태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2010.07.09 11:03


십 여년 넘게 악성코드 및 대응 관련 내용을 접하고, 하루 하루 시간이 흐를 수록 변화되는 인터넷 세상과 IT 환경에 격세지감을 느낍니다.

악성코드 대응은 혼신을 다해 42.195 Km? 아니 끝 없이 달리는 마라토너와 같은 마음과 행동을 가진 사람들의 힘든 작업이 아닐까 하는 생각으로 오늘 하루도 새롭게 시작을 하는 것 같습니다.

사용자 삽입 이미지

극단적으로 처절하고 집요한 업무에 혼신을 다해 집중하다 보면 하루가 어떻게 지나가는지 모르는 경우가 비일비재 합니다. 그러다 보면 저 처럼 허리에 무리를 주어 Pain 을 얻는 경우도 있고요.

지금은 트위터, 페이스북 등 SNS 가 활성화 되고, 정치인과 국민의 소통이 중요시 되어야 한다는 얘기를 많이 듣게 되기도 합니다. 더군다나 각종 스마트 폰의 활용도가 우리 생활 깊숙히 자리잡아감에 따라 더욱 더 소통의 중요성과 신속성을 소리 높혀가고 있는 것 같다는 생각을 하고요.

그럼 모두가 말하는 보안이란 진정 무엇일까요?

사용자 삽입 이미지

Security


1990년대의 기억을 돌아보면 대부분의 보안 서비스는 소통에 있어서 다소 폐쇄적이었다는 느낌을 지울 수 없습니다. 물론 환경적이나 구조적인 제약이 많았기 때문에 신속한 정보 전달과 공유는 기술적 한계가 있을 수 밖에 없는 시절이기도 하였지요.

예를들면 신종 바이러스가 해외에서 출현해도 아직 국내에 유입되어 크게 이슈화되지 않았거나 또는 완벽한 대응 준비가 되어 있지 않았다면, 국내에선 관련 내용을 접하기가 사실 쉽지 않았지요.

지금은 RSS, SNS, SMS 등을 통해서 실시간 Global 보안 정보가 전 세계의 인맥 루트를 통해서 다양하게 공유되고 있기 때문에 누구 한명이 소리내지 않는다고 해서 그 내용이 조용하게 묻혀버린다는 보장이 없지요.

사용자 삽입 이미지

소셜 네트워크


예전과 다르게 지금은 환경적인 어려움에서 벗어나고 있고, 이를 통한 소통의 통로는 매우 다채롭게 변화되고 있다고 보여집니다.

자 그렇다면 보안 소통의 현시점은 어떨까요?

이젠 누구보다 발빠르게 정보를 지득하고 그 내용을 바탕으로 불특정 다수에게 신속하게 정보를 전파하고 피드백을 받는 방식을 선호하고 있지요.

멀티 미디어를 앞지르고, 고객의 신고에 의존하던 수동적인 자세에서 벗어나 스스로 모니터링을 하여 능동적으로 먼저 대처하는 모습으로 행동하고 있다는 것을 보면서 느끼는 것은 보안에 있어서 소통도 이제는 변화의 중심에 서 있다는 것입니다.

보안이란 누구 한명으로 이루어지는 것이 아니라 모두가 함께 참여하여야 더 많은 "시너지 효과"를 거두게 되고, 그 과정에서 생각하지 못한 효과가 발생할 수 있다는 것을 피부로 느낍니다.

이러한 소통 과정에서는 예상하지 못하는 진통이 있는데, 구시대적인 사고방식에서 탈피하지 못하는 반 소통계층에 의한 부분이 크다고 보여집니다.

사용자 삽입 이미지

우물안 개구리


보안이슈 커뮤니케이션이 자신만의 Unique 한 기술파워를 노출한다고 판단하는 부류가 있다는 것과 Close Mind 적인 생각들이 정보 흐름의 방화벽을 만들고 있으니 말이죠.

수 많은 정보와 이슈는 이제 누구 한명의 몸짓 하나에만 의미를 더할 수 있는 것이 아니라 모두가 함께 느끼고, 의견과 공감대가 견제되고 수렴될 때 이상하고 신기한 마력을 발휘하며, 결국 그 Feedback 은 커다란 나비 효과를 발생시킬 수 있는 시대가 왔다는 것을 느끼지 못함에 안타깝지요.

