1. 개 요


최근 YouTube로 위장한 사이트에서 자바 애플릿을 이용해 악성파일을 유포한 사실이 발견되어 사용자들의 주의를 요망하고 있다. 세계적으로 널리 알려진 동영상 전문 커뮤니티 등으로 위장할 경우 일반 사용자들은 별다른 의심 없이 클릭할 수 있으며, 동영상 내용이 일반인들의 흥미를 쉽게 불러일으킬 만하다면 그 피해는 더욱 커질 수 있다. 때문에 이번 글을 통해 해당 악성파일을 살펴보고 발생할 수 있는 피해에 미리 대비할 수 있는 시간을 가져볼 수 있도록 하자.

2. 유포 경로 및 감염 증상

아래의 그림과 같은 특정 동영상 전문 커뮤니티로 위장한 사이트뿐만 아니라 일반 사용자들을 현혹하기 쉬운 여러 사이트 등을 통해서도 해당 악성파일을 유포할 수 있다.

위와 같은 사이트로 이동할 경우 자바 애플릿을 이용하는 "(생략)youtube.com/YouTube.jar" 파일을 다운로드 및 실행할 수 있으며, JDK에 대한 설치 및 구성이 완료되어 있는 경우 "YouTube.jar" 파일 내에 포함되어 있는 "YouTube.class" 파일로 인해 추가적인 악성파일 다운로드가 이루어질 수 있다.

※ YouTube.class 내부 코드

※ 생성 파일

  - (사용자 임시 폴더)\10058-1.exe(89,600 바이트)
  - 다운로드된 파일에 대한 파일명 변경 : 10058-1.exe -> privzate.exe

※ 사용자 임시 폴더란, 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다.


또한, 위에서 설명한 YouTube 위장 사이트 외에도 아래의 그림처럼 게임 동영상 등 사용자들의 관심을 끌 만한 내용으로 우회하는 방법을 사용해 타 사이트에서도 유포가 가능할 수 있다.

추가적으로 다운로드되는 악성파일(10058-1.exe)은 아래의 그림과 같이 루마니아에 그 서버가 존재하는 것으로 확인되었다.

또한, 추가적으로 다운로드된 악성파일에 감염될 경우 아래의 그림과 같은 특정 사이트에 지속적인 접근 시도를 하며, 경우에 따라 Bot 기능을 수행할 수 있다.

3. 예방 조치 방법

사용자들을 현혹하여 감염을 유발시키는 위와 같은 악성파일의 경우, 현재 악성파일 유포 트랜드에 비춰볼 때 관련된 신종/변종 악성파일의 출현 가능성이 상당히 크다고 볼 수 있다. Anti-Virus 제품의 특성상 신종/변종 악성파일로부터 100% 안전을 보장하기에는 한계점이 있으며, 보다 안전한 PC 사용을 위해서는 아래의 보안 관리 수칙과 함께 사용자 스스로의 관심과 노력이 무엇보다 중요하다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 응용 프로그램의 최신 보안 패치 생활화

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 유지함과 동시에 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용

3. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드를 자제


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 여러 보안 위협에 대비하기 위해 24시간 대응체계를 유지하고 있으며, 위와 같은 악성파일에 대한 진단/치료 기능을 아래와 같이 제공하고 있다.

 

 

 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


2011년 5월 초부터 미연방수사국인 "FBI(Federal Bureau of Investigation)에서 발송된 것처럼 교묘하게 위장된 악성 이메일이 발견"되고 있어, 인터넷 사용자들의 각별한 주의가 요망되고 있다.

이메일의 특징은 보낸 사람이  "FBI" 라고 지정되어 있고, 발신지 이메일 주소 역시 fbi.gov 로 조작되어 있다. 수신자가 실제 FBI 측에서 발송한 이메일로 오인하여 첨부되어 있는 압축파일을 열고 실행 할 경우 "악성 파일에 노출되어 감염"되는 위험성이 존재한다.

