728x90
반응형

악성코드/악성코드 소식 128

군, 정보보호사령부(가칭) 창설에 바라는점

- 군, 3000명 규모 해외파병 상설부대 만든다. (한국경제, 2009년 6월 26일) http://www.hankyung.com/news/app/newsview.php?aid=2009062699891 기사를 보면 우리 군은 2012년까지 적의 해킹 등에 대처하고 사이버 전쟁을 수행할 '정보보호사령부'(가칭)를 창설한다고 합니다. 이 부대는 국방부와 국군기무사, 육.해.공군 소속 전문요원들로 편성된다고 하는군요. 알려진것 처럼 우리 군에 대한 사이버 공격이 심해지고 있기 때문에 이런 조직은 꼭 필요하다고 생각했는데 이제부터라도 잘 해야겠죠. - 그런데, 이미 대응 조직이 있을텐데요. 다만, 한가지 우려되는건 이같은 일이 민간 보안 업체에 지나치게(혹은 불필요하게) 업무 가중이 발생하지 않을까하는 우려입..

DNS 접속 트래픽 증가 - KISA 경고

KISA 인터넷침해사고대응지원센터(KrCERT/CC)에서 '스팸메일을 발송하는 악성코드 감염 주의'를 내렸다. http://www.krcert.or.kr/noticeView.do?num=338 기사가 조금 과장된 듯 싶지만... - 제2 인터넷대란 위험수위? ... KISA "PC보안관리시급" (디지털데일리, 2009년 6월 24일) http://www.ddaily.co.kr/news/news_view.php?uid=51338 - [긴급] DNS 접속 트래픽 급증 ... 백신으로 점검필수! (보안뉴스, 2009년 6월 24일) http://www.boannews.com/media/view.asp?idx=16740&kind=0 스팸 메일을 보내는 악성코드들로 밝혀졌다고 한다. 최근 안랩 신고센터를 통해서도..

허위 MS 아웃룩 업데이트 메일

2009년 6월 23일 허위 MS 아웃룩 업데이트 메일이 보고되었다. - 보낸사람 : Microsoft Customer Support - 제목 : Microsoft has released an update for Microsoft Outlook 다음 제목도 보고되었다고 한다. Install Critical Update for Microsoft Outlook Install Update for Microsoft Outlook Microsoft Outlook Critical Update Update for Microsoft Outlook [전파방식] 첨부파일이 존재하는 형태도 있지만 가짜 주소를 클릭하면 마이크로소프트를 가장한 웹사이트 (update.microsoft.com.[생략].net 등)로 접속하게 한..

현금자동입출금기에서 개인정보를 노리는 악성코드

2009년 3월 26일 국내 언론을 통해 현금 자동 입출금기에 대한 기사가 실렸다. - "현금자동인출기 노리는 바이러스 조심" (연합뉴스, 2009년 3월 26일) http://www.yonhapnews.co.kr/culture/2009/03/26/0914000000AKR20090326225600080.HTML ------------------ 자동화기기들이 윈도우를 기본으로 사용하며 여기에 애플리케이션을 구동하고 있다. 여기에 악성코드 제작자들은 현금자동인출기의 정보를 훔치는 악성코드를 제작한 것이다. 물론, 내부자 공모가 있어야한다. 결코 쉬운 일은 아니지만 내부자 공모가 있다면 충분히 가능하다. 자동화기기를 보면서 종종 블루스크린을 보면 걱정하곤했는데... 걱정이 현실로 된 듯 싶다. * V3 진단..

일본에서 발생한 제노 바이러스(Geno virus)

일본에서 제노 바이러스(Geno virus) 출몰했다는 소문이 돌았다. 하지만, 이는 사용자나 언론에서 부르는 이름으로 보안업체에서는 다른 진단명을 사용한다. 일본판 2090 바이러스으로 볼 수 있다. 2009년 5월 18일 경 일본내 다수의 사이트가 해킹 당했고 PDF, SWF 등의 취약점을 이용해 방문하는 사용자에게 악성코드를 설치하도록 한다. 다운로드되는 파일은 중국에서 다운로드 받는다. 하지만, 이런 공격은 4월부터 증가했다고 한다. 이번일도 2090 바이러스처럼 치료 방법이 없다는 등의 내용이 떠돌고 있지만 당연히(!) 확인되지 않은 내용이다. 새로운 변형이 꾸준히 배포되고 있어 발생한 오해로 보인다. (근본적으로는 사용자가 보안 업데이트를 해야함) 현재 이 공격은 일본에서만 발생하는게 아니라 ..

