태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.11.24 00:31


트랜드 마이크로에서 가장 신속히 관련 내용을 블로그와 트위터 등을 통해서 공개했습니다.

Cross-Border Korean Shelling Leads to FAKEAV
http://blog.trendmicro.com/cross-border-korean-shelling-leads-to-fakeav/
http://www.bbc.co.uk/news/world-asia-pacific-11818005

상기 내용과 관련하여 전파 중인 외산 허위 보안제품류(FakeAV) 모듈이 다수 전파 중인 것을 확인하였으며, 대부분 korea 라는 문구 등이 사용되고 있으나, 직접적인 연평도 관련 내용이 포함된 경우는 아직 확인된 바 없습니다.

또한, 다수의 변종이 유포되는 것이 추가로 확인되었습니다.


http://www.virustotal.com/file-scan/report.html?id=18b1837414ea582173eb66505d76a98aee8f2c336795954c656ff01fa1de273d-1290525488

http://www.virustotal.com/file-scan/report.html?id=92ddccc4f7528957ad25543b80e6f9582e1247e6d5634e775240be43922c401c-1290525329

http://www.virustotal.com/file-scan/report.html?id=d6362149585629786d7b2c71b2587d5e80e1cebd35cb4781bea4f60419ab552a-1290525581

http://www.virustotal.com/file-scan/report.html?id=176ba1e80d655bfb6ff6e4d13f6bfb174b42f22e4eb854b9f4210e2269de9edc-1290525536

http://www.virustotal.com/file-scan/report.html?id=f1480152dd45b500c78872947fbd380e24013f2f26eac0d575b2edc91887df74-1290525636

nProtect Anti-Virus 제품에서는 현재 발견된 다수의 변종에 대한 치료 기능 업데이트를 긴급으로 완료한 상태입니다.
Antivirus Version Last Update Result
AhnLab-V3 2010.11.23.01 2010.11.23 -
AntiVir 7.10.14.80 2010.11.23 TR/Crypt.ZPACK.Gen2
Antiy-AVL 2.0.3.7 2010.11.23 -
Avast 4.8.1351.0 2010.11.23 -
Avast5 5.0.594.0 2010.11.23 -
AVG 9.0.0.851 2010.11.23 -
BitDefender 7.2 2010.11.23 -
CAT-QuickHeal 11.00 2010.11.09 -
ClamAV 0.96.4.0 2010.11.23 Trojan.Fakesec-123
Command 5.2.11.5 2010.11.23 -
Comodo 6820 2010.11.23 -
DrWeb 5.0.2.03300 2010.11.23 -
Emsisoft 5.0.0.50 2010.11.23 -
eSafe 7.0.17.0 2010.11.23 -
eTrust-Vet 36.1.7994 2010.11.23 Win32/FraudSecurityTool.N!generi
F-Prot 4.6.2.117 2010.11.23 -
F-Secure 9.0.16160.0 2010.11.22 -
Fortinet 4.2.254.0 2010.11.23 -
GData 21 2010.11.23 -
Ikarus T3.1.1.90.0 2010.11.23 -
Jiangmin 13.0.900 2010.11.20 -
K7AntiVirus 9.68.3053 2010.11.23 -
Kaspersky 7.0.0.125 2010.11.23 -
McAfee 5.400.0.1158 2010.11.23 -
McAfee-GW-Edition 2010.1C 2010.11.23 -
Microsoft 1.6402 2010.11.23 -
NOD32 5642 2010.11.23 a variant of Win32/Kryptik.IGH
Norman 6.06.10 2010.11.22 -
nProtect 2010-11-23.02 2010.11.23 Trojan/W32.Agent.1225728.D
Panda 10.0.2.7 2010.11.23 -
PCTools 7.0.3.5 2010.11.23 -
Prevx 3.0 2010.11.23 -
Rising 22.75.01.02 2010.11.23 -
Sophos 4.59.0 2010.11.23 -
SUPERAntiSpyware 4.40.0.1006 2010.11.23 Rogue.SecurityTool
Symantec 20101.2.0.161 2010.11.23 -
TheHacker 6.7.0.1.088 2010.11.23 -
TrendMicro 9.120.0.1004 2010.11.23 -
TrendMicro-HouseCall 9.120.0.1004 2010.11.23 -
VBA32 3.12.14.2 2010.11.23 -
VIPRE 7387 2010.11.23 FraudTool.Win32.RogueSecurity (v)
ViRobot 2010.11.20.4158 2010.11.23 -
VirusBuster 13.6.55.0 2010.11.23 -




