태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'It'에 해당되는 글 235건

  1. 2011.09.26 SpyEye개발코드 유출, 새로운 공격기법 나올 것!
  2. 2011.09.26 국세청 홈택스 시스템, 해킹 우려 지적 (1)
  3. 2011.01.12 국내 성인/음란 사이트 단축 URL 기법 이용한 SPAM Mail 유포 중
  4. 2010.12.01 웨스턴 유니온(Western Union) 송금 서비스 내용으로 사칭한 악성 파일 유포 메일 국내 유입
  5. 2010.11.24 연평도 포격 이슈로 인한 korea 관련 내용 검색시 악성 사이트 접속 주의 (1)
  6. 2010.10.20 웹사이트 악성 파일 삽입 모니터링 프로그램(MalScrMon 0.4)
  7. 2010.10.20 URL 스크립트 분석 프로그램 (MDecoder) (1)
  8. 2010.10.20 악성 URL 분석용 프로그램(NOSEC Malware Detector)
  9. 2010.10.20 Your package is available for pickup.ID810 제목의 악성 이메일 주의
  10. 2010.10.20 Kaspersky Lab USA 일부 웹 페이지 변조로 외산 허위 보안제품 설치 유도 사고 발생
  11. 2010.10.15 외교안보연구원에서 발송한 이메일 처럼 위장한 악성 PDF 첨부파일 주의 (3)
  12. 2010.10.14 안드로이드용 악성프로그램 FakePlayer 3번째 변종 Kaspersky Lab 보고 (2)
  13. 2010.10.13 "Your credit card information has been changed" 제목의 PayPal 피싱 메일 국내 유입
  14. 2010.10.04 바이러스 토탈의 이상한 V3 진단명 ?*?
  15. 2010.10.04 아이튠즈 스토어에서 발송한 내용처럼 위장한 악성 메일 주의
  16. 2010.10.01 "Re: Check on viruses" 라는 보안서비스 내용으로 위장한 악성 이메일 국내 유입
  17. 2010.09.30 제록스(Xerox) 스캔 문서로 위장한 악성 파일 첨부 이메일 국내 유입
  18. 2010.09.13 "Here you have", "Just For you" 이메일 웜 은 이라크 저항군이 유포한(?) 웜인가??
  19. 2010.09.09 안드로이드용 Mobile Spy 프로그램 진단 여부 고민 (1)
  20. 2010.09.09 PDF 0-Day 취약점(CVE-2010-2883)이 계속 나오네요.
  21. 2010.09.02 스펀지제로 - 좀비PC 방송 다시 보기
  22. 2010.09.01 트윗덱(TweetDeck) 업데이트로 위장한 단축 URL 링크(악성코드 설치) 주의하세요. (5)
  23. 2010.08.31 nProtect Anti-Virus 치료 패턴 곧 900만개 돌파 예정 (2)
  24. 2010.08.30 윈도우64 비트용 악성코드 진단 현황
  25. 2010.08.27 페덱스(FedEx) 운송 내용으로 위장한 악성코드 다량 전파 중
  26. 2010.08.26 Android Application 보안과 악성 여부 구분에 대한 고려사항 (7)
  27. 2010.08.25 트위터(Twitter) Bot 악성코드 제작기 (3)
  28. 2010.08.25 페이스북(Facebook) 사용자가 보낸 비아그라 광고 내용 메일 주의 (2)
  29. 2010.08.25 3차 세계전쟁? "World War III is coming in 6 months" 라는 허위 내용으로 유해성 메일 국내 유입 (1)
  30. 2010.08.23 구글 코드 사이트는 악성코드 개발 보관용?
보안관련소식2011.09.26 13:01


SpyEye개발코드 유출, 새로운 공격기법 나올 것!
http://www.dailysecu.com/news_view.php?article_id=708

Spyeye builder patch source code was leaked by French cracker Xyliton 얘기였군요^^;;;
8월달 얘기인데.. 새로운 소식인지 알고 낚였네요. 교수님. ㅡ.ㅡ+

http://blog.damballa.com/?p=1357
http://xylibox.blogspot.com/2011/08/cracking-spyeye-13x.html
http://www.theinquirer.net/inquirer/news/2102503/spyeye-malware-source-code-leaked
http://www.securityweek.com/spyeye-source-code-leaked

Posted by viruslab
TAG It
보안관련소식2011.09.26 12:50


국세청 홈택스 시스템, 해킹 우려 지적
http://www.etnews.com/201109260067

세무관리 프로그램에서 작성한 정보를 홈택스로 불러올 때 시행되는 파일 변환 과정에서 신고자의 컴퓨터 하드드라이브에 폴더(C:ersdata)가 생성되고, 변환된 파일을 국세청으로 전송하는 과정에서 폴더(C:ersdatape_data)가 생성된다. 그런데 각각의 폴더에는 신고자의 주민등록번호와 계좌번호, 전화번호, 주소 등 신상 정보는 물론 법인의 매출액, 납세액, 부채 현황 등 각종 세무정보가 담겨 있는 파일이 만들어진다.


Posted by viruslab
TAG It
보안관련소식2011.01.12 17:33


조금 전 국내에서 발견된 이메일 형태입니다.

사용자 삽입 이미지

메일 본문에 포함되어 있는 "도전하세요 새로운 세상이 열립니다1" 라는 부분에 단축 URL 형식처럼 보여지는 도메인이 링크되어 있습니다.

클릭을 하게 되면 특정 국내 성인사이트 창이 새롭게 열립니다.



사용자 삽입 이미지

단축 URL 접근 시 각별히 조심하시면 좋겠습니다.




Posted by viruslab
신종악성코드정보2010.12.01 08:51


해외 유명 송금 서비스 중 하나인 Western Union 내용처럼 사칭한 악성 파일 유포 이메일이 국내에 유입되었습니다.

다음과 같은 내용으로 전파되고 있으니, 유심히 살펴보시고 주의하시면 좋겠습니다.

제목 :
Western Union Money Transfer Transaction

내용 :
Western Union Money Transfer Transaction that you (or somebody on your behalf) enquired earlier hasn't been authorized.

For more information concerning transfer validation or money refund Please review the attachment.

첨부파일 :
report.zip



사용자 삽입 이미지

첨부되어 있는 report.zip 파일에는 report.exe 라는 악성 파일이 압축 포함되어 있습니다.

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.11.24 00:31


트랜드 마이크로에서 가장 신속히 관련 내용을 블로그와 트위터 등을 통해서 공개했습니다.

Cross-Border Korean Shelling Leads to FAKEAV
http://blog.trendmicro.com/cross-border-korean-shelling-leads-to-fakeav/
http://www.bbc.co.uk/news/world-asia-pacific-11818005

상기 내용과 관련하여 전파 중인 외산 허위 보안제품류(FakeAV) 모듈이 다수 전파 중인 것을 확인하였으며, 대부분 korea 라는 문구 등이 사용되고 있으나, 직접적인 연평도 관련 내용이 포함된 경우는 아직 확인된 바 없습니다.

