지 특징 Ebay 를 사칭한 메일에 첨부되어 배포되는 악성파일 ​ 2. 분석정보 ​ 2.1. 파일 유포 경로 ​ 본 악성파일은 ebay를 사칭한 메일을 업체 그룹메일(외부 공개용)에 전송한다. 해당 메일은 “모니터링하거나 응답하는 주소가 아니니 답장하지 말아주십시오. 청구서를 보려면 첨부파일을 확인하십시오. 첨부파일은 PDF 형식으로 되어있어 열람을 위해서는 Adobe Acrobat Reader 가 필요합니다.” 는 내용과 첨부파일로 구성되있다. [..

kaulj.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 kaulj.exe 파일크기 96,710 byte 진단명 Trojan/W32.KRBanker.96710 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 특징 hosts 및 hosts.ics파일 변조를 통한 위조 사이트 유도 및 인증서 탈취 자동실행으로 지속적인 악성동작 유지 파일 드랍 1.2. 분석환경 운영체제 Windows XP SP3 32bit (한글) 분석도구 IDA, PEview, OllyDbg, ProcExp 등 ​ ​ 2. 분석정보 ​ 2.1. 파일 유포 경로 ​ 이번 샘플은 10월 첫째 주 주말 동안 *******wire.com외 의류쇼핑몰, 건강식품쇼핑몰, 어린이집 등 40여개에 이르는 사이트를 통해 유포되었다. ******..

BERPOY.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 BERPOY.exe 파일크기 79,368 byte 진단명 Trojan/W32.KRBanker.79368 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 연결대상 **7.**3.**9.**8 특징 DNS 및 host 파일 변조, 인증서를 네트워크로 전송 1.2. 분석환경 운영체제 Windows XP SP3 분석도구 Process Monitor, Process Explorer, Autorun, Regshot, Wireshark ​ 1.3. 전체흐름도 ​ ​ 2. 분석정보 ​ 2.1. 파일 유포 방식 특정 학회 웹 서버에 업로드된 악성파일 (http://ch*********.net/ba********/*/ BERPOY.exe) 이 다운로드 ..

system1.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 system1.exe 파일크기 145,408 byte 진단명 Trojan/W32.KRBanker.145408.B 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 특징 hosts 및 hosts.ics 파일 변조를 통해 가짜 사이트로 유도 인증서를 드라이브, 폴더 별로 압축하여 보관 자동실행으로 지속적 인증서 탈취 1.2. 분석환경 운영체제 Windows XP SP3 32bit (한글) 분석도구 Process Explorer, Wireshark, NetMon, OllyDbg 등 ​ 1.3. 전체흐름도 ​ ​ 2. 분석정보 ​ 2.1. 파일 유포 방식 ​ 온라인 쇼핑몰 www.we******ak**.com 로 접속 시 98.***.***...

2015년 9월 악성코드 통계 (1) 악성파일 탐지 현황 2015년 9월(9월 1일 ~ 9월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 *악성파일 현황을 조사하였으며, [표 1]은 접수된 악성파일 중 가장 많이 탐지된 악성파일 20건을 탐지 건수를 기준으로 정리한 악성파일 Top20현황이다. 가장 많이 탐지된 악성파일은 Trojan(트로이목마) 유형의 Gen:Trojan.Heur.JP.iu1@a83oRFmP이며 총 12,044명의 사용자가 피해를 입었다. *악성파일 현황은 nProtect Anti Virus-Spyware(nProtect AVS) 등 nProtect 제품에서 탐지된 악성파일을 기준으로 작성됨. [표 1] 2015년 9월 악성파일 Top20 현황 (2) 악성코드 ..

잉카인터넷, 회사소개 웹사이트 개편, 전문성과 인재 중심 기업문화를 강조 2015년 9월 17일 - 잉카인터넷(대표 주영흠, www.inca.co.kr)이 정보보안 강소기업으로 성장하기까지 걸어온 발자취와 기업문화를 엿볼 수 있는 회사소개 웹사이트(inca.co.kr)를 17일 전면 개편했다고 밝혔다. 이번에 개편한 웹사이트는 정보보안 분야의 노하우와 고객중심의 경영철학을 강조하였으며 사업영역으로 금융보안, 게임보안, 모바일보안, 엔드포인트보안을 한눈에 확인할 수 있도록 하였다. 우선 메인화면에서는 고객에게 전하고자 하는 메시지가 가장 먼저 눈길을 끈다. △보안을 넘어, 보다 나은 인터넷생활을 위하여 △금융, 게임, 모바일, 엔드포인트 등 다양한 영역의 보안 강화 △믿을 수 있는 인증된 솔루션과 서비스 ..

잉카인터넷 ISARC 대응팀은 2013년 국내에서 발생한 각종 주요 보안이슈와 키워드별 사례를 종합 분석하여 2014년 발생 가능한 보안위협 예측자료를 다음과 같이 발표한다. 2013년은 2012년과 비슷한 유형의 보안 위협들이 다수 발생하였다. 다만, 3.20 사이버테러와 6.25 사이버전으로 규정된 북한의 공격이 연이어 발생하여 심각한 보안위협으로 대두되었다. 그외 각종 사이버범죄는 고도화되고 지능적인 양상을 보였다. 이번 보안 전망자료는 잉카인터넷 ISARC 대응팀이 2013년 등장하였던 대표적인 보안 위협들을 되짚어보고, 2014년에 출현 가능한 위협 요소들을 사전에 예측하여 대처할 수 있는 기초자료로 활용하는데 그 취지가 있으며, 각 계 보안의식 제고와 공감대 형성을 이루는데 그 목적이 있다. ..