Posted by viruslab
신종악성코드정보2010.10.01 10:24


컴퓨터 사용자의 바이러스 검사 유도 내용으로 위장한 악성 이메일이 국내에 유입되어 전파되고 있어 각별한 주의가 필요합니다.

마치 수신자의 컴퓨터를 온라인으로 검사해 주는 것처럼 위장한 사이트를 보여주고, Anti-Virus 설치 프로그램으로 위장한 허위 보안 제품을 설치하도록 하여 과금 결제를 유도하는 방식입니다.

아래 내용 참고하시어 각별히 주의하시면 좋겠습니다.

제목 :
Re: Check on viruses

내용 :
Check on viruses is more detailed...

이메일에는 첨부파일이 별도로 존재하지 않으며, 본문 내용에 특정 사이트로 연결시켜 악성 파일을 설치 유도하는 방식을 사용한다.

사용자 삽입 이미지
 
본문에 포함된 링크 주소를 사용자가 클릭하면 새로운 사이트로 연결이 시도되고, 다음과 같이 사용자에게 가짜 악성 코드 검출 경고 메시지를 보여줍니다.

사용자 삽입 이미지

버튼을 누르게 되면 다음과 같이 악성 사이트로 연결되어, 마치 온라인으로 악성파일 검사를 하는 것 같이 조작된 재생 화면을 보여주어 사용자를 현혹시킵니다.

사용자 삽입 이미지

검사 도중이나 종료 후에 Remove all 과 같은 부분을 클릭하면 다음과 같이 보안제품의 install 파일처럼 위장한 악성 파일이 다운로드 시도됩니다.

사용자 삽입 이미지
사용자 삽입 이미지

inst.exe 가 실행되면 다음과 같이 "Security Tool" 이라는 허위 Anti-Virus 제품 설치 완료 메시지 창이 보여지고, 스스로 검사를 시작합니다.

사용자 삽입 이미지

다음과 같이 검사를 진행하고, 허위로 악성 파일에 감염되었다는 메시지 창과 함께 과금 결제를 유도하게 됩니다.

사용자 삽입 이미지

해당 악성 프로그램은 현재 국내에 지속적으로 유입이 되고 있어, 피해가 우려되오니 인터넷 사용자분들은 각별히 주의를 하셔야 겠습니다.

과금 결제 화면으로 변경될 경우 사용자가 바탕화면을 정상적으로 사용하지 못하도록 결제 창을 전체 화면 최상위 조건으로 강제화하여 매우 불편하게 만듭니다.

따라서 컴퓨터 사용에 불편을 느낀 많은 이용자들이 결제를 하게되는 피해를 입는 형태입니다.


잉카인터넷 nProtect Anti-Virus 2010년 10월 01일자 제품에서 진단/치료가 가능합니다.

일명 허위 보안 제품(Fake AV)는 지속적으로 변종이 개발되어 유포되고 있기 때문에 항상 신속한 업데이트가 요구됩니다.



Posted by viruslab
신종악성코드정보2010.08.20 13:55


UPS 운송 관련 내용으로 위장하여 악성코드가 또 다시 국내에 유입된 것이 확인되었습니다.

아래 내용 참고하시어, 유사 메일 수신시 각별히 조심하시면 좋겠습니다.

제목 :
UPS Label Delivery

내용 :
UPS Returns Label Delivery

This notice tells you that a UPS shipper has sent you an electronic label.