또한, 다수의 변종이 유포되는 것이 추가로 확인되었습니다.


http://www.virustotal.com/file-scan/report.html?id=18b1837414ea582173eb66505d76a98aee8f2c336795954c656ff01fa1de273d-1290525488

http://www.virustotal.com/file-scan/report.html?id=92ddccc4f7528957ad25543b80e6f9582e1247e6d5634e775240be43922c401c-1290525329

http://www.virustotal.com/file-scan/report.html?id=d6362149585629786d7b2c71b2587d5e80e1cebd35cb4781bea4f60419ab552a-1290525581

http://www.virustotal.com/file-scan/report.html?id=176ba1e80d655bfb6ff6e4d13f6bfb174b42f22e4eb854b9f4210e2269de9edc-1290525536

http://www.virustotal.com/file-scan/report.html?id=f1480152dd45b500c78872947fbd380e24013f2f26eac0d575b2edc91887df74-1290525636

nProtect Anti-Virus 제품에서는 현재 발견된 다수의 변종에 대한 치료 기능 업데이트를 긴급으로 완료한 상태입니다.
Antivirus Version Last Update Result
AhnLab-V3 2010.11.23.01 2010.11.23 -
AntiVir 7.10.14.80 2010.11.23 TR/Crypt.ZPACK.Gen2
Antiy-AVL 2.0.3.7 2010.11.23 -
Avast 4.8.1351.0 2010.11.23 -
Avast5 5.0.594.0 2010.11.23 -
AVG 9.0.0.851 2010.11.23 -
BitDefender 7.2 2010.11.23 -
CAT-QuickHeal 11.00 2010.11.09 -
ClamAV 0.96.4.0 2010.11.23 Trojan.Fakesec-123
Command 5.2.11.5 2010.11.23 -
Comodo 6820 2010.11.23 -
DrWeb 5.0.2.03300 2010.11.23 -
Emsisoft 5.0.0.50 2010.11.23 -
eSafe 7.0.17.0 2010.11.23 -
eTrust-Vet 36.1.7994 2010.11.23 Win32/FraudSecurityTool.N!generi
F-Prot 4.6.2.117 2010.11.23 -
F-Secure 9.0.16160.0 2010.11.22 -
Fortinet 4.2.254.0 2010.11.23 -
GData 21 2010.11.23 -
Ikarus T3.1.1.90.0 2010.11.23 -
Jiangmin 13.0.900 2010.11.20 -
K7AntiVirus 9.68.3053 2010.11.23 -
Kaspersky 7.0.0.125 2010.11.23 -
McAfee 5.400.0.1158 2010.11.23 -
McAfee-GW-Edition 2010.1C 2010.11.23 -
Microsoft 1.6402 2010.11.23 -
NOD32 5642 2010.11.23 a variant of Win32/Kryptik.IGH
Norman 6.06.10 2010.11.22 -
nProtect 2010-11-23.02 2010.11.23 Trojan/W32.Agent.1225728.D
Panda 10.0.2.7 2010.11.23 -
PCTools 7.0.3.5 2010.11.23 -
Prevx 3.0 2010.11.23 -
Rising 22.75.01.02 2010.11.23 -
Sophos 4.59.0 2010.11.23 -
SUPERAntiSpyware 4.40.0.1006 2010.11.23 Rogue.SecurityTool
Symantec 20101.2.0.161 2010.11.23 -
TheHacker 6.7.0.1.088 2010.11.23 -
TrendMicro 9.120.0.1004 2010.11.23 -
TrendMicro-HouseCall 9.120.0.1004 2010.11.23 -
VBA32 3.12.14.2 2010.11.23 -
VIPRE 7387 2010.11.23 FraudTool.Win32.RogueSecurity (v)
ViRobot 2010.11.20.4158 2010.11.23 -
VirusBuster 13.6.55.0 2010.11.23 -




Posted by viruslab
분석도구2010.10.20 14:38
분석도구2010.10.20 14:32


http://blog.mtian.net/mdecoder/

http://blog.mtian.org/mdecoder/

https://code.google.com/p/mdecoder/downloads/list

이 프로그램은 원래 FreShow 가 근간이며, jimmyleo 가 공유한 소스코드를 활용한 것으로 알고 있습니다.


사용자 삽입 이미지

Posted by viruslab
분석도구2010.10.20 14:05


http://www.nosec.org/2010/1015/673.html


아직 초기 버전이라 약간 버그가 있네요.
사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.10.20 10:54


다음과 같은 제목과 내용 등을 가진 악성 파일 첨부 이메일이 해외에서 발견되고 있습니다.

해당 내용 참고하시어 조심하시면 좋겠습니다.

제목 :
Your package is available for pickup.ID810

내용 :
Good afternoon.

The parcel was sent to your home address. And it will arrive within 3 business days.
More information and the tracking number are attached in document below.

Thank you.
UPS Logistics.

첨부파일 :
Tracking_information_NR9650.zip



사용자 삽입 이미지

악성 파일 진단 현황입니다.

http://www.virustotal.com/file-scan/report.html?id=a8ad5024bda7458660e008ca75c7863f39a47660fa96120204c82b5540398508-1287531523

Antivirus Version Last Update Result
AhnLab-V3 2010.10.20.00 2010.10.19 Spyware/Win32.Carberp
AntiVir 7.10.12.252 2010.10.19 TR/Drop.Agent.adn
Antiy-AVL 2.0.3.7 2010.10.19 -
Authentium 5.2.0.5 2010.10.19 W32/Trojan3.CGW
Avast 4.8.1351.0 2010.10.19 Win32:Trojan-gen
Avast5 5.0.594.0 2010.10.19 Win32:Trojan-gen
AVG 9.0.0.851 2010.10.20 Dropper.Generic2.BLFV
BitDefender 7.2 2010.10.20 Trojan.Oficla.AU
CAT-QuickHeal 11.00 2010.10.19 -
ClamAV 0.96.2.0-git 2010.10.19 -
DrWeb 5.0.2.03300 2010.10.20 Trojan.PWS.Spy.9839
Emsisoft 5.0.0.50 2010.10.19 Trojan.Oficla!IK
eSafe 7.0.17.0 2010.10.19 -
eTrust-Vet 36.1.7921 2010.10.19 Win32/Oficla.OU
F-Prot 4.6.2.117 2010.10.19 W32/Trojan3.CGW
F-Secure 9.0.16160.0 2010.10.19 Trojan-Downloader:W32/Oficla.JR
Fortinet 4.2.249.0 2010.10.19 -
GData 21 2010.10.20 Trojan.Oficla.AU
Ikarus T3.1.1.90.0 2010.10.19 Trojan.Oficla
Jiangmin 13.0.900 2010.10.19 -
K7AntiVirus 9.66.2789 2010.10.19 -
Kaspersky 7.0.0.125 2010.10.19 Trojan-Spy.Win32.Carberp.k
McAfee 5.400.0.1158 2010.10.20 Generic.dx!uir
McAfee-GW-Edition 2010.1C 2010.10.19 Artemis!17CFCFD88022
Microsoft 1.6301 2010.10.19 Trojan:Win32/Meredrop
NOD32 5546 2010.10.19 a variant of Win32/Kryptik.HMN
Norman 6.06.07 2010.10.19 -
nProtect 2010-10-19.01 2010.10.19 Trojan.Oficla.AU
Panda 10.0.2.7 2010.10.20 Trj/Sinowal.WXO
PCTools 7.0.3.5 2010.10.20 Trojan.Sasfis
Prevx 3.0 2010.10.20 High Risk System Back Door
Rising 22.70.01.04 2010.10.19 -
Sophos 4.58.0 2010.10.20 Mal/Oficla-A
Sunbelt 7096 2010.10.19 -
SUPERAntiSpyware 4.40.0.1006 2010.10.20 -
Symantec 20101.2.0.161 2010.10.20 Trojan.Sasfis
TheHacker 6.7.0.1.060 2010.10.19 -
TrendMicro 9.120.0.1004 2010.10.19 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.20 TROJ_OFICLA.WY
VBA32 3.12.14.1 2010.10.19 -
ViRobot 2010.10.19.4101 2010.10.19 -
VirusBuster 12.69.7.0 2010.10.19 -



Posted by viruslab
보안관련소식2010.10.20 09:03
신종악성코드정보2010.10.15 08:17


JUN.Bong-Geun@ifans.go.kr 라는 곳에서 발송한 내용처럼 위장한 악성 이메일이 외국에서 보고되었습니다.
ifans.go.kr 은 외교안보연구원(http://www.ifans.go.kr/index.html) 의 도메인입니다.

http://junreport.egloos.com/


제목 :
Nuclear Challenges and Responses in the Century

내용 :
Dear all

We inform you of an event and expect your kindly opinions.
On October 4th-5th 2010, the  IFANS Conference on Global Affairs in 2010, "Nuclear Challenges and Responses in the  Century" is hosted by the Institute of Foreign Affairs and National Security (IFANS) and the Presidential Council for Future and Vision (PCFV), and is organized by the Institute of Foreign Affairs and National Security (IFANS),ROK.