말로는 Early Adopter 이며, 항상 눈과 귀를 열고 있지만 어떤 소통의 나침반을 판단함에 있어서 하나의 기준에 의해서 모호하게 결정된다면, Twitter (지저귐)가 아니라 Twit (멍청이)이 될 수 밖에 없겠지요.

사용자 삽입 이미지

이젠 너도 나도 세상을 바꾸는 새가 되어 다 함께 합창을 할 수 있는 새들의 놀이터인 트위터에서 만나고, 140자의 제한이 아닌 RT 의 꼬리물기를 통해서 또 다른 개인 소셜 보안의 창구가 될 수 있다는 것을 새삼 느끼게 됩니다.

진정성을 보장하고 인터넷 개인 표현의 자유가 개인 보안 정보 교류와 직결되어지는 중요한 요소로 자리잡아간다면 새롭거나 잠재적인 보안 위협이 발생되어도 모두가 함께 대처할 수 있을 것이라 기대해 봅니다.

틀에서 벗어난 사고 방식과 Crazy Idea 등의 역발상이 우리의 보안 의식과 도외시하던 모두의 정보 소통을 새롭게 할 것이다라는 것을 뼛속 깊히 새겨두어야 겠다는 생각입니다.



Posted by viruslab
보안관련소식2010.06.16 16:49


http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=88

■ SNS 악성코드 소통의 창구로 악용 주의

1인 체제의 미디어와 커뮤니티를 형성하여 실시간으로 다양한 정보를 공유하고 소통할 수 있는 마이크로 블로그 서비스인 SNS(Social Network Service)가 전 세계의 수 많은 사람들에게 폭발적인 호응을 얻고 있는 가운데 트위터(Twitter) 와 페이스북(Facebook) 등의 이용자를 대상으로 하는 악의적인 공격 형태가 지속적으로 등장하고 있어 사용자들의 각별한 주의가 요구된다.

특히, 소셜 네트워크 서비스는 아이폰과 안드로이드폰 등 각종 스마트폰의 수요 급증과 맞물려 SNS 활용 범위가 웹에서 모바일까지 점차 확대되어지고 있다. 이는 다양한 인맥채널를 통하여 새로운 정보가 신속하게 전파될 수 있는 기반이 충족되었다는 것을 의미한다.

이러한 이유로 소셜 네트워크 서비스는 악의적인 의도를 가진 사이버 범죄자들에게 새로운 공격 매개체로 주목을 끌고 있는 것이며, 주요 표적이 되는 조건이 충분히 성립되어 있다고 할 수 있다.

※ 소셜 네트워크 서비스가 사이버 범죄자들에게 표적이 되는 주요 이유는?

a. 세계적으로 많은 이용자가 사용 중
b. 신속하게 정보 전파 가능
c. 이용자들간에 신뢰도가 구축
d. Short URL 등 변형 주소 사용 가능
e. 사회 공학적 기법 사용 용이
f. 사진이나 동영상 파일의 링크 클릭 유도

가장 근래에 목격되고 있는 공격 유형은 허위 사실을 SNS 나 불특정 다수의 E-Mail 주소 등으로 무차별 배포하며 인터넷 사용자들이 최대한 신뢰할 수 있도록 위장하고 현혹시킬 수 있는 문구나 이미지 등을 사용하고 있다. 그래서 수신자로 하여금 무심결에 유해성 내용을 직접적으로 실행하도록 유도하는 방식이 사용되어지고 있다.

2010년 06월 15일에는 SNS의 대표적 서비스인 트위터(Twitter)와 페이스북(Facebook) 내용으로 위장한 형태가 국내에서 동시에 발견되기도 하였다.

먼저 트위터의 사용자 암호 변경 내용처럼 조작된 가짜 내용을 마치 트위터 팀(The Twitter Team)에서 공식적으로 발송한 이메일처럼 위장하여 악성 스크립트 코드(index.html)를 첨부하여 유포된 형태가 국내에 유입된 사례가 있었다.

사용자 삽입 이미지

 트위터 위장 내용과 마찬가지로 페이스북 사용자의 암호 변경 내용처럼 조작된 형태도 함께 발견되었고, 첨부파일명을 index.html 에서 facebook_newpass.html 이라는 이름으로 변경하여 유포하였다.

사용자 삽입 이미지

첨부되어 있었던 html 파일들은 모두 악의적인 스크립트 코드로 구성되어 있고 일반 사용자가 보고 코드의 악성유무를 판단하기 어렵도록 부분적으로 난독화(암호화)되어 있고, 첨부파일을 수신한 사용자가 아무런 의심없이 무심코 파일을 실행할 경우 잠재적인 보안 위협에 노출되게 된다.