You can print and use this label to include in your outbound shipment, or send it to the consignee.

Please Find Attached

Note: When retrieving your label below, we will provide you with both a UPS Returns Label and Commercial Invoice if the invoice was prepared by the original shipper.

첨부파일 :
upslabel.zip



사용자 삽입 이미지

첨부 파일은 다음과 같이 내부에 upslabel.exe 악성파일을 포함하고 있으며, 허위 보안 제품류입니다.

nProtect Anti-Virus 2010년 8월 20일자로 치료가 가능합니다.

사용자 삽입 이미지



Posted by viruslab
신종악성코드정보2010.08.18 16:59


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com

그동안 계속 발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

html 파일 유포자들의 목적은 뭘까? ▶▶ http://viruslab.tistory.com/1901

- open.html : http://viruslab.tistory.com/1868
- news.html :
http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882
- Skype.html : http://viruslab.tistory.com/1895
- open.htm : http://viruslab.tistory.com/1901
- photo.html : http://viruslab.tistory.com/1906, http://viruslab.tistory.com/1907
- document.html : http://viruslab.tistory.com/1909
- loveletter.html : http://viruslab.tistory.com/1909
- doc.html : http://viruslab.tistory.com/1919
- login.html : http://viruslab.tistory.com/1919
- message.html : http://viruslab.tistory.com/1919
- foryou.html : http://viruslab.tistory.com/1922
- message.html : http://viruslab.tistory.com/1946
- NewMessage.html : http://viruslab.tistory.com/1960
- Forwarded Message.html : http://viruslab.tistory.com/1962
- Urgent Assistance.html : http://viruslab.tistory.com/1965
- read this file.html : http://viruslab.tistory.com/1966
- Copies of the payment.html : http://viruslab.tistory.com/1973
- Second chord sounds in world's longest lasting concert - Yahoo! News.html : http://viruslab.tistory.com/2046
- invoice.html : http://viruslab.tistory.com/2047

html 파일 형태로 첨부되어 악성코드 이메일이 지속적으로 유포되고 있습니다.

악성코드 유포자는 이 방식을 통해서 허위(가짜) 백신 등을 함께 배포하기도 하며, 비아그라 등 특정 제품 광고를 통해서 수익 모델을 창출하고 있는 상태입니다.

2010년 08월 18일 오후에 다음과 같은 형태가 추가로 국내에 유입되어 전파되고 있으며, 메일 제목과 본문 등이 다른 형태가 다수 발견되고 있습니다.


그 동안 정상적으로 작동(?)이 되지 않아서 계속 증거를 잡지 못했던 JAVA Applet 취약점 파일도 드디어 단서를 잡았네요.

먼저 조금 전 국내에 유입된 이메일 내용은 아래와 같습니다.

제목 :
Tracking # and Invoice

내용 :
CIRCUIT SPECIALISTS, INC.                               TRACK                                 Date-Wed, 18 Aug 2010 12:21:06 +0530   Ref# TRACK
                                                                                             Time-15:35:42   Page    1
Ship Date            Wed, 18 Aug 2010 12:21:06 +0530        THRU Wed, 18 Aug 2010 12:21:06 +0530

The attached file is a copy of your invoice.  It is best viewed with
notepad or some other text viewer that does not try to format the text.

Date Shipped  Our Ref.   Your Ref.       Tracking #
Wed, 18 Aug 2010 12:21:06 +0530          255596 NET 52777       1Z8771870342348699

첨부파일 :
invoice.html


사용자 삽입 이미지

첨부파일은 아래와 같은 형식으로 구성되어 있으며, 또 다른 특정 도메인(일부 모자이크 처리)으로 연결을 유도합니다.

사용자 삽입 이미지

연결이 이루어지다면 다음과 같은 링크(일부 제거)가 추가로 작동되고, 자바 취약점 파일이 실행됩니다.