At the conference,in-depth discussion is expected among international and Korean experts and turn-out policy recommendations in terms of three subjects.
The sessions and programs were attached to a file "Conference Information.pdf".

첨부파일 :
Conference Information_2010 IFANS Conference on Global Affairs (1001).pdf



사용자 삽입 이미지


발송지 IP 를 추적해 보니 한국이 아니라 중국이네요. 발신지 이메일 주소는 얼마든지 조작이 가능하오니, 이것만 신뢰해서는 낭패를 볼 수 있다는 것을 다시 한번 증명해 주네요.

사용자 삽입 이미지


[Add]
http://viruslab.tistory.com/4157




Posted by viruslab
신종악성코드정보2010.10.14 09:23


Trojan-SMS.AndroidOS.FakePlayer.b 변종 nProtect Mobile 진단 정보 보기
http://viruslab.tistory.com/2073

FakePlayer 3번째 변종이 Kaspersky Lab 에 의해서 추가 보고되었습니다.

http://www.securelist.com/en/blog/329/FakePlayer_take_3

Trojan-SMS.AndroidOS.FakePlayer.c

샘플 추적 중에 확인해 보니 APK 내부 파일인 classes.dex 형태로  Trojan-SMS.AndroidOS.FakePlayer.d 로 진단되는 샘플도 확인되었습니다.

c 와 d 를 어떻게 구분하여 업데이트 한 것인지도 확인 중입니다.

http://www.virustotal.com/file-scan/report.html?id=675568f8deebcfbbf9a50d31a9b317918a324665dfc2ae8d9d0a9d120f10669d-1287014513

Kaspersky 에서는 다음과 같이 안드로이드용 악성프로그램을 업데이트 했습니다.

13 October 2010
Trojan-SMS.AndroidOS.FakePlayer.d 22:28  
11 October 2010
Trojan-SMS.AndroidOS.FakePlayer.c 20:24 12 Oct 2010, 23:32
8 September 2010
Trojan-SMS.AndroidOS.FakePlayer.b 23:04 9 Sep 2010, 08:29
6 August 2010
Trojan-SMS.AndroidOS.FakePlayer.a


사용자 삽입 이미지



Posted by viruslab
분류없음2010.10.13 09:01


사용자의 주요 정보를 탈취시도하는 PayPal 피싱용 이메일이 국내에 유입되었으니, 각별히 조심하시면 좋겠습니다.

제목 :
Your credit card information has been changed

내용 :
Your credit card information has been changed.

On October 12, 2010, your credit card has been removed from your PayPal account.

You are receiving this email notification because this email address is listed as the administrative contact email for your PayPal account. If you belive this is an error, click the link below, log in to your PayPal account and follow the instructions.

https://www.paypal.com.au/cgi-bin/helpweb?cmd=_help

Please do not reply to this email. This mailbox is not monitored and you will not receive a response.

Sincerely,
PayPal

----------------------------------------------------------------

PayPal Email ID PP330


사용자 삽입 이미지





Posted by viruslab
TAG It, paypal, 피싱
보안관련소식2010.10.04 13:04


최근 국내에 유포된 ARP Spoofing 트로이목마와 관련하여 바이러스 토탈(www.virustotal.com) 사이트에 등록된 V3의 진단명이 ?*? 라는 형식으로 출력되는게 확인되었네요.



사용자 삽입 이미지

최신으로 샘플을 재등록해 보니 다음과 같이 정상 진단하는 것을 확인했습니다.




Antivirus Version Last Update Result
AhnLab-V3 2010.10.03.01 2010.10.03 Trojan/Win32.OnlineGameHack
AntiVir 7.10.12.112 2010.10.03 TR/Crypt.ASPM.Gen2
Antiy-AVL 2.0.3.7 2010.10.04 -
Authentium 5.2.0.5 2010.10.04 -
Avast 4.8.1351.0 2010.10.03 -
Avast5 5.0.594.0 2010.10.03 -
AVG 9.0.0.851 2010.10.04 Win32/NSAnti.J
BitDefender 7.2 2010.10.04 Trojan.Generic.KDV.46400
CAT-QuickHeal 11.00 2010.10.04 -
ClamAV 0.96.2.0-git 2010.10.03 PUA.Packed.ASPack
Comodo 6277 2010.10.04 -
DrWeb 5.0.2.03300 2010.10.04 -
Emsisoft 5.0.0.50 2010.10.04 Trojan-Dropper.Win32.Small!IK
eSafe 7.0.17.0 2010.10.03 -
eTrust-Vet 36.1.7889 2010.10.02 -
F-Prot 4.6.2.117 2010.10.04 -
F-Secure 9.0.15370.0 2010.10.04 Trojan.Generic.KDV.46400
Fortinet 4.1.143.0 2010.10.03 -
GData 21 2010.10.04 Trojan.Generic.KDV.46400
Ikarus T3.1.1.90.0 2010.10.04 Trojan-Dropper.Win32.Small
Jiangmin 13.0.900 2010.10.03 -
K7AntiVirus 9.63.2662 2010.10.02 -
Kaspersky 7.0.0.125 2010.10.03 -
McAfee 5.400.0.1158 2010.10.04 Generic PWS.td
McAfee-GW-Edition 2010.1C 2010.10.03 Generic PWS.td
Microsoft 1.6201 2010.10.03 VirTool:Win32/Obfuscator.BX
NOD32 5500 2010.10.03 a variant of Win32/Kryptik.GVT
Norman 6.06.07 2010.10.03 -
nProtect 2010-10-04.01 2010.10.04 Trojan/W32.Agent.271872.AL
Panda 10.0.2.7 2010.10.03 Trj/CI.A
PCTools 7.0.3.5 2010.10.02 Trojan.Generic
Prevx 3.0 2010.10.04 -
Rising 22.67.02.07 2010.09.30 -
Sophos 4.58.0 2010.10.04 -
Sunbelt 6976 2010.10.04 BehavesLike.Win32.Malware.bse (vs)
SUPERAntiSpyware 4.40.0.1006 2010.10.03 -
Symantec 20101.2.0.161 2010.10.04 Trojan Horse
TheHacker 6.7.0.1.048 2010.10.04 -
TrendMicro 9.120.0.1004 2010.10.04 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.04 -
VBA32 3.12.14.1 2010.10.01 MalwareScope.Trojan-PSW.Game.4
ViRobot 2010.10.4.4074 2010.10.04 -
VirusBuster 12.66.12.0 2010.10.03 -

간헐적인 문제가 있었던 것 같기도 합니다.



Posted by viruslab
신종악성코드정보2010.10.04 09:07


주말 동안 애플사의 아이튠즈 스토어(iTunes Store)에서 발송한 내용으로 위장한 악성 이메일이 국내에 다수 유입되었습니다.

제목은 Your receipt #(임의의 숫자) 형태이며, 본문 링크(1.gif 등)를 통해사 악성 사이트 연결을 유도합니다.

사용자 삽입 이미지

본문에 포함되어 있는 1.gif 는 현재 대부분 해외 보안 그룹을 통해서 차단되어 다음과 같이 Zeus Malware Warning 경고 창으로 리다이렉션 되고 있습니다.

해외 보안 업체들의 신속한 차단의 효과입니다.

사용자 삽입 이미지

보통 이러한 사이트는 허위 보안 제품 등을 설치하여 과금 결제를 유도하거나, 비아그라 등 성인 약품 판매 사이트 등을 광고하는 역할을 수행합니다.


Posted by viruslab
신종악성코드정보2010.10.01 10:24


컴퓨터 사용자의 바이러스 검사 유도 내용으로 위장한 악성 이메일이 국내에 유입되어 전파되고 있어 각별한 주의가 필요합니다.