아래 화면은 스크립트 파일의 모습 중 하나이다. (일부 모자이크 처리)

사용자 삽입 이미지

2010년 06월 07일에는 메일 본문 등도 트위터 화면처럼 스킨을 조작한 형태가 국내에 유입되었는데, 첨부된 파일은 존재하지 않고 이메일 본문에 트위터 URL 주소처럼 위장된 링크 주소를 통해서 사용자의 클릭과 특정 사이트를 방문하도록 유도하는 형태이다.

실제로 파일이 링크된 곳은 트위터쪽 주소가 아니라 악성코드가 존재하는 또 다른 사이트이다.

사용자 삽입 이미지

본문에 포함되어 있는 http://twitter.com/Twitter_security_model_setup.zip 주소는 실제 트위터 도메인으로 오인할 수 있지만 이것 역시 조작되어 위장된 것으로 링크를 클릭하게 되면 아래와 같이 구글 그룹 사이트로 연결되고 악성코드가 존재하는 또 다른 URL 링크를 클릭하도록 유도한다.

사용자 삽입 이미지
 
구글 그룹 사이트를 악용한 것 역시 사용자에게 조금이나마 링크된 주소를 신뢰할 수 있도록 하기 위한 악성코드 유포자의 수법 중에 하나이며, 링크된 주소를 클릭하면 다음과 같이 악성코드 파일이 다운로드 시도된다.

사용자 삽입 이미지


※ 구글 그룹 도메인을 악용한 악성코드 내용
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=87

2010년 06월 07일에는 미국의 유명 영화배우인 Angelina Jolie 로 부터 페이스북 초대 내용처럼 위장한 형태가 국내에 유입되었다.

사용자 삽입 이미지

본문에 포함되어 있는 페이스북 링크도 허위로 조작된 것이며, 또 다른 악성코드 유포 사이트로 연결이 되도록 만들어져 있다.

이외에도 트위터 사용자들을 대상으로 DM(Direct Message) 쪽지 기능을 악용한 피싱(Phishing) 메시지가 지속적으로 전파되고 있어 각별한 주의가 필요하다.

※ 피싱(Phishing)이란?

금융기관, 공공기관, 국가기관이나 특정 웹사이트 등 신뢰할 수 있는 것처럼 위장된 내용을 악용하여 특정 개인의 암호, 인증번호나 신용카드 번호, 금융 계좌 정보 등을 탈취해서 이를 불법적으로 이용하는 사기 수법이다. 개인정보(Private Data)와 낚시(Fishing)을 합성한 용어로 "개인 정보를 훔쳐낸다."는 의미를 가진다.

사용자 삽입 이미지

최근에도 트위터 쪽지(DM) 기능을 통해서 개인정보 수집 및 인터넷 광고, 악성코드 유포 목적으로 URL 전파가 지속적으로 증가하고 있는 추세이므로, 이러한 유사 내용을 쪽지로 받는 경우 URL 주소를 클릭하기 전에 세심한 주의가 필요하다.

국내에 다수 전파되었던 사례중 트위터 쪽지에 포함되어 있던 특정 URL 주소를 클릭하면 다음과 같은 팝업창이 보여지며, Click to Play Now! 버튼 클릭을 유도하는 형태가 존재한다. 트위터 쪽지를 통해서 퍼지고 있는 URL 주소는 매우 다양하기 때문에 유사한 패턴을 미리 알고 있으면 도움이 된다.

사용자 삽입 이미지
 
버튼을 누르게 되면 트위터 로그인 화면으로 변경된다.

사용자 삽입 이미지

여기에 트위터 사용자가 로그인을 하게 되면 계정과 암호가 외부로 무단 유출되어 또 다른 Follower 들에게 해당 광고 쪽지를 발송하는 가해자가 될 수 있으므로, 트위터 쪽지 등으로 상기와 같은 내용을 접하게 되면 보낸이에게 유해성 및 관련 내용을 전달하여 트위터 암호나 계정을 신속하게 변경하도록 권고해 주는 것이 안전하다.

지금까지 국내외에서 발견되고 있는 SNS 관련 악성코드들은 nProtect Anti-Virus/Spyware 제품에서 완벽하게 진단 및 치료가 가능하며, 계속해서 변형이 제작 유포되고 있는 상황이오니, 항시 최신 패턴으로 업데이트를 유지하도록 하여야 한다.