사용자 삽입 이미지

showtopic 관련 html 파일 진단 현황 (실제 JAVA 코드가 포함되어 있음)

http://www.virustotal.com/file-scan/report.html?id=bb815bcf0d383affd9eb65c55e084981c429b12b3a984d9dbf6e048a292501d3-1282118580

Antivirus Version Last Update Result
AhnLab-V3 2010.08.18.00 2010.08.17 -
AntiVir 8.2.4.34 2010.08.17 -
Antiy-AVL 2.0.3.7 2010.08.16 -
Authentium 5.2.0.5 2010.08.18 -
Avast 4.8.1351.0 2010.08.17 -
Avast5 5.0.332.0 2010.08.17 -
AVG 9.0.0.851 2010.08.17 -
BitDefender 7.2 2010.08.18 -
CAT-QuickHeal 11.00 2010.08.18 -
ClamAV 0.96.2.0-git 2010.08.18 -
Comodo 5781 2010.08.18 -
DrWeb 5.0.2.03300 2010.08.18 -
Emsisoft 5.0.0.39 2010.08.18 -
eSafe 7.0.17.0 2010.08.17 -
eTrust-Vet 36.1.7798 2010.08.18 -
F-Prot 4.6.1.107 2010.08.18 -
F-Secure 9.0.15370.0 2010.08.18 -
Fortinet 4.1.143.0 2010.08.16 -
GData 21 2010.08.18 -
Ikarus T3.1.1.88.0 2010.08.18 -
Jiangmin 13.0.900 2010.08.18 -
Kaspersky 7.0.0.125 2010.08.18 -
McAfee 5.400.0.1158 2010.08.18 -
Microsoft 1.6004 2010.08.18 -
NOD32 5374 2010.08.17 -
Norman 6.05.11 2010.08.17 -
nProtect 2010-08-18.01 2010.08.18 -
Panda 10.0.2.7 2010.08.17 -
PCTools 7.0.3.5 2010.08.18 -
Prevx 3.0 2010.08.18 -
Rising 22.61.02.01 2010.08.18 -
Sophos 4.56.0 2010.08.18 -
Sunbelt 6751 2010.08.18 -
SUPERAntiSpyware 4.40.0.1006 2010.08.18 -
Symantec 20101.1.1.7 2010.08.18 -
TheHacker 6.5.2.1.350 2010.08.18 -
TrendMicro 9.120.0.1004 2010.08.18 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.18 -
VBA32 3.12.14.0 2010.08.17 -
ViRobot 2010.8.16.3990 2010.08.18 -
VirusBuster 5.0.27.0 2010.08.17 -

js.php 파일

http://www.virustotal.com/file-scan/report.html?id=79247ae54b52f7acf67157516e45ca555318ed8b427108f0a70ab09bfc0d53c6-1281566841