마치 수신자의 컴퓨터를 온라인으로 검사해 주는 것처럼 위장한 사이트를 보여주고, Anti-Virus 설치 프로그램으로 위장한 허위 보안 제품을 설치하도록 하여 과금 결제를 유도하는 방식입니다.

아래 내용 참고하시어 각별히 주의하시면 좋겠습니다.

제목 :
Re: Check on viruses

내용 :
Check on viruses is more detailed...

이메일에는 첨부파일이 별도로 존재하지 않으며, 본문 내용에 특정 사이트로 연결시켜 악성 파일을 설치 유도하는 방식을 사용한다.

사용자 삽입 이미지
 
본문에 포함된 링크 주소를 사용자가 클릭하면 새로운 사이트로 연결이 시도되고, 다음과 같이 사용자에게 가짜 악성 코드 검출 경고 메시지를 보여줍니다.

사용자 삽입 이미지

버튼을 누르게 되면 다음과 같이 악성 사이트로 연결되어, 마치 온라인으로 악성파일 검사를 하는 것 같이 조작된 재생 화면을 보여주어 사용자를 현혹시킵니다.

사용자 삽입 이미지

검사 도중이나 종료 후에 Remove all 과 같은 부분을 클릭하면 다음과 같이 보안제품의 install 파일처럼 위장한 악성 파일이 다운로드 시도됩니다.

사용자 삽입 이미지
사용자 삽입 이미지

inst.exe 가 실행되면 다음과 같이 "Security Tool" 이라는 허위 Anti-Virus 제품 설치 완료 메시지 창이 보여지고, 스스로 검사를 시작합니다.

사용자 삽입 이미지

다음과 같이 검사를 진행하고, 허위로 악성 파일에 감염되었다는 메시지 창과 함께 과금 결제를 유도하게 됩니다.

사용자 삽입 이미지

해당 악성 프로그램은 현재 국내에 지속적으로 유입이 되고 있어, 피해가 우려되오니 인터넷 사용자분들은 각별히 주의를 하셔야 겠습니다.

과금 결제 화면으로 변경될 경우 사용자가 바탕화면을 정상적으로 사용하지 못하도록 결제 창을 전체 화면 최상위 조건으로 강제화하여 매우 불편하게 만듭니다.

따라서 컴퓨터 사용에 불편을 느낀 많은 이용자들이 결제를 하게되는 피해를 입는 형태입니다.


잉카인터넷 nProtect Anti-Virus 2010년 10월 01일자 제품에서 진단/치료가 가능합니다.

일명 허위 보안 제품(Fake AV)는 지속적으로 변종이 개발되어 유포되고 있기 때문에 항상 신속한 업데이트가 요구됩니다.



Posted by viruslab
신종악성코드정보2010.09.30 09:01


제록스(Xerox) 관련 내용을 위장하여 악성 파일을 유포하는 이메일 형태가 지속적으로 국내에 유입되고 있습니다.

국내에 변종 악성 파일을 포함한 메일이 추가 유입되었사오니, 아래 내용 참고하시어 유사 악성 메일에 노출되지 않도록 조심하시면 좋겠습니다.

이메일 내용과 파일은 지속적으로 조금씩 변경되어 배포되고 있습니다.

제목 :
Scan from a Xerox WorkCentre  P7725808

내용 :
Good day,
Please open the attached document. It was scanned and sent to you using a Xerox WorkCentre Pro.

Sent by: Guest
Number of Images: 1
Attachment File Type: ZIP [DOC]

WorkCentre Pro Location: machine location not set Device Name: XRX2090AA7ACDB45466972.

첨부파일 :
Xerox_Scan_N0032-42344250.zip


사용자 삽입 이미지

메일 본문에 첨부되어 있는 "Xerox_Scan_N0032-42344250.zip" 압축 파일 내부에 다음과 같이 "Xerox_Scan_N0032-42344250.doc.exe" 이중 확장자를 가진 악성 파일이 포함되어 있습니다.

아이콘과 2중 확장자 중 일부가 DOC 워드 문서로 보이도록 위장하고 있습니다.

사용자 삽입 이미지
사용자 삽입 이미지

해당 악성 파일은 nProtect Anti-Virus 2010년 9월 30일자 버전부터 진단 및 치료가 가능하도록 진행 중에 있습니다.



Posted by viruslab
신종악성코드정보2010.09.13 12:50


W32.Imsolk.B@mm
http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-090922-4703-99&tabid=2

W32/VBMania@MM
http://vil.nai.com/vil/content/v_275435.htm

http://www.avertlabs.com/research/blog/index.php/2010/09/09/widespread-reporting-of-here-you-have-virus/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+McafeeAvertLabsBlog+%28McAfee+Avert+Labs+Blog%29

Another look at VBMania
http://www.securelist.com/en/blog/313/Another_look_at_VBMania

http://www.securelist.com/en/blog/301/Here_you_have_not_a_sex_tape_b%20ut_a_worm

'Here You Have' Email
http://isc.sans.edu/diary.html?storyid=9529&rss

사용자 삽입 이미지

제작자와 관련된 YouTube 동영상



http://www.virustotal.com/file-scan/report.html?id=fedb7b404754cf85737fb7e50f33324b84eb4c0b98024c7d3302039a901b04b7-1284391645

Antivirus Version Last Update Result
AhnLab-V3 2010.09.13.00 2010.09.13 Win32/Swisyn.worm.290816
AntiVir 8.2.4.50 2010.09.13 Worm/Swisyn.algm
Antiy-AVL 2.0.3.7 2010.09.13 Worm/Win32.VBMania.gen
Authentium 5.2.0.5 2010.09.13 W32/VB.CRJ
Avast 4.8.1351.0 2010.09.13 Win32:AutoRun-BNS
Avast5 5.0.594.0 2010.09.13 Win32:AutoRun-BNS
AVG 9.0.0.851 2010.09.13 Generic19.KVH
BitDefender 7.2 2010.09.13 Trojan.Downloader.VB.WQE
CAT-QuickHeal 11.00 2010.09.13 Worm.Visal.b
ClamAV 0.96.2.0-git 2010.09.13 Worm.VBMania
Comodo 6065 2010.09.13 Worm.Win32.Swisyn.algm
DrWeb 5.0.2.03300 2010.09.13 WIN.WORM.Virus
Emsisoft 5.0.0.37 2010.09.13 Trojan.Win32.Swisyn!IK
eSafe 7.0.17.0 2010.09.12 -
eTrust-Vet 36.1.7852 2010.09.13 Win32/VBWorm.A
F-Prot 4.6.1.107 2010.09.13 W32/VB.CRJ
F-Secure 9.0.15370.0 2010.09.13 Worm:W32/VB.MDY
Fortinet 4.1.143.0 2010.09.13 W32/Swisyn.A!worm
GData 21 2010.09.13 Trojan.Downloader.VB.WQE
Ikarus T3.1.1.88.0 2010.09.13 Trojan.Win32.Swisyn
Jiangmin 13.0.900 2010.09.13 -
K7AntiVirus 9.63.2496 2010.09.11 EmailWorm
Kaspersky 7.0.0.125 2010.09.13 Email-Worm.Win32.VBMania.a
McAfee 5.400.0.1158 2010.09.13 W32/VBMania@MM
McAfee-GW-Edition 2010.1B 2010.09.13 W32/VBMania@MM
Microsoft 1.6103 2010.09.12 Worm:Win32/Visal.B
NOD32 5446 2010.09.13 Win32/Visal.A
Norman 6.06.06 2010.09.13 Visal.B
nProtect 2010-09-13.02 2010.09.13 Worm/W32.VBMania.290816
Panda 10.0.2.7 2010.09.12 Generic Worm
PCTools 7.0.3.5 2010.09.13 Email-Worm.Imsolk
Prevx 3.0 2010.09.13 High Risk Cloaked Malware
Rising 22.65.00.03 2010.09.13 Trojan.Win32.Generic.52307BA2
Sophos 4.57.0 2010.09.13 W32/Autorun-BHO
Sunbelt 6868 2010.09.13 Trojan.Win32.Generic.pak!cobra
SUPERAntiSpyware 4.40.0.1006 2010.09.13 Trojan.Agent/Gen-Frauder[Adobe]
Symantec 20101.1.1.7 2010.09.13 W32.Imsolk.B@mm
TheHacker 6.7.0.0.016 2010.09.12 Trojan/Swisyn.algm
TrendMicro 9.120.0.1004 2010.09.12 WORM_MEYLME.B
TrendMicro-HouseCall 9.120.0.1004 2010.09.13 WORM_MEYLME.B
VBA32 3.12.14.0 2010.09.13 -
ViRobot 2010.8.25.4006 2010.09.13 Trojan.Win32.Swisyn.290816
VirusBuster 12.65.2.0 2010.09.12 I-Worm.VBMania.A



Posted by viruslab
신종악성코드정보2010.09.09 15:12



상기 사이트에서 서비스 중인 프로그램을 러시아 Anti-Virus 업체인 Dr.WEB 에서 진단 중입니다.

