태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

티스토리 툴바

Daum
Tistory
로그인

'신종악성코드정보'에 해당되는 글 885건

  1. 2012/05/14 성인동영상으로 위장한 악성파일
  2. 2012/05/08 발견 사례랑? 피해 사례랑?
  3. 2012/05/03 국내 대기업을 표적으로 하는 HWP 취약점을 이용한 APT 공격
  4. 2012/04/30 변호사 사무소 관련 내용의 HWP Exploit
  5. 2012/04/25 HWP 취약점 악성파일 사회적 이슈를 악용
  6. 2012/04/25 티벳 관련 APT 공격용
  7. 2012/04/24 티벳 관련 APT 공격 메일
  8. 2012/04/24 대만 자이셀(ZyXEL) APT 공격용
  9. 2012/03/29 성인동영상 악성파일 매개체
  10. 2012/03/19 MS12-020 GUI Attack Tool
  11. 2012/03/17 MS12-020 + Downloader
  12. 2012/03/16 MS12-020 또 다른 공격도구
  13. 2012/03/16 MS12-020 RDP 취약점
  14. 2012/02/28 마이스페이스에서 보낸 메시지로 위장한 악성메일 국내 유입
  15. 2012/02/24 Facebook Chat Worm 국내 확산 주의
  16. 2012/02/20 알집 파일로 위장한 악성파일
  17. 2012/02/13 티벳 관련 타깃 공격 지속
  18. 2012/02/08 구글 안드로이드 공식마켓 악성파일 지속적 발견
  19. 2012/02/08 독일에 유포된 PDF 취약점 악성파일
  20. 2012/01/27 MIDI Exploit 출현
  21. 2012/01/26 일본 음란 사이트 안드로이드 악성파일 변종 지속 유포 중
  22. 2012/01/21 version.dll 교체형 악성파일 version32.dll 백업에서 versionxp.dll 백업으로..
  23. 2012/01/19 도움말(HLP)파일 취약점을 이용한 악성파일 다수 발견
  24. 2012/01/18 안드로이드용 악성파일 치료 기능 업데이트
  25. 2012/01/17 ws2help.dll 교체형 다시 version.dll 교체형으로 변형
  26. 2012/01/14 IRC Bot 기능을 수행하여 C&C 에서 명령을 받는 안드로이드 악성파일
  27. 2012/01/13 ws2help.dll 교체형 악성파일 안랩 핵쉴드 파일로 위장
  28. 2012/01/13 안드로이드 보안 관제 시만텍보다 빨랐다.
  29. 2012/01/12 군, 연초부터 신종 해킹메일 '주의보'
  30. 2012/01/12 스마트폰 감시 프로그램 스팸메일로 국내 다량 전파 중
신종악성코드정보2012/05/14 16:37

성인동영상으로 위장한 악성파일



거의 매일 새로운 변종을 처리하고 있다.

 

최근에는 EXE 확장자인데 알집압축(EGG) 아이콘으로 위장한 형태도 보인다.

 

 

 

 

 

저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/05/08 18:36

발견 사례랑? 피해 사례랑?



보안기업, 모바일 백신 돈 안돼 `고민`

http://www.etnews.com/news/computing/security/2588159_1477.html

 

전화 인터뷰 당시 국내에 발견된 사례가 있고, 잉카인터넷 대응팀이 최초 보고한 바 있다고 언급했다.

보통 발견되었고, 유명 사이트 등에서 다수의 다운로드가 있었기 때문에 피해를 입었다고 보는게 일반적인데..

 

기자분은 피해사례는 없다고 표현하신 것 같다.

 

그런데 기사에는 다음과 같이 나왔다.

 

[문종현 잉카인터넷 시큐리티대응팀장은 “국내에서 모바일 악성코드 피해사례가 보고된 바 없지만 해외의 경우 안드로이드 기반 악성코드가 놀라운 속도로 전파되고 있다”며 “실제 해외에서 악의적인 목적으로 만들어진 애플리케이션이 국내 인터넷 자료실에 버젓이 배포되고 있어 국내 사용자의 피해도 우려되는 실정”이라고 말했다.]