Antivirus Version Last Update Result
AhnLab-V3 2010.08.12.00 2010.08.11 -
AntiVir 8.2.4.34 2010.08.11 -
Antiy-AVL 2.0.3.7 2010.08.11 -
Authentium 5.2.0.5 2010.08.11 -
Avast 4.8.1351.0 2010.08.11 -
Avast5 5.0.332.0 2010.08.11 -
AVG 9.0.0.851 2010.08.11 -
BitDefender 7.2 2010.08.11 -
CAT-QuickHeal 11.00 2010.08.11 -
ClamAV 0.96.0.3-git 2010.08.11 -
Comodo 5714 2010.08.11 -
DrWeb 5.0.2.03300 2010.08.11 -
Emsisoft 5.0.0.37 2010.08.11 -
eSafe 7.0.17.0 2010.08.11 -
eTrust-Vet 36.1.7781 2010.08.11 -
F-Prot 4.6.1.107 2010.08.11 JS/Crypted.ID.gen
F-Secure 9.0.15370.0 2010.08.11 -
Fortinet 4.1.143.0 2010.08.11 -
GData 21 2010.08.12 -
Ikarus T3.1.1.88.0 2010.08.11 -
Jiangmin 13.0.900 2010.08.10 -
Kaspersky 7.0.0.125 2010.08.11 -
McAfee 5.400.0.1158 2010.08.12 -
McAfee-GW-Edition 2010.1 2010.08.12 -
Microsoft 1.6004 2010.08.12 -
NOD32 5358 2010.08.11 JS/Kryptik.L.Gen
Norman 6.05.11 2010.08.11 -
nProtect 2010-08-11.02 2010.08.11 -
Panda 10.0.2.7 2010.08.11 -
PCTools 7.0.3.5 2010.08.11 -
Prevx 3.0 2010.08.12 -
Rising 22.60.02.04 2010.08.11 -
Sophos 4.56.0 2010.08.12 -
Sunbelt 6719 2010.08.11 -
SUPERAntiSpyware 4.40.0.1006 2010.08.11 -
Symantec 20101.1.1.7 2010.08.11 -
TheHacker 6.5.2.1.343 2010.08.11 -
TrendMicro 9.120.0.1004 2010.08.11 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.12 -
VBA32 3.12.14.0 2010.08.11 -
ViRobot 2010.8.9.3978 2010.08.11 -
VirusBuster 5.0.27.0 2010.08.11 -


이후에 JAVA 취약점 파일 실행과 관련된 윈도우 창이 나타납니다.

사용자 삽입 이미지

상기 화면에서 연결되는 html 코드에는 JAVA Applet 코드가 포함되어 있으며, exe.php 파일에 의해서 다음과 같이 EXE 형식의 악성코드가 포함되어 있는 것을 확인하였습니다.

사용자 삽입 이미지

특이하게도 해당 링크는 한번 연결이 된 이후에는 재연결이 정상적으로 작동하지 않도록 되어 있고, 그에 따라 분석가의 확인하는데 매우 어려운 부분이 존재하게 됩니다.

다운로드되는 실제 EXE 파일은 아래와 같고, 외산 허위 Anti-Virus 제품류 입니다. (Fake AV)

사용자 삽입 이미지

또한, js.php 로 연결되는데, 이 파일에는 Base64 코드가 포함되어 있습니다.

사용자 삽입 이미지


현재 이러한 html 첨부파일 형식의 이메일 등이 JAVA 취약점이나 PDF 취약점을 통해서 지속적으로 악성코드를 유포하고 있습니다.

각별한 주의가 필요하겠습니다.

자바 애플릿 취약점 추가 정보
Unruy downloader uses CVE-2010-0094 Java vulnerability
http://blogs.technet.com/b/mmpc/archive/2010/08/17/unruy-downloader-uses-cve-2010-0094-java-vulnerability.aspx


더불어 아래와 같은 형태도 유포되고 있으며, EXE 나 ZIP 파일을 직접 첨부한 형태도 발견되고 있습니다.

 

Posted by viruslab
신종악성코드정보2010.08.03 11:06


플래시 플레이어 파일처럼 위장한 파일로 외산 허위 안티 프로그램류가 유포되고 있어 주의가 필요합니다.

사용자 삽입 이미지

해당 파일이 실행되고, 어느정도 시간이 지나면 다음과 같이 "Antivir Solution Pro" 라는 이름을 가진 가짜 보안 제품이 자동으로 실행되고 검사를 진행합니다.

Antivir 는 독일의 AVIRA 제품이 이전에 사용하던 제품명이기도 합니다.
http://www.antivir.com
http://www.avira.com/en/pages/index.php

그런 후에 존재하지도 않는 악성코드가 감염된 것처럼 과장된 진단 내역을 보여주고, 사용자로 하여금 과금 결제를 하도록 유도하는 형태의 악성프로그램 입니다.

사용자 삽입 이미지

제품 구입을 위해서 특정 사이트로 연결을 시도하며, 무려 약 50~60달러 정도를 요구합니다.