잡아야 하나 말아야 하나 고민 좀 해봐야겠네요.

http://www.virustotal.com/file-scan/report.html?id=1f19da341e5eb02ce80e211c0446abc5e4f475a69c617645b200d4842b052d6f-1282631789

http://www.virustotal.com/file-scan/report.html?id=a95a900516afeb4445ebfd973dbe3aab38a3585ca984fc82cc4d1ddd11f8dc1b-1283326951

http://www.virustotal.com/file-scan/report.html?id=83c4c9ab6984da02463d472abe6da82ae8e829e5a192d443afdbc56553daf0b3-1282723320

Antivirus Version Last Update Result
AhnLab-V3 2010.08.25.00 2010.08.24 -
AntiVir 8.2.4.38 2010.08.25 -
Antiy-AVL 2.0.3.7 2010.08.23 -
Authentium 5.2.0.5 2010.08.25 -
Avast 4.8.1351.0 2010.08.24 -
Avast5 5.0.594.0 2010.08.24 -
AVG 9.0.0.851 2010.08.24 -
BitDefender 7.2 2010.08.25 -
CAT-QuickHeal 11.00 2010.08.24 -
ClamAV 0.96.2.0-git 2010.08.25 -
Comodo 5848 2010.08.24 -
DrWeb 5.0.2.03300 2010.08.25 Android.MobileSpy.2
Emsisoft 5.0.0.37 2010.08.25 -
eSafe 7.0.17.0 2010.08.24 -
eTrust-Vet 36.1.7814 2010.08.24 -
F-Prot 4.6.1.107 2010.08.24 -
F-Secure 9.0.15370.0 2010.08.25 -
Fortinet 4.1.143.0 2010.08.24 -
GData 21 2010.08.24 -
Ikarus T3.1.1.88.0 2010.08.25 -
Jiangmin 13.0.900 2010.08.25 -
Kaspersky 7.0.0.125 2010.08.25 -
McAfee 5.400.0.1158 2010.08.25 -
McAfee-GW-Edition 2010.1B 2010.08.25 -
Microsoft 1.6103 2010.08.25 -
NOD32 5394 2010.08.24 -
Norman 6.05.11 2010.08.24 -
nProtect 2010-08-24.01 2010.08.24 -
Panda 10.0.2.7 2010.08.25 -
PCTools 7.0.3.5 2010.08.25 -
Prevx 3.0 2010.08.25 -
Rising 22.62.02.03 2010.08.25 -
Sophos 4.56.0 2010.08.25 -
Sunbelt 6788 2010.08.25 -
SUPERAntiSpyware 4.40.0.1006 2010.08.25 -
Symantec 20101.1.1.7 2010.08.25 -
TheHacker 6.5.2.1.355 2010.08.24 -
TrendMicro 9.120.0.1004 2010.08.25 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.25 -
VBA32 3.12.14.0 2010.08.24 -
ViRobot 2010.8.25.4006 2010.08.25 -
VirusBuster 5.0.27.0 2010.08.24 -

사용자 삽입 이미지



Posted by viruslab
신종악성코드정보2010.09.09 10:31


Security Advisory for Adobe Reader and Acrobat (CVE-2010-2883)
http://www.adobe.com/support/security/advisories/apsa10-02.html

Adobe 에서는 뭔가 근본적인 대처 방안을 모색해야 하지 않을까 하는 생각이 들 정도입니다.

유포되었던 "Golf Clinic.pdf" 파일의 진단 현황입니다.

http://www.virustotal.com/file-scan/report.html?id=d55aa45223606db795d29ab9e341c1c703e5a2e26bd98402779f52b6c2e9da2b-1283865430

Antivirus Version Last Update Result
AhnLab-V3 2010.09.07.01 2010.09.07 -
AntiVir 8.2.4.50 2010.09.07 -
Antiy-AVL 2.0.3.7 2010.09.07 -
Authentium 5.2.0.5 2010.09.07 -
Avast 4.8.1351.0 2010.09.07 -
Avast5 5.0.594.0 2010.09.07 -
AVG 9.0.0.851 2010.09.07 -
BitDefender 7.2 2010.09.07 -
CAT-QuickHeal 11.00 2010.09.07 -
ClamAV 0.96.2.0-git 2010.09.07 -
Comodo 5999 2010.09.07 -
DrWeb 5.0.2.03300 2010.09.07 -
Emsisoft 5.0.0.37 2010.09.07 -
eSafe 7.0.17.0 2010.09.07 -
eTrust-Vet 36.1.7839 2010.09.06 -
F-Prot 4.6.1.107 2010.09.01 -
F-Secure 9.0.15370.0 2010.09.07 -
Fortinet 4.1.143.0 2010.09.07 -
GData 21 2010.09.07 -
Ikarus T3.1.1.88.0 2010.09.07 -
Jiangmin 13.0.900 2010.09.07 -
K7AntiVirus 9.63.2453 2010.09.06 -
Kaspersky 7.0.0.125 2010.09.07 -
McAfee 5.400.0.1158 2010.09.07 -
McAfee-GW-Edition 2010.1B 2010.09.07 Heuristic.BehavesLike.PDF.Suspicious.O
Microsoft 1.6103 2010.09.07 -
NOD32 5431 2010.09.07 -
Norman 6.05.11 2010.09.06 -
nProtect 2010-09-07.02 2010.09.07 -
Panda 10.0.2.7 2010.09.07 -
PCTools 7.0.3.5 2010.09.07 -
Prevx 3.0 2010.09.07 -
Rising 22.64.01.04 2010.09.07 -
Sophos 4.57.0 2010.09.07 -
Sunbelt 6841 2010.09.07 -
SUPERAntiSpyware 4.40.0.1006 2010.09.07 -
Symantec 20101.1.1.7 2010.09.07 -
TheHacker 6.5.2.1.366 2010.09.07 -
TrendMicro 9.120.0.1004 2010.09.07 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.07 -
VBA32 3.12.14.0 2010.09.06 -
ViRobot 2010.8.25.4006 2010.09.07 -
VirusBuster 12.64.20.0 2010.09.06 -

nProtect Anti-Virus 9월 9일자 2차 업데이트에 치료 기능이 추가될 예정입니다.

사용자 삽입 이미지


Posted by viruslab
보안관련소식2010.09.02 13:27


2010년 08월 27일에 KBS 스펀지제로에서 좀비PC라는 내용이 방송되어서 각종 포털 사이트 검색순위 상위에 랭크되기도 했었는데요.

관련 내용이 사회적으로 보안에 대한 경각심을 일깨워 주었다는 점에서 큰 반향을 일으킨 것 같습니다.

악성코드와 좀비 PC에 대한 내용을 일반인분 들이 쉽게 이해할 수 있도록 구성을 한 것 같습니다.

혹시 못 보신 분들을 위해서 방송 다시 보기 주소를 알려드립니다.]

