태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.06.23 10:26


다음과 같이 비씨카드 이용대금 명세서 내용처럼 위장하여 악성코드(분석중)를 설치 유도하는 형태가 발견되었습니다.

발신자 :
특정 네이버 이메일

제목 :
우리은행 BC카드 2010년06월20일 이용대금명세서입니다?

화면은 다음과 같습니다.

사용자 삽입 이미지

비씨카드 이용대금 명세서를 네이버 사용자가 보낼리는 없겠지요?

본문에 포함되어 있는 "이용대금 명세서보기" 부분을 클릭하면 다음과 같은 새로운 창이 나타납니다.

사용자 삽입 이미지

마치 nProtect 키보드 보안프로그램(KeyCrypt)처럼 사칭한 KProtect 키보드 보안 프로그램 추가 기능을 요구합니다.

사용자 삽입 이미지

허위 인증요청 화면으로 보여주며, 일부 콘텐츠 설치를 유도합니다.

사용자 삽입 이미지

KProtect 키보드 보안 프로그램 설치 화면을 보여줍니다.

사용자 삽입 이미지


해당 Active X Control 파일이 설치되면 몇 가지 파일이 생성되고, 특정 사이트로 지속적으로 접속을 시도합니다.

이러한 시도가 많아지면 (D)DoS 공격이 될 수 있습니다.

사용자 삽입 이미지

일부 접속을 시도하는 사이트가 네이버로 파악되었습니다.

현재 정상적으로 보여지지 않고 있는 것으로 보아, 공격을 받고 있는 것으로 추정됩니다.

접속시도 사이트 일부 공개합니다.

- 222.122.193.138
- 222.122.212.88
- 222.122.193.121
- 211.233.76.132
- 202.131.29.82
- 202.131.27.109
- 202.131.25.94
- 119.205.216.174
- 222.122.193.142


사용자 삽입 이미지

네이버 만화 사이트는 Stack overflow 창이 나타나고 있습니다.


현재 해당 파일은 잉카인터넷 시큐리티 대응센터에서 정밀 분석이 진행 중이며, 대외비로 취급되고 있습니다.

nProtect Anti-Virus 긴급 업데이트에 치료 기능을 추가할 예정입니다.

bccard.htm
http://www.virustotal.com/analisis/1e130c686b14da1377005cf75a70380346d98f119ce89e145662110baf3b2365-1277266638

BA10.exe - (D)DoS 공격 기능 추정 분석 중
http://www.virustotal.com/analisis/7600f71df19caab752f1262740237e28545ee18d0d3ed1eaa7a74b353814c9e3-1277223628
http://www.virustotal.com/analisis/7600f71df19caab752f1262740237e28545ee18d0d3ed1eaa7a74b353814c9e3-1277277060

BHOMailCollector.dll - 메일 주소 수집 기능 추정 분석 중
http://www.virustotal.com/analisis/2591a49e7232d3e6ec66b8a85f324488ec76581c437d1a68bbb16fe63ebb6c16-1277256950
http://www.virustotal.com/analisis/2591a49e7232d3e6ec66b8a85f324488ec76581c437d1a68bbb16fe63ebb6c16-1277271955

BA10.cab
http://www.virustotal.com/analisis/8e76a8733b91aca71771f66ea1c87512266f0ba97b21eeaf12a89c869514c6f6-1277265906

공격 대상 사이트 (변경될 수 있음)

감염된 사용자 컴퓨터에서 이메일 주소를 수집하여 12시간마다 최대 200여명에게 똑같은 메일을 발송하는 것으로 보여집니다.

이메일 웜이라고 해도 되겠네요.

- www.naver.com
- mail.naver.com
- comic.naver.com
- music.naver.com
- movie.naver.com
- photo.naver.com


nProtect 에서는 확산도가 높은 것으로 파악하여 긴급 경보(위험 4단계)를 발령하였습니다.

http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=90


nProtect Anti-Virus 패턴에 긴급 업데이트가 완료되었습니다.


발신지가 네이버에서 국내 모 언론사 아이디로 추가로 전파 중인 것이 목격되었습니다.



Posted by viruslab

댓글을 달아 주세요

  1. KProtect ㅡ.ㅡ;
    정보 감사합니다. 한번 확인해 봐야 겠네요.^^

    2010.06.23 10:43 신고 [ ADDR : EDIT/ DEL : REPLY ]
  2. 은행권에서 요구하는 ActiveX라면 필수 프로그램이라 어쩔 수 없이 설치해야하는 점을 노렸군요.
    청구서 화면도 정말 그럴 듯 해서 속는 분들이 꽤 될 듯 합니다.

    2010.06.23 13:54 신고 [ ADDR : EDIT/ DEL : REPLY ]
  3. 비밀댓글입니다

    2010.06.23 13:57 [ ADDR : EDIT/ DEL : REPLY ]
  4. 안철수 연구소 보도자료 배포

    http://www.ahnlab.co.kr/company/site/pr/comPressRelease/comPressReleaseView.do?seq=143436

    2010.06.23 14:41 신고 [ ADDR : EDIT/ DEL : REPLY ]
  5. 연합 뉴스

    http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=001&aid=0003346834

    2010.06.23 14:49 신고 [ ADDR : EDIT/ DEL : REPLY ]
  6. 바이러스 체이서

    http://www.viruschaser.com/main/customer/VCNotice_Dt.jsp?page=1&no=3496&vno=186&noticeType=A

    http://www.viruschaser.com/main/security/VCInfo_Dt.jsp?no=790&noticeType=A

    2010.06.23 14:51 신고 [ ADDR : EDIT/ DEL : REPLY ]
  7. http://alyac.altools.co.kr/SecurityCenter/Analysis/NoticeView.aspx?id=42

    2010.06.23 15:11 신고 [ ADDR : EDIT/ DEL : REPLY ]
  8. 비밀댓글입니다

    2010.06.23 16:19 [ ADDR : EDIT/ DEL : REPLY ]
  9. 모든 내용과 덧글 잘 보고 갑니다.
    상당히 후드드네요.

    2010.06.23 16:56 신고 [ ADDR : EDIT/ DEL : REPLY ]
  10. http://www.hauri.co.kr/customer/security/virus_view.html?intSeq=1850&page=1&keyfield=&key=&SelectPart=1

    http://www.hauri.co.kr/customer/security/alert_view.html?intSeq=53&page=1

    2010.06.23 17:56 신고 [ ADDR : EDIT/ DEL : REPLY ]
  11. http://pr.hankyung.com/newsRead.php?md=A01&tm=1&no=481454

    2010.06.24 02:25 신고 [ ADDR : EDIT/ DEL : REPLY ]