 

이게 참...

 

발견된거는 피해라고 보기 애매한건가? ㅡ.ㅡ

다시 정리하자면 피해라는 기준을 감염으로 매칭시켰을 때...

 

1. 국내에서 발견되었고

2. 다운로드하여 설치한 사용자가 있었고

3. 따라서 감염 피해 사례가 있다고 할 수 있다.

 

 

저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/05/03 09:55

국내 대기업을 표적으로 하는 HWP 취약점을 이용한 APT 공격



국내 유수의 대기업을 상대로 한 표적공격(APT) 사례 공개..

 

특히 공격자는 특정 대기업의 내부 직원 메일주소를 이미 다수 확보한 상태이며, 2차 후속공격을 하고 있는 상태이다.

 

또한 HWP 취약점을 이용하고 있어 외산제품의 대응력은 다소 약할 수 있다.

 

http://erteam.nprotect.com/272

 

 

 

https://www.virustotal.com/file/e6138c8bd4a4442202525f60bcfa09e3737deedf46bb8352cc2f0073c30afa5b/analysis/

 

nProtect Trojan-Exploit/W32.Hwp_Exploit.207338

 

 

저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/04/30 16:32

변호사 사무소 관련 내용의 HWP Exploit



내용은 무지 허술하게 만들어져 있다.

 

악성파일에 감염되면 대만의 특정 호스트로 연결되어 추가 명령을 받는다.

 

 

 

 

저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/04/25 17:15

HWP 취약점 악성파일 사회적 이슈를 악용



이젠 제목 자체로 사용자 클릭을 현혹시키는 군요.

 

 

 

 

저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/04/25 09:20

티벳 관련 APT 공격용



 

 

 

저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/04/24 16:02

티벳 관련 APT 공격 메일



티벳 표적형 공격은 꾸준히 진행 중

 

 

 

 

저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/04/24 16:01

대만 자이셀(ZyXEL) APT 공격용



대만 자이셀 기업 공격용 메일

 

 

 

 

저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/03/29 10:08

성인동영상 악성파일 매개체



 

이건 뭐 매일 성인동영상 수집하고 있다.

 

최근들어 유포 방식도 조금씩 바꾸고 있고, Virut 에 감염된 채 유포되고 있기도 하다. ㅡ.ㅡ+

 

또한, 곰플레이어나 AVI 동영상 처럼 보이도록 퀵타임 플레이어 아이콘을 모방하고 있기도 하다. 속지 맙시다.

 

http://erteam.nprotect.com/254

 

 

 

 

저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/03/19 18:48

MS12-020 GUI Attack Tool






저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/03/17 12:53

MS12-020 + Downloader




중국의 특정 사이트에서 파일을 다운로드하여 실행하는 기능까지 포함하고 있다.





저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/03/16 13:18

MS12-020 또 다른 공격도구



파리알이 곧 구더기로 완전변태 과정을 진행할 것이다.

RDP Worm(Bot) 출현은 시간 문제일 듯.

MS08-067 보다는 파급력이 약하겠지만, 그렇지만 네트워크를 통한 자동 전파가 가능하므로 얕보면 안된다.




저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 1 Comment 0
신종악성코드정보2012/03/16 08:50

MS12-020 RDP 취약점



RDP Bot, RDP Worm 출현은 시간 문제.. 보안패치 필수! ASAP

아래는 수집된 자료들이다.

중국에서 발견된 Exploit 인데, 한글에서 작동시 시스템이 강제 종료된다.


아래 화면은 러시아에서 공개되었는데, 이것도 중국에서 제작된 것으로 보여진다.



중국 블로그에서 공개된 일부 파이썬 코드는 정상적으로 작동되지 않는 것으로 알려져 있다. 이것 때문에 분석가들이 고생을 많이 했다. ㅡ.ㅡ+





저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 1 Comment 0
신종악성코드정보2012/02/28 09:41

마이스페이스에서 보낸 메시지로 위장한 악성메일 국내 유입




Myspace 친구가 보낸 메시지처럼 위장한 악성 이메일이 국내에 유입되었습니다.