해당 내용은 40분 38초경부터 시작되며, 로그인(가입 필요)만 하시면 일반 화질로 무료 시청이 가능합니다.

[주소]
http://www.kbs.co.kr/2tv/enter/sponge/view/pod/1669854_34482.html


사용자 삽입 이미지

일부 내용만 로그인 없이 보기(찜)

http://www.kbs.co.kr/zzim/player/html/vmplayer/index.html?markid=1808257

Posted by viruslab
신종악성코드정보2010.09.01 10:28


트위터를 사용할 수 있는 프로그램인 트윗덱(TweetDeck) 프로그램의 업데이트 내용으로 위장한 악성코드가 트위터를 통해서 유포되었습니다.

http://support.tweetdeck.com/entries/249941-do-not-download-fake-tweetdeck-update-appearing-on-twitter

http://alturl.com 의 단축 URL 서비스를 통해서 다음과 같은 내용 등이 배포되었습니다.

트위터 서비스 등에서 이러한 단축 URL 서비스로 악성코드를 유포하는 형태가 지속적으로 목격되고 있으므로, 파일이 다운로드 시도되거나 신뢰할 수 없는 도메인으로 연결될 경우 각별히 주의하셔야 겠습니다.


사용자 삽입 이미지

이미지 자료 - TrendMicro


http://www.sophos.com/blogs/gc/g/2010/08/31/fake-tweetdeck-update-preys-twitter-users/

http://blog.trendmicro.com/tdss-pretending-to-be-tweetdeck-update/

유포된 악성코드인 "tweetdeck-08302010-update.exe" 파일의 진단 현황은 다음과 같습니다.

http://www.virustotal.com/file-scan/report.html?id=73a57edb2e301b0bff4c5f301e160aa433f8abae737bf0cd4dc1e4c44e1a05dd-1283268998

AntivirusVersionLast UpdateResult
AhnLab-V3 2010.08.31.01 2010.08.31 Malware/Win32.Generic
AntiVir 8.2.4.46 2010.08.31 -
Antiy-AVL 2.0.3.7 2010.08.31 -
Authentium 5.2.0.5 2010.08.31 -
Avast 4.8.1351.0 2010.08.31 Win32:Malware-gen
Avast5 5.0.594.0 2010.08.31 Win32:Malware-gen
AVG 9.0.0.851 2010.08.31 -
BitDefender 7.2 2010.08.31 Trojan.Generic.KD.31294
CAT-QuickHeal 11.00 2010.08.31 -
ClamAV 0.96.2.0-git 2010.08.31 -
Comodo 5922 2010.08.31 -
DrWeb 5.0.2.03300 2010.08.31 Trojan.Packed.20926
Emsisoft 5.0.0.37 2010.08.31 Trojan.SuspectCRC!IK
eSafe 7.0.17.0 2010.08.30 -
eTrust-Vet 36.1.7828 2010.08.31 -
F-Prot 4.6.1.107 2010.08.31 -
F-Secure 9.0.15370.0 2010.08.31 Trojan.Generic.KD.31294
Fortinet 4.1.143.0 2010.08.31 -
GData 21 2010.08.31 Trojan.Generic.KD.31294
Ikarus T3.1.1.88.0 2010.08.31 Trojan.SuspectCRC
Jiangmin 13.0.900 2010.08.30 Heur:TrojanDropper.TDSS
K7AntiVirus 9.63.2396 2010.08.30 -
Kaspersky 7.0.0.125 2010.08.31 -
McAfee 5.400.0.1158 2010.08.31 -
McAfee-GW-Edition 2010.1B 2010.08.31 -
Microsoft 1.6103 2010.08.31 Trojan:Win32/Alureon.CT
NOD32 5412 2010.08.31 a variant of Win32/Olmarik.ADE
Norman 6.05.11 2010.08.31 -
nProtect 2010-08-31.01 2010.08.31 Trojan.Generic.KD.31294
Panda 10.0.2.7 2010.08.31 Trj/TDSS.FP
PCTools 7.0.3.5 2010.08.31 Trojan.Gen
Prevx 3.0 2010.08.31 -
Rising 22.63.01.04 2010.08.31 -
Sophos 4.56.0 2010.08.31 Troj/Agent-OOA
Sunbelt 6818 2010.08.31 -
SUPERAntiSpyware 4.40.0.1006 2010.08.31 -
Symantec 20101.1.1.7 2010.08.31 -
TheHacker 6.5.2.1.359 2010.08.31 -
TrendMicro 9.120.0.1004 2010.08.31 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.31 TROJ_TDSS.FAT
VBA32 3.12.14.0 2010.08.31 -
ViRobot 2010.8.31.4017 2010.08.31 -
VirusBuster 5.0.27.0 2010.08.31 -



Posted by viruslab
신종악성코드정보2010.08.31 14:34


2007년 9월 1일부터 잉카 인터넷 자체 Anti-Virusu 엔진명인 타키온(Tachyon)의 일일 업데이트 1,000개 프로젝트를 시작했던 기억이 납니다. 

2009년 1월 14일에 Virus Total 서비스에 nProtect 스캔 기능이 탑재되면서 다수의 샘플이 접수되었고요.

2008년 7월 4일에 타키온 패턴이 30만개를 돌파하였고, 2008년 11월 19일에 40만개를 돌파하였습니다.

이후 2009년 07월 07일에 100만개를 돌파했고, 약 6개월 후인 2010년 01월 12일에 200만개를 돌파하였습니다.

타키온 패턴의 업데이트는 다음의 경로에서 확인해 보실 수 있습니다.

http://www.nprotect.com/v7/nsc/sub.html?mode=engine&subpage=3

비트디펜더와 합쳐진 총 패턴수는 2010년 8월 30일 현재 8,997,576 개 이고, 곧 900만개를 돌파하지 않을까 싶네요.

악성코드와의 전쟁은 언제까지? 쭈욱~~~

언젠가는 종전 선언? 독립 선언문 낭독??? ㅡ.ㅡ+

사용자 삽입 이미지
 
Posted by viruslab
신종악성코드정보2010.08.30 10:24


http://blogs.technet.com/b/mmpc/archive/2010/08/27/alureon-evolves-to-64-bit.aspx

http://www.virustotal.com/file-scan/report.html?id=59c1efe60288d50d0cfeeea9a1e0d4ef27582c4ef7bff1d7af799cad703ce19b-1282840282

nProtect Anti-Virus 에 신규 진단명으로 추가 업데이트가 진행될 예정입니다.

Antivirus Version Last Update Result
AhnLab-V3 2010.08.26.00 2010.08.25 Backdoor/Win64.Tidserv
AntiVir 8.2.4.46 2010.08.26 -
Antiy-AVL 2.0.3.7 2010.08.26 -
Authentium 5.2.0.5 2010.08.26 -
Avast 4.8.1351.0 2010.08.26 -
Avast5 5.0.594.0 2010.08.26 -
AVG 9.0.0.851 2010.08.26 Crypt.ZGV
BitDefender 7.2 2010.08.26 Rootkit.Tdss.AX
CAT-QuickHeal 11.00 2010.08.24 -
ClamAV 0.96.2.0-git 2010.08.26 -
Comodo 5866 2010.08.26 Heur.Packed.Unknown
DrWeb 5.0.2.03300 2010.08.26 -
Emsisoft 5.0.0.37 2010.08.26 -
eSafe 7.0.17.0 2010.08.26 -
eTrust-Vet 36.1.7818 2010.08.26 -
F-Prot 4.6.1.107 2010.08.26 -
F-Secure 9.0.15370.0 2010.08.26 Trojan.Generic.4657336
Fortinet 4.1.143.0 2010.08.26 -
GData 21 2010.08.26 Rootkit.Tdss.AX
Ikarus T3.1.1.88.0 2010.08.26 -
Jiangmin 13.0.900 2010.08.26 -
Kaspersky 7.0.0.125 2010.08.26 -
McAfee 5.400.0.1158 2010.08.26 DNSChanger!eo
McAfee-GW-Edition 2010.1B 2010.08.26 -
Microsoft 1.6103 2010.08.26 Trojan:Win64/Alureon.B
NOD32 5399 2010.08.26 -
Norman 6.05.11 2010.08.25 -
nProtect 2010-08-26.01 2010.08.26 Trojan.Generic.4657336
Panda 10.0.2.7 2010.08.26 Suspicious file
PCTools 7.0.3.5 2010.08.26 Backdoor.Tidserv
Prevx 3.0 2010.08.26 -
Rising 22.62.03.01 2010.08.26 -
Sophos 4.56.0 2010.08.26 -
Sunbelt 6797 2010.08.26 -
SUPERAntiSpyware 4.40.0.1006 2010.08.26 -
Symantec 20101.1.1.7 2010.08.26 Backdoor.Tidserv.L
TheHacker 6.5.2.1.356 2010.08.26 -
TrendMicro 9.120.0.1004 2010.08.26 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.26 -
VBA32 3.12.14.0 2010.08.25 -
ViRobot 2010.8.26.4009 2010.08.26 Trojan.Win64.S.Alurenon.24044
VirusBuster 5.0.27.0 2010.08.26 -

