태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2015.06.15 13:31


단순히 확장자만 emf 형식으로 위장하고 있다.


yonsei*****/gallery/grad.emf = ilsanjangi*****/xm.exe





Posted by viruslab
신종악성코드정보2015.06.15 13:24







Posted by viruslab
신종악성코드정보2015.06.15 11:25






Posted by viruslab
2015.06.15 10:02

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

2015.06.15 09:11

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

신종악성코드정보2015.06.12 17:51


후속타..


http://viruslab.tistory.com/4321


처음부터 자세하게 나갔으면 하는 아쉬움..


http://www.cctvnews.co.kr/news/articleView.html?idxno=24811




Posted by viruslab
2015.06.12 17:27

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

신종악성코드정보2015.06.12 14:08










http://safe.jiran.com/user/freeuser_result.php


Posted by viruslab
신종악성코드정보2015.06.12 13:03







Posted by viruslab
신종악성코드정보2015.06.12 11:30
















Posted by viruslab
신종악성코드정보2015.06.12 10:22


http://www.yonhapnews.co.kr/bulletin/2015/06/11/0200000000AKR20150611179500017.HTML?input=1195m


각 조직별로 프로필 정리..




Posted by viruslab
2015.06.12 10:19

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

신종악성코드정보2015.06.12 08:57


http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=3093541&ref=A




http://viruslab.tistory.com/4316


http://viruslab.tistory.com/4312


http://viruslab.tistory.com/4319


일부 보안공지에는 6월 9일자가 공개됐지만 2015년 06월 03일 한메일로도 전파되었다. 비공개 자료 중 뉴스보도와 관련해 일부만 공개!
















Posted by viruslab
신종악성코드정보2015.06.11 16:45


http://viruslab.tistory.com/4312




Posted by viruslab
신종악성코드정보2015.06.11 15:07


Kaspersky Lab 뿐만 아니라 더 많은 곳이 공격을 받고 있다.


스피어피싱에 당했다는 것을 간접인정.



https://blog.kaspersky.com/kaspersky-statement-duqu-attack/


http://media.kaspersky.com/en/Duqu-2-0-Frequently-Asked-Questions.pdf


Duqu-2-0-Frequently-Asked-Questions.pdf


https://securelist.com/files/2015/06/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf


The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_ret


https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/


http://www.wired.com/2015/06/kaspersky-finds-new-nation-state-attack-network/


https://securelist.com/files/2015/06/7c6ce6b6-fee1-4b7b-b5b5-adaff0d8022f.ioc


https://securelist.com/files/2015/06/Duqu_2_Yara_rules.pdf


Duqu_2_Yara_rules.pdf


http://www.zdnet.co.kr/news/news_view.asp?artice_id=20150611095943



Duqu 2.0 – Indicators of Compromise (IOCs)

MD5s

Action loaders:

089a14f69a31ea5e9a5b375dc0c46e45
16ed790940a701c813e0943b5a27c6c1
26c48a03a5f3218b4a10f2d3d9420b97
a6dcae1c11c0d4dd146937368050f655
acbf2d1f8a419528814b2efa9284ea8b
c04724afdb6063b640499b52623f09b5
e8eaec1f021a564b82b824af1dbe6c4d
10e16e36fe459f6f2899a8cea1303f06
48fb0166c5e2248b665f480deac9f5e1
520cd9ee4395ee85ccbe073a00649602
7699d7e0c7d6b2822992ad485caacb3e
84c2e7ff26e6dd500ec007d6d5d2255e
856752482c29bd93a5c2b62ff50df2f0
85f5feeed15b75cacb63f9935331cf4e
8783ac3cc0168ebaef9c448fbe7e937f
966953034b7d7501906d8b4cd3f90f6b
a14a6fb62d7efc114b99138a80b6dc7d
a6b2ac3ee683be6fbbbab0fa12d88f73
cc68fcc0a4fab798763632f9515b3f92

Cores:

3f52ea949f2bd98f1e6ee4ea1320e80d
c7c647a14cb1b8bc141b089775130834

C&C IPs

182.253.220.29
186.226.56.103


Posted by viruslab
신종악성코드정보2015.06.11 14:31


daumtoday, daumgame, servicesamsung, gostechcenter, gunio, hwp2010, leniovl,mosservice, rowifalec, spbshiponline 등


http://viruslab.tistory.com/4312










Posted by viruslab
신종악성코드정보2015.06.11 14:05



http://viruslab.tistory.com/4314


mail2.powerwealth.biz

update.hancominc.com



http://viruslab.tistory.com/4288


mail4.powerwealth.biz

login.hansoftupdate.com













Posted by viruslab
신종악성코드정보2015.06.11 13:25


http://viruslab.tistory.com/4301


http://viruslab.tistory.com/4288


http://viruslab.tistory.com/4315


mail2.powerwealth.biz

update.hancominc.com







Posted by viruslab
2015.06.11 13:16

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

신종악성코드정보2015.06.09 17:25
신종악성코드정보2015.06.09 14:24


http://viruslab.tistory.com/3610


http://pastebin.com/6Z3zZhW1




Posted by viruslab
신종악성코드정보2015.06.09 11:03


모바일 게임 사이트를 해킹해서 악성 APK를 설치하는 기법이다.


안드로이드 악성앱이 스미싱 뿐만 아니라 웹을 통해서 폭격이 진행 중이다.


아이폰은 안전하다.


플래시 플레이어 업데이트를 하라고 팝업을 띄워 이용자를 현혹시킨다.


머리 좋다.








Posted by viruslab
신종악성코드정보2015.06.09 10:18



가입대상자가 표적이 되고 있다.


성인용 워터링 홀 이구만..


http://viruslab.tistory.com/4307


http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=3081412&ref=A



차단 및 조치필요


abam26.com/bbs/register_form.php

abam26.com/data/cheditor4/index.php

abam26.com/data/mw.basic.comment.image/redlip (exe) 


cloudware.cf/lib/1.bin

cloudware.cf/lib/2.bin



Posted by viruslab
신종악성코드정보2015.06.09 09:44


이 사이트 관리자 조치가 필요하다. 잡아들여야 한다.


http://viruslab.tistory.com/4308


요즘 메르스 바이러스 때문에도 분위기가 안 좋은데.. 메디컬 센터 사이트에 아침부터 분위기 안좋다.


도메인보고 좀 이상하다 싶었지만..

사이트에 가입하기 전엔 나도 의학(메디컬)관련 사이트에서 악성파일을 뿌리는줄 알았다.



이곳은 음란한 불법 성인 사이트였고, 로그인 후 접근이 되는 게시판에 악의적인 코드가 삽입되어 있다.


가입해 로그인한 사람만 감염대상이다.


 

Decode


<iframe src="/bbs/member_ajax.php" width=0 height=0 border=0 style="display:none;"></iframe>




godame.org/data/mw.basic.comment.image/redlip (PE)


추가로 받아지는 녀석은 XOR CC로 암호화되어 있다.


http://cloudware.cf/lib/1.bin

http://cloudware.cf/lib/2.bin

http://nicelabkrbook.ml/guest.php



Posted by viruslab
신종악성코드정보2015.06.09 08:46


http://www.ytn.co.kr/_ln/0104_201506090705576013






Posted by viruslab
2015.06.08 17:06

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

신종악성코드정보2015.06.08 12:56


기존 PlugX 조직이 쓰던 기법인데.. 흥미롭다.






Posted by viruslab
신종악성코드정보2015.06.08 11:06


http://viruslab.tistory.com/4288


http://viruslab.tistory.com/4275


한수원 John 은 계속 John 계정을 쓰고 있다.






Posted by viruslab
2015.06.05 18:24

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

신종악성코드정보2015.06.05 11:20


다수의 모바일(http://m.xxx.com) 웹 페이지를 통한 안드로이드 APK Drive by download 가 기승이다.


APK가 스미싱으로도 많이 퍼지고 있지만 웹을 통해서도 퍼지고 있다.


안드로이드 이용자는 웹 접속시 다운로드된 APK 앱을 절대로 수동 설치해서는 안된다.




모바일 뱅킹 이용자를 노리고 있다.









Posted by viruslab