여전한 허위 백신 프로그램들

판다시큐리티(http://www.pandasecurity.com)에 따르면 여전히 허위 백신 프로그램이 극성을 부리고 있음을 알 수 있다. - More than a million false domains download malware using the name of a well-known car manufacturer as bait http://www.pandasecurity.com/emailhtml/oxygen/041809_ENG_in.htm 허위 백신 프로그램의 배포 방법을 설명하면서 2009년 1-3월까지 총 111,086 개의 새로운 허위 백신 프로그램을 발견했는데 이는 2008년 전체에 20%에 해당한다고 한다. This type of malware has increased significant..

SK텔레콤, 악성코드 포함된 앱스토어 SDK 배포

2009년 4월 13일 SK텔레콤이 앱스토어 사업 정책 발표회에서 나눠준 USB 드라이브로 된 SDK에서 악성코드가 발견되었다. 이에 SK텔레콤측은 오픈마켓 개발자 홈페이지를 통해 공지했다. http://developer.itopping.co.kr/board/827 다음과 같은 악성코드가 존재한 것으로 알려져 있다. (V3 진단명 기준) - Win-Trojan/Agent.108083 : 바이러스토털 결과 http://www.virustotal.com/ko/analisis/d8de78f1f9d669b39e668dc99746f72b - Win-Trojan/OnlineGameHack.109512 : 바이러스토털 결과 http://www.virustotal.com/ko/analisis/3617ec5257f75a..

MS08-067을 이용하는 악성코드 증가 ?!

컨피커 웜(Win32/Conficker.worm) 이외에 MS08-067 을 이용하는 웜들이 증가하는 것으로 보인다. 처음 마이크로소프트사에서 밝힌 Worm:Win32/Neeris.gen!C 의 경우 안랩에서 Win32/Neeris.worm.101376 (AhnLab) 로 진단함을 알 수 있다. 변형인 Win32/Neeris.worm.92672 이 대표적인이 이 웜의 경우 2009년 4월 8일 국내에서도 감염이 보고 되었다. (공격 패킷을 안랩에서 확인했으며 해당 IP는 대한민국이었다.) * 관련자료 - Microsoft: Old Worm Copies Conficker for New Twist http://www.eweek.com/c/a/Security/Microsoft-Old-Worm-Copies-Co..

4월 1일 특이활동하는 컨피커 웜 변형

2009년 4월 1일 무작위로 생성되 500 여개 도메인으로 트래픽을 유발시키는 증상을 보이는 컨피커 웜 변형(Conficker worm)이 보고되어 보안 업체 등에서 모니터링을 하고 있다. [관련자료]------------------------------------------------------------------ - What Will Go DOWNAD on April 1? http://blog.trendmicro.com/what-will-go-downad-on-april-1/ - Bracing for the worm (동영상) http://edition.cnn.com/video/#/video/tech/2009/03/31/lustout.runald.worm.intv.cnn [4월 1일 동향]----..

Adobe Reader JBIG2 Symbol Dictionaty Buffer Overflow

Adobe Reader JBIG2 Symbol Dictionaty Buffer Overflow 취약점이 발견되었고 해결되었다. [정보] - Adobe Reader 와 Acrobat 취약점을 이용한 악성코드 실행 주의 http://kr.ahnlab.com/virusNIAsecAdvisor_View.ahn?news_dist=02&site_dist=01&category=VNI002&mid_cate=&sub_cate1=&sub_cate2=&cPage=1&seq=13891&key=&related= - Security Updates available for Adobe Reader and Acrobat http://www.adobe.com/support/security/advisories/apsa09-01.html ..

다크에덴 패치 파일에 바이럿 바이러스 감염

2009년 3월 18일 소프톤엔터테인먼트가 개발하고 CJ인터넷에서 채널링 서비스하는 온라인게임 ‘다크에덴’ 패치 파일에 바이럿 바이러스(Virut virus)가 감염되어 배포되었다. [관련기사] - 악성코드 포함 게임 업데이트 유포 (연합뉴스, 2009년 3월 20일) http://www.yonhapnews.co.kr/bulletin/2009/03/20/0200000000AKR20090320074500017.HTML?did=1179m - 온라인게임 업데이트중 악성코드 유포 (전자신문, 2009년 3월 20일) http://www.etnews.co.kr/news/detail.html?id=200903190237 게임 홈페이지와 채널링 서비스가 제공되는 CJ인터넷 홈페이지를 통해 무료 백신 내려 받기 및 치..