※ 악성 이메일의 특성

보통 악성파일을 첨부한 이메일 전파수법은 사용자로 하여금 신뢰할 수 있는 조직이나 기관 등에서 발송한 것처럼 위장하기 위해서 다양한 속임수를 쓰는 것이 보편화 되어 있는데, 특징적으로 ▶시기적, 사회적으로 이슈화 되고 있는 내용(사회공학적 기법)이거나 ▶이메일 본문에 웹 사이트 링크가 포함되어 있거나, ▶특정 파일 등이 첨부되어 있는 경우이다. 따라서 위와 같은 조건과 유사한 조건의 이메일을 수신할 경우에는 혹시라도 정보 보안에 위협적인 요소가 포함되어 있지는 않은 지 각별히 유의해서 확인하는 절차나 습관이 필요하겠다.


이번에 보고된 FBI 발신지 위장 형식의 악성 이메일의 내용은 아래와 같고, 관련 내용을 사전에 충분히 숙지하여 둔다면 이와 유사하게 전파되고 있는 악성파일을 미리 인지하거나 미연에 예방하는데 도움이 될 수 있겠다.

2. 악성 이메일 전파 방식

"보낸 사람"의 이메일 주소 중 일부(* 표시)는 숫자이며 매번 가변적으로 표기되고, 영문 내용으로만 이루어져 있다. 한글로 번역된 내용은 이해도를 높히기 위하여 별도로 추가한 사항이다.

보낸 사람 :
FBI (info*****@fbi.gov)

제목 :
You visit illegal websites

당신은 불법적인 웹 사이트들에 방문하였다.

본문 :
Sir/Madam, we have logged your IP-address on more than 40 illegal Websites. Important: Please answer our questions! The list of questions are attached.

우리는 당신의 IP 주소를 40개 이상의 불법적인 웹사이트들에서 확인하였습니다. 중요: 저희의 질문에 대답해 주십시요! 질문 리스트는 첨부하였습니다.

첨부 파일 :
document.zip

==============================================================================================================

 


3. 첨부된 악성 파일

해당 이메일에는 "document.zip" 이라는 이름의 압축 파일이 첨부되어 있으며, 압축 파일 내부에는 "document.exe" 이름의 실행 파일이 포함되어 있다.

"document.exe" 파일은 문서 형식의 파일 처럼 위장시키고 사용자를 속이기 위해서 PDF 문서용 아이콘을 사용하고 있는 것이 특징이다.


4. 감염 증상

사용자가 "document.exe" 파일을 실행하면 악성 파일에 감염이 이루어지게 되며, 악성 파일은 사용자 몰래 특정 웹 호스트로 접속하여 pusk.exe 이름의 유료 결제를 유도하는 사기성 프로그램을 다운로드하고 설치를 하게 된다.

◎ 추가 악성 파일 다운로드
http://*****ntov.com/pusk.exe (일부 주소 * 처리)

 


설치된 사기성 프로그램은 마치 윈도우 복구용 프로그램(Windows Recovery)처럼 위장하고 있으며, 사용자 컴퓨터에 존재하지 않는 가짜 에러 검출과 수정 요구화면을 지속적으로 노출시켜, 사용자로 하여금 불안감을 조성한 후에 소액 치료 결제를 유도하여 금전적인 이득을 취하기 위한 일종의 "사이버 범죄 형태"이다. 

이와 유사한 종류로는 대표적으로 "가짜 백신(Fake Anti-Virus)" 이라는 형태가 가장 많이 유행하고 있는데, 보통 허위로 탐지된 악성파일 감염 경고창 등을 노출시켜 사용자로 하여금 소액 결제를 유도하는 방식인데, 최근에는 이처럼 사용자 컴퓨터에 치명적인 오류 등이 있는 것처럼 거짓 내용을 보여주는 악성 파일 형태가 증가하고 있어 각별한 주의가 필요하다.

[참고 자료]

◆ AVG로 위장한 허위백신 등장에 따른 주의필요
http://erteam.nprotect.com/116

◆ 해외 유명 백신 설치본으로 위장한 악성파일 발견 주의 필요
http://erteam.nprotect.com/142


5. 예방 조치 법

다양한 보안위협으로 부터 사전에 대비하고 안전한 컴퓨터 환경을 지속하기 위해서 아래와 같은 기본적인 보안 수칙을 준수한다면 보안 위협에 쉽게 노출되는 것을 충분히 예방하는 효과를 거둘 수 있다.

