728x90
반응형

악성코드/악성코드 소식 128

스펀지에 나온 좀비PC

2010년 8월 28일 토요일 네이버 실시간 급상승 검색어에 좀비PC가 있더군요. 오후에 봤는데.. 여전히 상위권에 연관어까지 '보호나라', '좀비PC', '좀비PC 확인법' 방송에 나온 내용은 결국 용어만 바뀌었지 평범한(?) 원격제어 악성코드 관련 내용.... 사실 용어가 '좀비PC'로 바뀌었지 기존에 지난 10 여년 동안 백신 업체에서 늘 얘기하던 악성코드의 위험성 이었습니다. 용어가 악성코드 이든... 좀비PC 이든... 바이러스이든.... 사람들이 방송을 보고 좀 더 보안에 신경을 썼으면 좋겠네요.

인터넷뱅킹 보안 프로그램에 악성 기능이 ?!

2010년 3월 25일 모 보안회사 압수수색이 소식이 있었습니다. - 검찰, 컴퓨터 보안업체 압수수색 (아이뉴스24, 2010년 3월 25일) http://itnews.inews24.com/php/news_view.php?g_serial=482500&g_menu=020300 그때 무슨 일인가 했는데 오늘 기사가 났네요. - 인터넷뱅킹 보안프로그램이 '악성 바이러스' http://media.daum.net/digital/view.html?cateid=1001&newsid=20100418090216410&p=yonhap - 인터넷 보안프로그램이 악성 바이러스 (연합뉴스, 2010년 4월 18일) http://app.yonhapnews.co.kr/YNA/Basic/article/new_search/YIBW_s..

대한민국이 악성코드 생산 1위 ?!

* 우리나라가 악성코드 생산 1위 ?! 우리나라가 세계에서 가장 큰 악성코드 생산지라는 기사가 나왔습니다. - Korea becomes world's biggest malware producer http://www.net-security.org/malware_news.php?id=1280 정확하게 보면 악성코드 생산자(producer) 1위라는건 사실이 아닙니다. 기사를 보면 집계 방식은 스팸, 피싱 발송을 추적해 국가별 통계를 낸 것으로 보입니다. 사용자 컴퓨터에 악성코드가 감염되고 그 악성코드가 메일을 보내는 방식이죠. 이런 악성코드(보통 스팸봇 등으로 불리는) 외국(러시아, 중국 등)에서 제작되어 국내에 배포된 겁니다. 즉, 우리나라는 그냥 감염 비율이 높은 겁니다. 오전에 다른 곳에서도 1,2위를..

현금자동입출금기(ATM) 보안솔루션 필요성

은행업무자동화기기(ATM)의 해킹을 예방하기 위해 보안솔루션이 필요하다는 기사가 났습니다. - ATM 전용 보안솔루션 필요 (디지털 타임스, 2009년 12월 3일) http://www.dt.co.kr/contents.html?article_no=2009120402010151745002 ATM기에 윈도우가 설치되어 있습니다. 몇년전까지 사용된 구형 기기에는 윈도우 3.1 까지 설치되어 있었다고 하네요. 지금은 윈도우 2000, 윈도우 XP가 주로 사용되고 있고 앞으로 윈도우 7도 이용될 겁니다. 인터넷에 보면 ATM기에서 발생한 윈도우 오류 사진을 볼 수 있습니다. 문제는 윈도우 계열이니 현재 실행되는 악성코드도 몇가지 제약은 있지만 실행될 수 있습니다. 보통 내부망으로 연결되어 있어 외부에서 악성코드가..

군 정보 문서 유출 사건

- 군(軍) 인터넷망 24시간(3월 5~6일) 북(北)해커부대에 뚫렸다 (조선일보, 2009년 10월 17일) http://news.chosun.com/site/data/html_dir/2009/10/17/2009101700103.html - 군 인터넷망 해킹 당했다 (디지털타임즈, 2009년 10월 18일) http://www.dt.co.kr/contents.html?article_no=2009101902010351739002 - 군 PC 해킹 무방비 신종 바이러스 즉각적 차단 어려원 (쿠키뉴스, 2009년 10월 18일) http://news.kukinews.com/article/view.asp?page=1&gCode=pol&arcid=0921456301&code=11121400 그런데... 총리실은..

스리랑카에서 제작된 오토런 악성코드

악성코드 샘플을 보다보면 다양한 나라에서 제작된 것을 알 수 있습니다. - 물론 국가를 유추할 수 있는 경우에만 그렇지만요. 과연 이 샘플이 해당 국가를 벗어날까하는 경우도 있습니다. 보통 국내 분석가들이 접하는 샘플들은 대체로 중국, 미국, 유럽산 샘플이 많을 겁니다. 간혹 생소한 나라들 샘플이 있습니다. 그때는 웬지 모르게 국가 정보를 검색해 보게 되더군요. 이번에 본 샘플은 전형적인 VB 스크립트 웜입니다. USB 메모리 드라이브에 autorun.inf 파일을 생성하구요. 샘플을 보다가 lk 라는 국가 코드를 보고.... 처음보는 나라가 이 악성코드에 감염되면 변경되는 홈페이지인 http://www.rjt.ac.lk/aps에 접속해보니 스리랑카에 있는 대학이네요. 스리랑카라... 들어는 본적이 있는..