시만텍 PIFTS.EXE 소동

시만텍에서 배포한 PIFTS.EXE 에 대한 소동이 있었습니다. 어느 순간 방화벽에서 PIFTS.EXE를 허용할 것이냐는 창이 떴고 이에 사용자들이 혼란을 겪었습니다. 이 내용이 확대되어 시만텍에서 배포한 백도어다라는 얘기도 돌았습니다. 시만텍 포럼에서 관련 내용이 올라오자 글을 삭제하고 계정을 강퇴시켰다는 주장이 일었습니다. 이에 대해 시만텍은 PIFTS.EXE는 시만텍 제품에 대한 패치 진단 프로그램이라고 밝혔습니다. 하지만, 휴먼 에러에 의해 이 파일에 인증 싸인을 하지 않았고 이에 시만텍 제품으로 인식하지 않아 인터넷 사용할 때 방화벽에서 경고가 떠서 이런 소동이 발생했다고 밝혔습니다. 한편 악성코드 제작자들은 PIFTS.EXE 파일에 대한 검색이 올라가자 악성코드를 배포하는 기능을 가진 가짜 P..

또 한차례 진화하는 악성코드 제작자들

최근 네이트온 메신저를 통해 전파되는 악성코드가 증가하고 있다. 2009년 3월 3일 발견된 악성코드는 안철수연구소 사이트가드로 안전한 사이트 인것 처럼 위장하고 있다. 네이트 온으로 http://blog.***zone.net/B****.bmp (이하생략) 으로 주소를 전송하고 사용자가 클릭하면 스크립트가 실행된다. 스크립트에는 안철수연구소 사이트가드 이미지를 보여주고 악성코드를 다운로드 한다. 안랩 사이트가드를 보여주는건 간단하다. 사용자에게 안전한 웹 페이지인것 처럼 속이는 것이다. 한편으로 사이트가드가 떴구나하는 생각도 들지만 이런 점을 파고드는 악성코드 제작자에게도 혀를 내두르게 된다. 또한 V3Lite 등을 무력화하는 기능이 포함되어 있어 일단 감염되면 치료하기 어렵다. 전용 백신을 다운로드 받..

[기사] Virux.A - 백화점식 다기능 바이러스 출몰

2009년 2월 23일 새로운 바이러스에 대한 기사가 떴다. [관련기사] - 백화점식 다기능 바이러스 출몰 (파이낸셜뉴스) http://www.fnnews.com/view?ra=Sent0901m_View&corp=fnnews&arcid=00000921577213&cDateYear=2009&cDateMonth=02&cDateDay=23 2009년 2월 17일 - 2009년 2월 19일 사이에 발견된 새로운 바이럿 변형 들로 V3에서는 Win32/Virut.E, Win32/Virut.F 등으로 진단되는 샘플이다. 다른 이름은 다음과 같다. V3 진단명 Win32/Virut.F 의 다른 이름은 아래와 같다. W32/Virut.Gen, W32/Virut.AI!Generic, Win32:Vitro, Win32.V..

중국 소녀 바이러스 : Win-Trojan/Fakecodecs.331776

네이트온 메신저를 통해 전파된 새로운 악성코드가 등장했다. - MD5 : 5b6e8792f733b4860be6320e1cfeac21 - 파일길이 : 331,776 바이트 - V3 진단명 : Win-Trojan/Fakecodecs.331776 (2009.02.16.01 이후 엔진에서 진단) 실행되면 중국 소녀로 추정되는 사진이 출력된다. 역시 국내 환경에 철저하게 맞춰진 악성코드이다. 0000636c : \Program Files\Virus Chaser 000063a8 : SYSTEM\CurrentControlSet\Services\MpsSvc 00006400 : SYSTEM\CurrentControlSet\Services\WinDefend 0000645c : SYSTEM\CurrentControlSet\..

Win32/AimBot.worm.15872 변형 발견

2009년 2월 13일과 16일 Win32/AimBot.worm.15872 변형 (일명 2090 바이러스)이 발견되었다. - 파일 길이 : 15,872 bytes - 13일 발견 샘플 MD5 : 78cca634365997473577caa64fcb9aaa- 16일 발견 샘플 MD5 : d745556b05c3b68d27465cb4f1cf6d72 하지만, 아직 일반에 얼마나 퍼졌는지 버그는 수정되었는지 확인되지 않았다. 13일에 발견된 변형은 시스템 날짜를 2090년으로 변경하고 16일에 발견된 샘플은 시스템 날짜를 2070년으로 변경한다. 기존에 접속하는 서버 주소는 바뀌었다. 2090년으로 변경되는 새로운 변형이 등장되었으며 최신 윈도우 업데이트와 최신 백신에서 예방 가능하므로 새로운 변형에 대해서 크게 ..

728x90
반응형