헐~~

사용자 삽입 이미지

바이러스 토탈 진단 현황은 다음과 같으며, nProtect Anti-Virus/Spyware 패턴에 긴급 추가를 진행 중에 있습니다.

http://www.virustotal.com/analisis/59c4127607b55088437b7f87db1925eb8f39bd65d0ef1a3be787e47f413a8d32-1280773942

Antivirus Version Last Update Result
AhnLab-V3 2010.08.01.00 2010.07.31 -
AntiVir 8.2.4.32 2010.08.02 -
Antiy-AVL 2.0.3.7 2010.08.02 -
Authentium 5.2.0.5 2010.08.02 -
Avast 4.8.1351.0 2010.08.02 -
Avast5 5.0.332.0 2010.08.02 -
AVG 9.0.0.851 2010.08.02 -
BitDefender 7.2 2010.08.02 -
CAT-QuickHeal 11.00 2010.08.02 Win32.Trojan.FakeSpypro.4
ClamAV 0.96.0.3-git 2010.08.02 -
Comodo 5620 2010.08.02 -
DrWeb 5.0.2.03300 2010.08.02 -
Emsisoft 5.0.0.34 2010.07.30 -
eSafe 7.0.17.0 2010.08.02 -
eTrust-Vet 36.1.7756 2010.08.02 -
F-Prot 4.6.1.107 2010.08.02 -
F-Secure 9.0.15370.0 2010.08.02 -
Fortinet 4.1.143.0 2010.08.02 -
GData 21 2010.08.02 -
Ikarus T3.1.1.84.0 2010.08.02 -
Jiangmin 13.0.900 2010.08.01 -
Kaspersky 7.0.0.125 2010.08.02 -
McAfee 5.400.0.1158 2010.08.02 -
McAfee-GW-Edition 2010.1 2010.08.02 -
Microsoft 1.6004 2010.08.02 -
NOD32 5335 2010.08.02 -
Norman 6.05.11 2010.08.02 -
nProtect 2010-08-02.02 2010.08.02 -
Panda 10.0.2.7 2010.08.02 Suspicious file
PCTools 7.0.3.5 2010.08.02 Trojan.FakeAV
Prevx 3.0 2010.08.02 High Risk Cloaked Malware
Rising 22.59.00.04 2010.08.02 -
Sophos 4.56.0 2010.08.02 -
Sunbelt 6674 2010.08.02 Trojan.Win32.Generic.pak!cobra
SUPERAntiSpyware 4.40.0.1006 2010.08.02 -
Symantec 20101.1.1.7 2010.08.02 Trojan.FakeAV!gen27
TheHacker 6.5.2.1.328 2010.07.30 -
TrendMicro 9.120.0.1004 2010.08.02 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.02 -
VBA32 3.12.12.7 2010.08.02 -
ViRobot 2010.7.31.3965 2010.08.02 -
VirusBuster 5.0.27.0 2010.08.02 -
Additional information
File size: 292608 bytes
MD5   : c105c181beb5fd5ee96382c45cfa7525



Posted by viruslab
보안관련소식2010.06.11 09:48


변형 정보 꼭 읽어보기
다양한 형태로 유포됩니다.
viruslab.tistory.com

보통 악성코드에 감염된 컴퓨터를 Zombie PC 라고 말하지요. 그런데 이러한 컴퓨터가 되면 어떠한 피해가 발생할까요?

감염된 컴퓨터는 제 2의 악성코드 유포자 또는 가해자로 변모(?)하게 되며, DDoS 공격이나 악성코드 메일 유포, 비아그라 광고 메일이나 음란 메일 유포, 허위 보안 제품 유포, 개인정보 유출 피해 등의 행동을 하게 됩니다.  물론 사용자 모르게 하겠지요.

1. Bot Net
2. Zombie PC
3. Spam Mailer
4. C&C
5. Fake Anti-Virus
5. ETC


자 그럼.. 악성코드에 감염되면서 발송되고 있는 비아그라 광고 메일 좀 구경해 보시죠.

사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지

Posted by viruslab