메일 본문에 있는 여러 링크를 클릭하면 특정 사이트로 연결되는데, 보통 비아그라와 같은 광고를 하기도 하고, 또 다른 악성파일을 배포하기도 합니다.





저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/02/24 17:04

Facebook Chat Worm 국내 확산 주의



페이스북 사용자간에 자동 전파되고 있는 것을 확인했습니다. 아마 그래서 페이스북이 요즘 많이 느려진것 같네요. 그리고 외국에서도 2월 초부터 다수 전파되고 있습니다.

http://www.boannews.com/media/view.asp?idx=30230&kind=0

nProtect Anti-Virus 2012년 2월 24일 긴급 업데이트 완료

Fake Facebook URL => Fake FB URL => Fakefburl

Worm/W32.Fakefburl.141312
Worm/W32.Fakefburl.180887
Worm/W32.Fakefburl.195072



 

저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 1 Comment 0
신종악성코드정보2012/02/20 09:22

알집 파일로 위장한 악성파일




국내 특정 강의 사이트에서 배포 중인 파일이 악성파일 형태로 배포되고 있다.

https://www.virustotal.com/file/08b13617079882778c2fb67f2a37228b9873db52099df57edaaa63ef7dfe6ea1/analysis/1329696426/

저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/02/13 13:32

티벳 관련 타깃 공격 지속



티벳쪽 정보 탈취를 목적으로 한 악성파일 전파가 지속적으로 목격되는군요.

첨부되어 있는 DOC 파일은 MS오피스 취약점을 이용한 악성 입니다.





저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/02/08 09:44

구글 안드로이드 공식마켓 악성파일 지속적 발견



http://www.msnbc.msn.com/id/46283701/ns/technology_and_science-security/

https://plus.google.com/103876278794381402383/posts/KJUHKbLByZV#103876278794381402383/posts/KJUHKbLByZV

http://about-threats.trendmicro.com/Malware.aspx?language=us&name=ANDROIDOS_FAKECLICK.ER

AirPush 종류의 Adware 는 강세군요.






저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/02/08 09:17

독일에 유포된 PDF 취약점 악성파일



독일 특정 사용자에게 은밀하게 유포된 사례입니다.

PDF 첨부파일이 있는 이메일도 각별히 주의하셔야 겠지요?





저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/01/27 14:40

MIDI Exploit 출현



MIDI 파일의 취약점을 이용한 악성파일이 등장했으니, 모두 모두 보안 업데이트 하세요.

http://erteam.nprotect.com/244

변종도 좀 보이네요.







저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/01/26 13:21

일본 음란 사이트 안드로이드 악성파일 변종 지속 유포 중




http://erteam.nprotect.com/240


해당 음란 사이트에서 동영상 재생에 필요한 파일처럼 위장하여 유포 중입니다.


nProtect Mobile for android 제품에서 진단 치료가 가능합니다.


저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/01/21 09:27

version.dll 교체형 악성파일 version32.dll 백업에서 versionxp.dll 백업으로..




version.dll 교체형 악성파일이 version32.dll 파일로 백업하던 방식에서 versionxp.dll 방식으로 계속 변경되고 있다.

nProtect 전용백신으로는 완벽하게 변종을 치료할 수 있다.

http://erteam.nprotect.com/243





저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/01/19 10:27

도움말(HLP)파일 취약점을 이용한 악성파일 다수 발견



해외에서 도움말(HLP)파일의 취약점을 교묘하게 이용하는 공격 형태가 지속적으로 모니터링되고 있습니다.

이메일 첨부파일에 파일명.hlp 파일이 있으면 각별한 주의가 필요합니다.

도움말 취약점을 탐지하는 Anti-Virus 제품이 극히 드물기 때문에 앞으로 은밀한 공격에 악용될 소지가 높습니다.