사용자 삽입 이미지


Posted by viruslab
인터넷세상2010.06.15 15:35


트위터 DDoS 공격인가?
트위터 사용량이 증가하고 있습니다.
viruslab.tistory.com


글 하나 잘못 올리면 이렇게 "자동(?) 도배"가 되어 버리고 있습니다.

트위터 서버가 매우 불안정하긴 한 것 같습니다.

중복글 등록은 트위터에 로그인된 상태에서는 지속적으로 진행되기도 하는것으로 보고되고 있으니, 트위터에서 일시 로그오프하시거나 재부팅해 보시는 것도 좋을 것 같습니다.

팔로워가 많은 경우 이러한 과다 중복글은 트위터 서버에 과도한 트래픽을 발생할 수 있으며, 간접적으로 해당 글을 팔로윙하시는 분께도 의도하지 않은 간접 영향을 끼칠 수 있습니다.

특히 과다 중복된 글을 아이폰 등으로 로딩할 경우 데이터 소요가 증가하는 피해를 입을 수도 있습니다.




Posted by viruslab
보안관련소식2010.06.15 15:01


트위터 접속량 폭주?
최근 트위터가 자주 멈추는 가운데 월드컵이라는
변수가 트위터 사고를 더 잦게 할 것으로 보인다.
viruslab.tistory.com


오늘따라 트위터가 용량 초과로 인해서 고래 사진을 보여주고 있는데요.

팔로워분 중 한분이 RT 를 해주셨네요.

아직 사실 확인 중입니다.

사용자 삽입 이미지



Posted by viruslab
인터넷세상2010.06.15 14:46


월드컵 때문에 트위터 다운 위기
최근 트위터가 자주 멈추는 가운데 월드컵이라는
변수가 트위터 사고를 더 잦게 할 것으로 보인다.
etnews.co.kr

오늘 트위터가 고래를 들고 움직이느라 매우 힘들어 하고 있습니다.

트위터 홈페이지에 접속하면 용량 초과(over capacity)라고 표현하고 있네요.

그럼 우린 "고래" 란 말인가? ^_^ 아무튼 재밌는 표현이네요.
아참.. 동원참치 트위터분께서는 고래 대신 참지가 어떻냐고 하시네요! 마케팅 전략이지만 덕분에 웃었습니다.^_^


사용자 삽입 이미지
Posted by viruslab
보안관련소식2010.06.15 14:19


소셜네트워크 서비스 겨냥한 스팸 공격 증가세
- 5월 전체 메일 가운데 89.81%가 스팸 메일
- 사용자간 신뢰도가 높은 소셜네트워크 서비스를 악용한 스팸 공격 급증

symantec.com

사실 트위터, 페이스북 등을 통한 Spam Mail, 악성코드 유포 등이 어제 오늘 일은 아니죠!



사용자 삽입 이미지

시만텍(www.symantec.com)이 2010년 5월 한 달 동안 전세계 스팸 및 피싱 동향을 조사 분석한 ‘시만텍 월간 스팸 및 피싱 현황 보고서’ 6월호를 통해 소셜네트워크 서비스 (Social Network Service)를 노린 스팸 공격이 급증하고 있어 사용자들의 주의가 요구된다고 밝혔다.

현재 전세계적으로 4억 명의 사용자를 확보하고 있는 SNS는 기업과 기업, 사람과 사람이 사회화돼 서로 정보를 교환하고, 새로운 가치를 창조하면서 기존의 물리적인 시간과 공간, 관계의 경계를 허무는 메가 트렌드로 자리잡았다.

하지만 이러한 속성으로 인해 SNS는 사이버 범죄자들에게 강력한 공격 매개체로 인기를 끌고 있다. SNS를 통해 손쉽게 악성 코드나 악성 링크를 퍼뜨릴 수 있으며, 다양한 피싱 공격도 가능하다. 이는 SNS가 온라인 범죄활동에 가장 좋은 표적이 되는 사용자 수와 사용자간의 높은 신뢰도 등 두 가지 요건을 모두 충족하기 때문이다.

예를 들어, 스팸 공격자들이 SNS 웹사이트에서 발송하는 메시지와 유사한 스팸 메시지를 만들어 전송하게 되면 대부분의 사용자들은 별다른 의심없이 메시지 상의 URL 링크를 클릭해 공격자들이 만들어 놓은 악의적인 웹사이트를 방문하게 된다.