20년간 가장 위험한 악성코드는 ?

스페인 판다시큐리티에서 지난 20년간 가장 위험한 컴퓨터 위협을 발표했습니다. - Ranking of the most dangerous computer threats of the last 20 years http://www.pandasecurity.com/emailhtml/oxygen/090509_ENG_in.htm 1위는 예루살렘 바이러스(Jerusalem virus)인데 보통 1987년 이스라엘에서 제작되었다고 얘기되고 있지만 이탈리아에서 제작되었다는 설도 있습니다 2위의 Barrotes 바이러스는 국내에서도 발견되었지만 아무래도 스페인 회사다보니 스페인에서 제작되고 세계로 퍼저나간 바이러스를 선정한게 아닐가 합니다. 자료 중 잘못된게 있네요. Cascade 바이러스는 1997년이 아니라 1987년에..

중국 백신 360안전위사 위장 악성코드

국내 발견 악성코드 중 안랩 제품이나 다른 백신 프로그램을 가장한 악성코드들이 종종 발견되는데 중국 제품인 360안전위사/360보험박스 파일을 위장한 악성코드가 발견되었습니다. 360안전중심(www.360.cn)은 중국의 백신업체입니다. (라고 했는데... 이래저래 도매상 개념이라고도 하네요. 다른 회사 제품도 팔고...) 처음에 외산 엔진을 사용하는 것으로 알려졌는데 제품을 설치해보니 잘 몰라 중국쪽에 물어보니 자체 엔진 + 중국산 엔진을 사용할 거라고 하는군요. 이부분은 확인이 필요해 보이네요. 이 제품을 가장한 것으로 봐서는 중국내에 배포되었는데 국내에도 흘러들어온(?) 것으로 보입니다. 실제 360Safebox.exe 1 MB 가 넘는 길이를 가지고 있으며 아래와 같은 파일 정보를 가지고 있습니다.

Induc 바이러스 감염 파일 삭제 소동과 고민할 문제

델파일 컴파일하면 생성되는 바이러스인 Win32/Induc 바이러스 소동이 있었습니다. 백신 프로그램에서 일부 감염된 파일을(제품에 따라 모든 감염 파일을) 삭제해 버린 문제가 발생한 겁니다. 해당 바이러스의 진단/치료가 들어가면서 많은 업체에서 문의가 왔고 개발자 모임인 델마당에서도 한동안 이슈가 되었습니다. http://www.delmadang.com/ - 델파이 바이러스 ‘백신’ 과잉대응 논란 (디지털데일리, 2009년 8월 23일) http://www.ddaily.co.kr/news/news_view.php?uid=53343 - 보안뉴스: 변형된 델파이 바이러스 대응책 마련 시급! http://www.boannews.com/media/view.asp?idx=17550&kind=1 기사 내용의 정확..

델파이 개발자를 노린 Induc 바이러스

2009년 8월 19일 Win32/Induc 바이러스가 발견되었습니다. 처음에는 그저그런 바이러스라고 생각했는데 감염 방식을 듣고 개념증명 형태로 생각했는데 각종 자료와 쏟아지는 샘플을 통해 델파이 제작자들에게 널리 퍼져있음을 알 수 있습니다. [관련자료] - 에스지어드밴텍 '델파이 개발자, 바이러스 주의' 경고 http://ddaily.co.kr/news/news_view.php?uid=53211 - Delphi 4~7을 감염시키는 바이러스 유행중 http://www.delmadang.com/community/bbs_view.asp?bbsNo=19&bbsCat=0&st=&keyword=&indx=415299&keyword1=&keyword2=&page=1 - W32/Induc-A virus being ..

Your PC is now Stoned! ..again - 고전 바이러스의 복귀(?)

이번 블랙햇 2009(Black Hat 2009)에서는 새로운 부트 감염 악성코드가 등장했습니다. - 바이러스는 아니고 트로이목마입니다. 2009년 8월 12일 맥아피는 아래와 같이 경고했네요. - StonedBootkit.dr http://vil.nai.com/vil/content/v_200078.htm [관련기사] - Bootkit bypasses hard disk encryption http://www.heise.de/english/newsticker/news/142881 파일에 대한 V3 진단명은 Win-Trojan/Stoned.329216 입니다. 다른 이름은 StonedBootkit.dr, Boot.Stonedbootkit, Rootkit.Win32.Stoned.a 등입니다. * 부트 악성코드..