최근에 공격에 이용된 이메일 화면을 일부 공개합니다.

http://erteam.nprotect.com/234

아래는 13일에 발견된 종류입니다.


첨부되어 있는 hlp 파일을 실행하면 다음과 같은 화면이 출력되면서 사용자 몰래 악성파일을 설치합니다.


다음은 17일에 발견된 종류입니다.


첨부되어 있는 hlp 파일을 실행하면 다음과 같은 정상적인 도움말 화면을 보여주면서 사용자 몰래 악성파일을 설치하고, 원격지에서 리버스 컨넥션을 하여 2차 해킹을 시도합니다.



저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 1 Comment 0
신종악성코드정보2012/01/18 17:25

안드로이드용 악성파일 치료 기능 업데이트



nProtect Mobile for Android 제품에 38종의 새로운 안드로이드 악성파일 치료기능이 추가되었습니다.


Trojan-Spy/Android.GoldDream.CT
Trojan-Spy/Android.GoldDream.CU
Trojan-Spy/Android.GoldDream.CV
Trojan-Spy/Android.GoldDream.CW
Trojan-SMS/Android.Legacy.PK
Trojan-SMS/Android.Legacy.PL
Exploit/Android.Asroot.J
Exploit/Android.Asroot.K
Exploit/Android.RATC.AO
Trojan-Spy/Android.DDLight.CM
Trojan-SMS/Android.SmsSend.RA
Trojan-SMS/Android.SmsSend.RB
Trojan-SMS/Android.SmsSend.RC
Trojan-SMS/Android.SmsSend.RD
Trojan-SMS/Android.SmsSend.RE
Trojan-SMS/Android.SmsSend.RF
Trojan-SMS/Android.SmsSend.RG
Trojan-SMS/Android.EUsendSMS.G
Trojan-SMS/Android.SmsSend.RH
Trojan-SMS/Android.SmsSend.RI
Trojan-SMS/Android.SmsSend.RJ
Trojan-SMS/Android.SmsSend.RK
Trojan-SMS/Android.SmsSend.RL
Trojan-SMS/Android.SmsSend.RM
Trojan-SMS/Android.SmsSend.RN
Trojan-SMS/Android.SmsSend.RO
Trojan-SMS/Android.Placms.D
Trojan-SMS/Android.Placms.E
Trojan-SMS/Android.Placms.F
Trojan-SMS/Android.Placms.G
Trojan-Spy/Android.SeaWeth.O
Trojan-Spy/Android.SeaWeth.P
Trojan-Spy/Android.FakeBatteryDoctor.O
Trojan-Spy/Android.FakeBatteryDoctor.P
Trojan/Android.FakeTimer.A
Trojan-Spy/Android.HippoSMS.I
Trojan-Spy/Android.HippoSMS.J
Trojan-Spy/Android.Plankton.Q



저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/01/17 09:13

ws2help.dll 교체형 다시 version.dll 교체형으로 변형



시스템에 존재하는 정상적인 version.dll 파일을 악성파일로 교체하는 형태가 등장했습니다.

기존에 널리 알려져 있던 ws2help.dll 이 대부분 GD 이 가능해지자 변경한 것으로 보여집니다.

먼저 악성파일이 실행되면 다음과 같은 동작을 합니다.

시스템 폴더에 safemon.dll 생성하여, BHO 로 등록하고, 온라인 게임 계정, 온라인 문화상품권, 아이템 거래 사이트 계정 등을 탈취 시도합니다.


이후에 다수의 숫자 조합을 한 악성 dll 파일을 임시폴더에 생성하고, 시스템 폴더에 정상 version.dll 파일을 version32.dll 로 복사 한다.

그런 다음에 숫자 조합으로 만들어진 악성파일과 version.dll 파일을 교체시킨다.

그리고 voor.bat 파일 등을 만들고 숙주 파일을 삭제한다.

http://fish.jetg(일부제거).com/1/get.asp?mac=(일부제거)&ver=winxp%20Professional&avs=unknow&os=NO

로 다수의 정보를 유출 시도한다. 자세히 코드를 보지는 않았지만 avs 는 Anti-Virus 제품이 아닐까 싶다.