이 같은 방법으로 스팸 공격자들은 URL 평판에 기반한 필터링 방식을 우회할 수 있으며, 악용된 도메인에 위치한 HTML 파일을 스팸 컨텐츠를 전송하는 수단으로 이용할 수도 있다. 또한 친구, 지인 간의 친밀한 인간관계로 이어지는 SNS의 특성상 사용자들의 스팸 메시지에 대한 의심이 다소 느슨하다는 점 역시 스팸 증가의 주요 원인으로 분석된다.

시만텍이 파악한 SNS에 대한 스팸 공격자들의 공격 유형은 다음과 같다.

- 가짜 초대: SNS의 인지도를 이용, 가짜 초청장을 개발해 사용자들에게 메시지를 발송, 악의적인 스팸 웹사이트로 유도

- 계정 통합: 알림 메시지를 사칭해 사용자에게 계정 통합을 내세워 개인 정보 탈취

- 사진 관련 댓글: 합법적인 SNS 웹사이트의 사진 관련 댓글 알림창을 만들어 사용자에게 전송하고 메시지 상의 URL 링크를 클릭해 스팸 웹사이트로 이동하도록 유도

- 애플리케이션 정보: SNS 웹사이트에서 제공되는 인기게임 등의 정보를 알려준다고 위장

- 악성코드 유포: 악성코드를 퍼뜨리기 위한 다양한 스팸 메시지 등장. 일례로 SNS 툴바 다운로드 안내 메시지로 가장한 트로이목마 바이러스가 탐지되기도 함

- 개인 사생활보호: 개인 사생활보호를 위해 개인정보 관리 실태에 대한 조사가 필요하다고 속이며 개인정보 요구

- 가짜 설문조사: SNS 사용자 대상 설문조사로 위장한 메시지를 통해 사용자들에게 개인 정보 공유를 요청하거나 스팸 웹사이트로의 방문을 유도

이처럼 SNS 사용자를 겨냥한 스팸 피해를 예방하기 위해 시만텍은 이메일 정보를 요구하는 웹사이트는 먼저 신뢰할 만한 곳인지 체크해야 하며, 의심가는 이메일이나 인터넷 메신저 상의 링크는 직접 클릭하지 말 것을 당부했다. 또한 업데이트를 통해 운영체제를 항상 최신 상태로 유지하고, 개인정보나 금융관련 정보, 또는 비밀번호를 묻는 이메일에는 절대 응하지 말아야 한다고 조언했다. 

 

Posted by viruslab
신종악성코드정보2010.06.15 09:02


기존 유사 변종 정보 꼭 읽어보세요.
메일로 악성코드 유포 중
viruslab.tistory.com

기존에 있었던 메일 방식을 조금씩 변경하면서 악성코드 유포, 유해 사이트 접속 유도 시도 등을 하고 있습니다.

현재까지 다음과 같은 첨부파일 형태가 발견되었습니다.

- open.html : http://viruslab.tistory.com/1868
- news.html : http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877

유심히 살펴보시고 이러한 메일에 현혹되지 마셔야 할 것 같습니다.

제목 :
Reset your Twitter password

내용 :
Hi, (수신자 이메일 주소).co.kr
Because of the measures taken to provide safety to our clients, your password has been changed.

You can find your new password in attached document.


The Twitter Team

Please do not reply to this message; it was sent from an unmonitored email address. This message is a service email related to your use of Twitter.

첨부파일 :
index.html



Posted by viruslab
신종악성코드정보2010.06.08 08:57


트위터 메일로 위장한 악성코드
Twitter 메일 악성코드 주의하세요.
viruslab.tistory.com

드디어 본색을 드러내기 시작하네요.

어제 보고해 드렸던 트위터 발신지로 위장한 메일이 악성코드 유포에 이어서 예상한대로 "비아그라 광고" 를 띄우기 시작했습니다.

사용자 삽입 이미지

현재 해당 그림을 클릭하면 다음 사이트로 연결을 시도하지만 생성되지 않았거나 구글에 의해서 삭제된 것으로 추정됩니다.