미국의 사이버 안보

이번 DDoS 공격을 계기로 다른 나라의 사이버 안보에 대해 눈여겨 볼만 합니다. 우리나라에 많은 영향을 끼치는 미국에 대해 알아보겠습니다. 2009년 5월 29일 미국 오바마 대통령의 지시로 사이버 안보 보좌관이 선임되었습니다. [관련기사] 美, 사이버안보관련 보고서 발표 예정 (보안뉴스, 2009년 5월 28일) http://www.boannews.com/media/view.asp?idx=16354&kind=&sub_kind= 이부분이 눈에 띄네요. '로이터 통신에 따르면 이 같은 사이버안보의 임무가 국토안보국(Department of Homeland Security)에 주어져야 하는지 또는 국가안전국(National Security Agency)에 주어져야 하는지가 논란의 핵심이다. 또한 사이버보안..

Independence 이 보낸 Memory Of... 메일

2009년 7월 8일 목요일 저녁부터 Memory Of... 라는 제목의 메일이 뿌려지기 시작합니다. - DDOS와 관련된 수상한 메일? http://arrestlove.tistory.com/186 - 정체불명 스팸메일 확산 (디지털 타임스) http://www.dt.co.kr/contents.html?article_no=2009071002010251739002 저도 목요일 저녁에 메일을 받았고 당시 DDoS 공격 악성코드 내에서 'Memory of the Independence Day'라는 문자열이 발견되었기 때문에 연관상을 의심했습니다. 현재 악성코드 구성 파일 중 mstimer.dll 에서 이 메일을 발송하는 것으로 확인되었습니다. 메일 형태는 아래와 같습니다. - 보낸사람 : Independenc..

DDoS 공격 악성코드 ... 디스크 데이터 파괴는 7월 10일 0시 이후

앞서 밝힌 디스크 데이터 파괴 증상이 7월 10일 0 시로 밝혀졌습니다. [관련기사] - "좀비 PC, 10일 0시 이후 하드디스크 스스로 삭제" (디지털데일리) http://www.ddaily.co.kr/news/news_view.php?uid=51873 - 좀비PC 하드디스크 스스로 파괴, 파장 얼마나 미칠까 (디지털데일리) http://www.ddaily.co.kr/news/news_view.php?uid=51874 - DDoS 3차 공격 약화 ... 좀비 PC 파괴시작(연합뉴스) http://www.yonhapnews.co.kr/economy/2009/07/10/0303000000AKR20090710001300017.HTML?template=2085 - DDoS 대란 너머 PC 대란 오나 (머니투..

2차 DDoS 공격 상황 .. 보안업체 추가 및 파괴 증상

잠잠해질거라고 예상했다면 너무 순진했을까요 ? 2009년 7월 8일 수요일 오후 6시 경부터 2차 DDoS 공격이 시작되었습니다. * 2 차 공격 웹사이트 리스트 2차 DDoS 공격은 총 16개 사이트에 대해 이뤄졌습니다. www.auction.co.kr (옥션) www.altools.co.kr (이스트소프트) www.wooribank.com (우리은행) www.president.go.kr (청와대) mail.daum.net (다음 메일) mail.naver.com (네이버 메일) mail.paran.com (파란 메일) www.hanabank.com (하나 은행) www.ahnlab.com (안철수연구소) www.chosun.com (조선일보) www.egov.go.kr (전자민원 G4C) www.ib..

네이버, 옥션, 청와대 공격 악성코드 외산 백신 진단율

2009년 7월 7일 저녁부터 네이버, 옥션, 청와대 등의 웹사이트에 대한 악성코드 공격이 있었다. 이들의 정체가 밝혀진건 밤 11시 이후 였다. 이후 여러 변형 샘플들이 발견되었고 보안메일링 리스트를 통해 해외 업체와도 정보가 공유되었다. - 즉, 해외 백신 업체가 모르거나 샘플이 없는건 아니다. 24시간이 지나고 있는 2009년 7월 8일 오후 5시 현재 해외 업체들의 진단 현황은 어떨까 ? - 자칫 타사를 깎아 내리는 듯 할 수 있어 국내에서 잘 알려진 업체들 위주로 진단 현황만 정리했다. (참고로 잉카나 하우리 같은 국내 업체는 모두 진단한다.) 결과적으로 국내에서 크게 문제된 이들 악성코드에 대한 해외 백신 업체 대응은 늦다. 국내 시장에 무관심해서 그런걸까..... TT 올초 2090 바이러스..

네이버, 옥션, 청와대 접속 문제의 비밀

2009년 7월 7일 영화를 보고 집에 오는 길에 아는 형이 연락했다. "지금 네이버하고 옥션 접속 잘 안되는데 알고 있는 사항 좀 있으면 연락줘." 집에 도착해 확인해보니 별다른 얘기가 없고 기사만 몇가지 올라와 있었다. 7월 7일 오후 6시부터 네이버 메일 및 쪽지 서비스 장애가 발생했다고 한다. 이후 기사를 통해 네이버 메일과 옥션 외에 조선일부와 청와대도 접속 장애가 발생하고 있음을 알 수 있었다. - '사상 초유' 국내 주요사이트 해킹 '인터넷 대란' (제목이 상당히 자극적임...) http://news.chosun.com/site/data/html_dir/2009/07/07/2009070701575.html?254bed50 - 청와대 사이트도 불통... 해커 DDOS 공격 때문? http://..

728x90
반응형