저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 3 Comment 0
신종악성코드정보2012/01/14 09:58

IRC Bot 기능을 수행하여 C&C 에서 명령을 받는 안드로이드 악성파일



IRC bot for Android
http://www.securelist.com/en/blog/208193332/IRC_bot_for_Android

https://www.virustotal.com/file/213e042b3d5b489467c5a461ffdd2e38edaa0c74957f0b1a0708027e66080890/analysis/

Trojan-SMS.AndroidOS.Foncy.a 종류가 나오는지는 좀 꽤 지난 편이다.

IRC Bot 기능 등이 업그레이드되면 어떤 명령이든지 자유자재로 공격 형태가 발전할 수 있다.

사실 원격제어 기능만 허용되면 안드로이드용 Backdoor 도 일반화되는 것도 시간문제다.




 

저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 1 Comment 0
신종악성코드정보2012/01/13 10:03

ws2help.dll 교체형 악성파일 안랩 핵쉴드 파일로 위장



ws2help.dll 시스템 파일을 악성파일로 교체하는 형태가 최근 안랩 핵쉴드 파일처럼 속성을 위장한 형태로 배포되었네요.

아래는 중복 감염으로 인해서 정상 ws2help.dll 이 백업되어 있어야 하는 wimedump.dll 이어야 하지만,
중복 감염으로 인해서 악성으로 추가 변경된 형태입니다.

http://erteam.nprotect.com/235

정상파일로 백업되는 대표적인 파일명들은 ws3help.dll, ws2helpXP.dll, wimedump.dll 등입니다.

최근 ws2help.dll 중복 감염된 형태를 특정 보안업체의 전용백신으로 치료 시도시 블루스크린 장애가 발생하는 것이 보고되었습니다.






저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/01/13 09:32

안드로이드 보안 관제 시만텍보다 빨랐다.



얼마전 일본 음란 사이트에서 배포되었던 안드로이드용 악성파일을 블로그에 게재한 바 있습니다.

http://erteam.nprotect.com/240

이 내용을 금일 시만텍에서도 공식 블로그에 게재했네요.

http://www.symantec.com/connect/ko/blogs/smartphone-app-used-one-click-fraud-japan

http://blog.trendmicro.com/one-click-billing-fraud-scheme-through-android-app-found/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Anti-MalwareBlog+%28Trend+Micro+Malware+Blog%29&utm_content=Google+Reader

시만텍 보다 빠른 대응력 ^^V

 




저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/01/12 10:00

군, 연초부터 신종 해킹메일 '주의보'



http://www.ytn.co.kr/_ln/0101_201201120805489887

2012년 1월 1일에 HWP Exploit 악성파일이 다수 발견된 바 있다.

어떤 것은 특정 기업의 이력서 파일처럼 되어 있고, 어떤 것은 북한의 근황과 경제 실태라는 내용의 문서를 담고 있기도 하다.

그중 한개는 실행되면 아래와 같은 내용이 보여진다.

사실 신년부터 큰 이슈가 빵빵 터지고 있다.

 




저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0
신종악성코드정보2012/01/12 09:04

스마트폰 감시 프로그램 스팸메일로 국내 다량 전파 중



본격적으로 스마트폰 감시 프로그램 등을 홍보(판매)하기 위해서 스팸 메일을 국내외에 다량으로 전파되는 것이 확인되었습니다.

기존의 스마트폰 이용자들로 부터 수집된 이메일 주소 등이 악용될 소지가 높겠지요.

그렇기 때문에 스마트폰 무료 앱들이 사용자들의 이메일 주소를 무단으로 수집하는 것도 매우 악용될 소지가 높은 이유입니다.

http://erteam.nprotect.com/239

http://erteam.nprotect.com/240

아래는 국내에 지속적으로 유입 중인 메일이며, 단축 URL 서비스 등을 이용하고 있습니다.





저작자 표시 동일 조건 변경 허락
Posted by viruslab
Trackback 0 Comment 0