사용자 삽입 이미지

Posted by viruslab
신종악성코드정보2010.08.27 09:01


페덱스(FedEx) 운송장과 관련된 내용으로 위장하여 악성코드 메일이 해외에서 다량으로 전파되고 있어 주의가 필요합니다.

http://www.sophos.com/blogs/gc/g/2010/08/26/outbreak-fake-fedex-tracking-number-emails-carry-malware/

아래 내용 참고하시어 악성코드에 노출되시지 않도록 각별히 조심하시는 것이 좋겠습니다.

특히, 메일 본문이 이미지 파일로 되어 있습니다.

사용자 삽입 이미지

첨부되어 있는 FEDEXInvoiceEE866413OP.zip 파일은 아래와 같고, 내부에 "FedexInvoice_EE776129.exe" 파일명의 악성코드가 포함되어 있습니다.

사용자 삽입 이미지

특히 exe 파일은 pdf 파일처럼 위장하기 위해서 아이콘을 다음과 같이 사용하고 있으며, 파일은 중국어로 제작되어 있습니다.

사용자 삽입 이미지

악성코드는 nProtect Anti-Virus 8월 27일자 패턴부터 치료가 가능합니다.


Posted by viruslab
보안관련소식2010.08.26 12:56


구글의 안드로이드(Android) 모바일 운영체제에 대한 사용과 관심이 증대되면서, 다양한 어플리케이션(앱, 어플)이 등장하고 무료 프로그램을 통한 광고 수익 모델 등도 속속 만들어지고 있습니다.

이러한 관심사와 사용자 증대는 개인 컴퓨터 환경과 비슷하게 보안의 필요성으로 발전되어 논의되고 있기도 합니다.

안철수硏 "안드로이드폰, 보안 시장에 기회"
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=003&aid=0003151917


해석상 입장 차이가 있겠지만 얼마전 또 다른 뉴스에서는 안드로이드폰에서 쓰는 어플리케이션 중 절반 정도가 고객의 동의를 얻지 않고 개인 정보를 빼내는 것으로 조사됐다는 글도 본 적이 있습니다.

안드로이드 플랫폼은 어플리케이션 설치 시 사용자들의 개인 정보나 데이터 등을 보호하기 위한 목적으로 퍼미션(Permission) 동의 절차가 포함되어 있으나, 사람들에 따라서 무용지물이 될 가능성도 배제하기 어려운 것 같아 보입니다. 안드로이드 운영체제가 직관적인 OS 기반의 퍼미션 모델을 제공해 준다는 점이 큰 장점이자 단점일 수 있는 부분이겠지요.

실제 안드로이드 마켓에서 어플리케이션을 설치 시도할 때 퍼미션이 바로 보여지는 경우도 있는 반면, 사용자가 목록을 수동으로 열어봐야지만 보여지는 경우도 있습니다. 또한, 퍼미션에 대한 정확한 이해와 관심의 정도가 부족할 경우 사용자 스스로가 확인절차를 거치지 않고, 무심코 퍼미션을 직접 허용할 수 있다는 점에서도 다양한 보안 공감대 형성이 필요한 부분으로 지적됩니다.

사용자 삽입 이미지

안드로이드 보안팀의 Nick Kralevich 가 언급한 신뢰할 수 있는 안드로이드 어플리케이션 개발에 필요한 8가지 팁을 보면 좋은 참고자료가 될 수 있습니다.

1. 개인 정보 보호 정책을 유지한다.
2. 퍼미션 사용을 최소화 한다.
3. 데이터 수집 여부를 사용자가 선택한다.
4. 불필요한 정보는 수집하지 않는다.
5. 장치 외부로 데이터를 전송하지 않는다.
6. 필요한 데이터는 암호화처리 및 최소화한다.
7. 이해하지 못한 코드는 사용하지 않는다.
8. 디바이스 또는 사용자 고유 정보를 기록하지 않는다.


http://android-developers.blogspot.com/2010/08/best-practices-for-handling-android.html 

궁극적으로 이용자들의 개인 정보를 다루는 일은 어플리케이션 개발자들의 책임이라는 의견이 지배적인 것도 이를 뒷받침해 주는 것이기도 합니다. 개발자가 의도하지 않았거나 고의로 불순한 의도를 통해서 사용자에게 악영향을 미칠 수 있는 기능 등이 존재할 경우 사전 필터링에 대한 방식도 심도있게 논의해 봐야 할 것입니다.

누구나 신뢰할 수 있는 어플리케이션은 수집하는 정보가 어떠한 이유와 목적으로 사용되는지 고지하고, 그 사용 과정이 깨끗하고 투명해야 하며, 사회나 도덕적으로 무리가 없어야 할 것임은 당연한 말일 것입니다. 그리고 스마트폰 단말기에 포함된 장치 및 개인 정보의 중요성은 사용자의 판단에 의해서 우선순위와 기준이 정해진다면 악성코드 판단 정의를 내릴 때도 중요한 근거자료로 활용될 가능성이 있지 않을까 싶습니다.

따라서 사용자에게 최종 결정 권한을 부여하여 정보 수집에 대한 허가를 득한 이후에 사용될 수 있도록 하는 기준안 마련도 고려해 봐야 겠지만, 아직까지 스마트폰 어플리케이션 개발사들이 수집하는 정보들에 대한 법률적 타당성 검토와 유해성 판단 논란에 휩싸여 있기도 하고, 다양한 논의가 진행되고 있는 상태이기도 합니다.

현재로서는 이용자들 스스로 특정 어플리케이션이 과도한 퍼미션을 요구하거나, 어플리케이션 분류와 부합되지 않는 퍼미션을 요구할 경우에는 심각하게 고민을 해봐야 할 것이지만, 아직까지 그러한 내용에 대한 의견을 접하기는 쉽지 않습니다.

아울러 어플리케이션 이용자들의 선호도나 관심사 등에 대한 리스트를 생성하고 유지하고자 한다고 가정했을 때, 개발사(자) 또는 광고업자들은 단말기의 전화번호, DEVICE ID, USIM ID, Vesion, Serial, IMEI 등 의 자료를 수집하고 외부 서버로 전송하여 관리를 할 수 있습니다. 이러한 정보 수집이 아직까지는 악의적으로 사용된 사례나 피해 보고가 존재하지는 않고 있지만 앞으로 이러한 정보 수집이 보안적으로 큰 이슈로 부상할 가능성은 충분하다고 판단됩니다.

개인들이 느끼는 민감한 정보가 개인 주민 번호, 신용카드 번호, 계좌 번호, 주요 암호 등 뿐만이 아니라 사용자들의 단순 전화번호 노출만으로도 Spam 문자와 광고/홍보성 전화 등에 노출되거나 돈을 주고 거래가 되고 있기도 해서 사회적인 문제로 대두되고 있기도 하니 말입니다.