어제 악성코드를 유포했던 구글 그룹 사이트도 차단된 것으로 확인되었습니다.

http://groups.google.com/group/pppppps

구글 그룹을 통한 악성코드 유포가 증대하고 있으므로, 구글 나름대로 이와 관련한 대응안 마련이 요구되고 있습니다.
어쩌면 취약점이 있을지도 모르겠네요! 공격자가 수동으로 계정을 만드는것을 그리 좋아하진 않을 것 같은데 말이죠.

현재 구글에 의해서 차단된 악성코드 링크를 클릭하면 다음과 같이 구글 그룹 초기 화면이 보여집니다.

구글쪽이라면 생성자 추적도 가능하지 않을까 싶은데..

Posted by viruslab
신종악성코드정보2010.06.07 13:57


트위터 스팸 광고 메일
트위터 메일로 위장한 악성코드 주의
viruslab.tistory.com

트위터에서 발송한 메일처럼 위장하고 있으며, 특정 링크를 클릭하게 만들어 악성코드에 감염되도록 변형된 것이 국내에 유입되었습니다.

Twitter_security_model_setup.zip 파일을 설치하시거나 실행하지 마시기 바랍니다.

또한, 악성코드 메일은 계속해서 변형되고 있으니, 트위터에서 보내온 것처럼 위장된 메일에 각별히 주의하셔야 겠습니다.

메일은 다음과 같은 형식으로 유포된 것이 발견되었으며, 제목에 포함되어 있는 숫자는 가변적입니다.

보낸이 :
Twitter

제목 :
Twitter 722-70

내용 :
Hi, (수신자).co.kr
Attention! We detected that someone was trying to steal your Twitter account password.

We strongly recomended you to download our secure module to protect account!

Please click on the link below:
http://twitter.com/Twitter_security_model_setup.zip

The Twitter Team

If you received this message in error and did not sign up for a Twitter account, click not my account.

Please do not reply to this message; it was sent from an unmonitored email address. This message is a service email related to your use of Twitter. For general inquiries or to request support with your Twitter account, please visit us at Twitter Support.


본문에 포함되어 있는 링크는 실제 트위터로 연결되어 있지 않고, 특정 구글 그룹 사이트로 연결됩니다.

관련 악성코드 분석정보 보기
구글 그룹 사이트를 통한 악성코드 유포기법
www.nprotect.com

사용자 삽입 이미지

해당 링크를 클릭하게 되면 다음과 같이 악성코드 다운로드가 시도됩니다.

사용자 삽입 이미지

파일명은 Twitter_security_model_setup.zip 이며, 마치 트위터 보안 파일처럼 사용자를 속일려고 합니다.

압축 파일 내부에는 exe 악성코드가 포함되어 있습니다.

사용자 삽입 이미지

이번 악성코드의 경우 윈도우 업데이트 아이콘을 사용하고 있습니다.

사용자 삽입 이미지

악성코드의 진단 현황
바이러스 토탈 진단 현황 보기
www.virustotal.com

Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.07 Gen.Heur!IK
AhnLab-V3 2010.06.06.00 2010.06.06 Trojan/Win32.Tdss
AntiVir 8.2.2.6 2010.06.06 TR/Crypt.XPACK.Gen2
Antiy-AVL 2.0.3.7 2010.06.04 -
Authentium 5.2.0.5 2010.06.06 -
Avast 4.8.1351.0 2010.06.06 Win32:Jifas-FX
Avast5 5.0.332.0 2010.06.06 Win32:Jifas-FX
AVG 9.0.0.787 2010.06.06 -
BitDefender 7.2 2010.06.07 Gen:Variant.TDss.17
CAT-QuickHeal 10.00 2010.06.07 -
ClamAV 0.96.0.3-git 2010.06.07 -
Comodo 5013 2010.06.07 -
DrWeb 5.0.2.03300 2010.06.07 -
eSafe 7.0.17.0 2010.06.06 -
eTrust-Vet 35.2.7528 2010.06.04 -
F-Prot 4.6.0.103 2010.06.06 -
F-Secure 9.0.15370.0 2010.06.07 Gen:Variant.TDss.17
Fortinet 4.1.133.0 2010.06.06 -
GData 21 2010.06.07 Gen:Variant.TDss.17
Ikarus T3.1.1.84.0 2010.06.07 Gen.Heur
Jiangmin 13.0.900 2010.06.06 -
Kaspersky 7.0.0.125 2010.06.07 -
McAfee 5.400.0.1158 2010.06.07 -
McAfee-GW-Edition 2010.1 2010.06.06 Heuristic.BehavesLike.Win32.Packed.B
Microsoft 1.5802 2010.06.06 -
NOD32 5177 2010.06.06 -
Norman 6.04.12 2010.06.06 -
nProtect 2010-06-06.01 2010.06.06 Gen:Variant.TDss.17
Panda 10.0.2.7 2010.06.06 Trj/CI.A
PCTools 7.0.3.5 2010.06.07 -
Prevx 3.0 2010.06.07 -
Rising 22.51.00.01 2010.06.07 -
Sophos 4.53.0 2010.06.07 Sus/UnkPack-C
Sunbelt 6414 2010.06.07 Packed.Win32.Tdss.q (v)
Symantec 20101.1.0.89 2010.06.07 -
TheHacker 6.5.2.0.292 2010.06.04 -
TrendMicro 9.120.0.1004 2010.06.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.07 -
VBA32 3.12.12.5 2010.06.04 -
ViRobot 2010.6.5.2339 2010.06.07 -
VirusBuster 5.0.27.0 2010.06.06 -

악성코드 파일이 실행되면 다음 화면과 같이 Protection Center 라는 외산 허위 보안 제품이 설치됩니다.






Posted by viruslab
신종악성코드정보2010.06.07 09:05


이전 분석 정보
트위터를 이용한 피싱메일이
증가하고 있습니다. 주의하세요.
viruslab.tistory.com

트위터 쪽지로 다음과 같은 영문 내용이 다수 보고되고 있으며, 피해가 증가하고 있는 것으로 보여집니다.

트위터 사용자분들의 각별한 주의가 요망됩니다.


사용자 삽입 이미지

링크를 클릭하게 되면 다음과 같은 사이트가 연결됩니다.

사용자 삽입 이미지

Click to Play Now! 버튼을 클릭하면 트위터 사용자의 암호 입력을 요구하는데, 이 과정에서 개인 정보가 유출될 위험이 있습니다.

자세한 내용은 아래 링크를 참고하세요.

http://viruslab.tistory.com/1789

Posted by viruslab
보안관련소식2010.05.14 08:58


http://www.boan.com/news/articleView.html?idxno=2112

http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=87

저의 트위터는 http://twitter.com/viruslab_kr 입니다.

잉카인터넷 주영흠 사장은 “SNS를 통해 보안 관련 위협 정보를 신속히 전달하고자 트위터를 개설했다”라며 “트위터같은 정보 유통 경로를 통해 고객·직원·주주 등 다양한 이해관계자들과 더욱 긴밀한 양방향 커뮤니케이션을 구축하겠다”고 강조했다.


사용자 삽입 이미지

Posted by viruslab
TAG 트위터
보안관련소식2009.08.15 09:28


트위터에 BASE64 코드를 넣고 RSS로 명령을 전송하는 방식이네요.

BASE64 디코딩 : http://viruslab.tistory.com/137

http://www.threatexpert.com/report.aspx?md5=9a546564bf213ff866f48848f0f14027

http://asert.arbornetworks.com/2009/08/twitter-based-botnet-command-channel/

사용자 삽입 이미지

http://www.virustotal.com/analisis/6a6c334ffe5c8e60b1de37582b73a642c68d2b02b0284000d24c93f899122139-1249801350

http://www.virustotal.com/analisis/14fd37ef063f3c13d667e7483803a17ec493395a0d0e0365da4bed60272f311e-1250187288

$ echo "aHR0cDovL2JpdC5seS9SNlNUViAgaHR0cDovL2JpdC5seS8yS29Ibw==" | openssl base64 -d
hxxp://bit.ly/R6STV hxxp://bit.ly/2KoHo

$ unzip out.qqq
Archive: out.qqq
inflating: gbpm.dll
inflating: gbpm.exe
$ openssl md5 gbpm.*
MD5(gbpm.dll)= ceb8d7fd74da0a187cc39ced4550ddb4
MD5(gbpm.exe)= a5cc8140e783190efb69d38c2be4393f

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2009.08.07 09:32
보안관련소식2009.08.07 09:16
신종악성코드정보2009.06.01 10:11


트위터를 이용한 악성코드가 또 보고되었습니다.

http://www.techcrunch.com/2009/05/30/new-twitter-virus-best-video/

이번에는 비디오 링크처럼 위장하여 사용자 클릭을 유도합니다.

사용자 삽입 이미지


사용자 삽입 이미지
사용자 삽입 이미지



Posted by viruslab