만약 불가피하게 사용자에게 동의를 얻고 개인 정보 수집을 할 경우에도 외부로 전송되는 데이터가 암호화 처리되어 쉽게 감시되거나 도용되지 않도록 하여 사용자의 정보가 비인가된 외부에 노출되지 않도록 신뢰성 강화에도 포커스를 맞추는 노력도 필요할 것입니다. 추가로 각종 통신과 관련된 법률안 등이 스마트폰 기준에 부합되는 조항 등으로 개정될 수 있도록 법적 검토도 진행된다면 좋을 것 같습니다.

마지막으로 스마트폰 보안 솔루션에 대한 정확한 인식 변화와 공감대 형성이 앞으로 발생할 수 있는 잠재적인 각종 보안 위협으로 부터 안전을 보장받을 수 있는 최소한의 준비가 아닐까 하는 생각도 해봅니다.


Posted by viruslab
TAG It
신종악성코드정보2010.08.25 17:43


트위터 봇 형태의 새로운 악성코드 생성기가 해외에서 발견되었습니다.

http://sunbeltblog.blogspot.com/2010/08/twot-bot-attempts-headshot.html


이름은 TWot Bot 이며, 실행되면 다음과 같은 화면이 보여집니다.

사용자 삽입 이미지

생성되는 악성코드는 nProtect Anti-Virus 치료 기능에 모두 추가된 상태입니다.

바이러스 토탈 진단 현황입니다.

Builder.exe
http://www.virustotal.com/file-scan/report.html?id=33eadd4118b4ee185c09757aef589645a6fa3c368c1e1bb0c67e266bd7ce2c81-1282731424

Server.exe
http://www.virustotal.com/file-scan/report.html?id=4b05384ff18394e4d80e53266ae7a610ab13c821e5ab2e7142240b1d31297a43-1282731618

Server.exe
http://www.virustotal.com/file-scan/report.html?id=279f91cb3bb0f9925d57d1a0a07249d8324d81d88dcfc9ec7c88e9f8e271bccc-1282731631

Antivirus Version Last Update Result
AhnLab-V3 2010.08.25.01 2010.08.25 -
AntiVir 8.2.4.38 2010.08.25 -
Antiy-AVL 2.0.3.7 2010.08.23 -
Authentium 5.2.0.5 2010.08.25 -
Avast 4.8.1351.0 2010.08.24 -
Avast5 5.0.594.0 2010.08.24 -
AVG 9.0.0.851 2010.08.25 -
BitDefender 7.2 2010.08.25 -
CAT-QuickHeal 11.00 2010.08.24 -
ClamAV 0.96.2.0-git 2010.08.25 -
Comodo 5848 2010.08.24 -
DrWeb 5.0.2.03300 2010.08.25 -
Emsisoft 5.0.0.37 2010.08.25 -
eSafe 7.0.17.0 2010.08.24 -
eTrust-Vet 36.1.7815 2010.08.25 -
F-Prot 4.6.1.107 2010.08.25 -
F-Secure 9.0.15370.0 2010.08.25 -
Fortinet 4.1.143.0 2010.08.25 -
GData 21 2010.08.25 -
Ikarus T3.1.1.88.0 2010.08.25 -
Jiangmin 13.0.900 2010.08.25 -
Kaspersky 7.0.0.125 2010.08.25 -
McAfee 5.400.0.1158 2010.08.25 Artemis!D965F41F00B2
McAfee-GW-Edition 2010.1B 2010.08.25 Artemis!D965F41F00B2
Microsoft 1.6103 2010.08.25 -
NOD32 5395 2010.08.25 -
Norman 6.05.11 2010.08.25 -
nProtect 2010-08-25.02 2010.08.25 Trojan/W32.Agent.32768.BIL
Panda 10.0.2.7 2010.08.25 -
PCTools 7.0.3.5 2010.08.25 Backdoor.Trojan
Prevx 3.0 2010.08.25 -
Rising 22.62.02.04 2010.08.25 -
Sophos 4.56.0 2010.08.25 -
Sunbelt 6788 2010.08.25 Backdoor.Win32.Twotbot.A
SUPERAntiSpyware 4.40.0.1006 2010.08.25 -
Symantec 20101.1.1.7 2010.08.25 Backdoor.Trojan
TheHacker 6.5.2.1.355 2010.08.24 -
TrendMicro 9.120.0.1004 2010.08.25 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.25 -
VBA32 3.12.14.0 2010.08.24 -
ViRobot 2010.8.25.4007 2010.08.25 -
VirusBuster 5.0.27.0 2010.08.24 -


Posted by viruslab
보안관련소식2010.08.25 10:04


페이스북(facebook) 사용자가 발송한 내용처럼 만들어져 있으며, 메시지 내용에는 비아그라나 시알리스 등 성인약품 광고가 포함된 형태가 국내에 유입되었습니다.

기존의 단순 비아그라 SPAM 메일 형식에서 한 단계 발전하여 페이스북 사용자로 하여금 쉽게 열어볼 수 있도록 노린 것으로 보여집니다.

페이스북에서 보낸 메시지라고 해서 무조건 다 열어본다면 불특정 광고나 악성코드에 쉽게 노출되실 수도 있으니, 아래와 같은 내용을 숙지하시고, 조심하시면 좋겠습니다.

사용자 삽입 이미지

본문에 포함되어 있는 다수의 링크는 모두 페이스북 주소와는 무관한 비아그라 판매 사이트로 연결되어 있습니다. 링크를 클릭하면 다음과 같이 악명(?)높은 비아그라 광고 사이트가 열리게 됩니다.

아래 사이트는 다수의 악성코드가 연결을 시도하는 사이트이기도 합니다.

사용자 삽입 이미지

비아그라 등 성인약품을 판매하는 조직적인 광고업자들에 의해서 지속적으로 악성코드, 스팸메일 등이 전파되고 있으므로, 각별히 조심하시면 좋겠습니다.

관련 정보 보기 -> http://viruslab.tistory.com/1901

이러한 사이트에 접속할 경우 새로운 악성코드에 감염되는 경우도 빈번하게 발생하고 있다는 점도 잊어서는 안되니, 호기심에라도 접근하시는 일이 없는 것이 안전하겠습니다.


Posted by viruslab
보안관련소식2010.08.25 09:39


세계 누드데이 사진 이라는 제목과 세계 3차 세계대전 이라는 허위 내용으로 악성 SPAM 메일이 국내에 유입되었습니다.

아래 내용처럼 메일 본문에 URL 등이 있을 경우 무심코 클릭하지 않도록 조심하시는 것이 좋겠습니다.

제목 :
See World Naked Day photos

내용 :
World War III is coming in 6 months
http://www.(생략)rm.ru/

사용자 삽입 이미지

메일 본문에 포함되어 있는 러시아의 특정 도메인 URL 주소를 클릭할 경우 다음과 같은 새로운 사이트가 연결되며,
성기 노출 등 매우 음란한 화면과 성인 용품 사이트가 열려지게 됩니다.(부분 모자이크 처리)

사용자 삽입 이미지

완전 포르노 수준의 SPAM 메일이라 각별히 유의하는 것이 좋겠습니다.

이런 메일은 Anti-Virus 제품에서 차단하지 못하는 경우가 많습니다. Spam Filter 등을 통해서 차단하면 좋겠습니다.

Posted by viruslab
신종악성코드정보2010.08.23 11:31



특정 구글 코드 사이트가 악성코드 등록용으로 사용되고 있는 것으로 확인되었습니다.

http://code.google.com/
 

사용자 삽입 이미지

악성코드 개발자의 정보 공유용으로 악용되지 않도록 관리가 필요해 보이네요.

아래는 중국쪽에서 만들어진 것으로 보여지는 구글 코드 사이트이며, 다수의 악성코드가 등록되어 있습니다.

사용자 삽입 이미지




Posted by viruslab