[권장 보안 관리 수칙]

◎ 사용중인 운영체제(OS)의 취약점을 보완하기 위하여 정기적으로 최신 서비스팩과 보안패치로 업데이트한다.
◎ Flash Player(SWF), Adobe Reader(PDF), Office 등 응용 프로그램 취약점을 보완하기 위하여 최신 버전으로 사용한다.
◎ Firewall, Anti-Virus 등 보안제품을 설치하고 항시 최신버전으로 유지하며, 실시간 감시 및 정기 검사를 진행한다.
◎ 사회적인 관심사나 특정 이슈 내용에 쉽게 현혹되어 신뢰할 수 없는 프로그램을 무심코 실행하지 않도록 한다. 
◎ 불법 소프트웨어를 사용하지 않으며, 신뢰할 수 없는 정보나 유해 사이트 등의 접근을 하지 않도록 한다.
◎ 사용하고 있는 각종 로그인 암호는 다른 사람이 추측하지 못하도록 가능한 복잡하게 설정하고 정기적으로 변경한다.


이번에 발견된 악성파일은 다양한 변종이 지속적으로 유포되고 있다. 잉카인터넷 대응팀에서는 해당 파일에 대해서 실시간 대응체계를 유지하고 있으며, nProtect Anti-Virus 제품군에서는 다음과 같이 진단/치료 기능을 제공하고 있다.

document.exe : Trojan-Downloader/W32.FraudLoad.18432.AY
pusk.exe : Trojan/W32.Agent.510976.AB


 


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


ESTsoft에서 제공중인 무료 백신 알약으로 위장한 악성파일이 등장하여 사용자들의 주의를 필요로 하고 있다. 해당 악성파일은 알약과 유사한 아이콘 및 디스크립션(설명)을 가지고 있어 일반 사용자의 경우 쉽게 현혹될 수 있으므로, 이번 글을 통해 해당 악성파일을 살펴보고 혹여, 발생할 수 있는 피해에 대비해 미리 예방할 수 있는 시간을 가져볼 수 있도록 하자.

참고적으로 금년 상반기 최고의 보안 이슈였던 3.3 DDoS 기간 때도 알약으로 위장한 악성파일이 출현하여 이슈가 되었던 전례가 있었다.

  

[국내 백신사의 DDoS 전용백신으로 위장한 악성파일 등장]
http://erteam.nprotect.com/134
  

3.3 DDoS 당시 발견되었던 알약 위장 악성파일의 경우 DDoS기능은 존재하지 않았으나 이번에 발견된 알약 위장 악성파일의 경우는 DDoS 기능을 포함 하고 있어 더욱 주의가 필요하다.

2. 감염 경로 및 증상

우선, 이번에 발견된 알약으로 위장한 악성파일은 아래의 그림과 같은 URL에서 유포되는 것으로 알려졌으나, 이메일의 첨부파일 형태로도 유포될 수 있다.

※ 알약 위장 악성파일 유포 경로(현재는 해당 URL에서 다운로드 되지 않고 있다.)
  - http://(생략).info/(생략)/100.exe

해당 URL은 그 유포지가 영국으로 확인되었으며, 내부 디스크립션(설명)이 한글로 되어있는 것으로 미루어보아 국내 상황을 파악하고 있는 악성파일 제작자가 영국의 IP를 유포지로 선택하여 사용하였음을 추측할 수 있다.
  


  

해당 악성파일을 다운로드 한 후 실행하게 되면 자신에 대한 삭제와 동시에 복사본을 아래와 같은 경로에 생성하며, 레지스트리 등록을 통해 윈도우와 함께 지속적인 실행이 가능하도록 구성하게 된다.

※ 생성 파일
  - C:\Documents and Settings\explorerere.exe (52,224 바이트)

※ 레지스트리 값 등록
  - [HKLM\SYSTEM\CurrentControlSet\Services\zvwerqt]
  - 값 이름 : ImagePath
  - 값 데이터 : "C:\Documents and Settings\explorerere.exe"


생성된 복사본은 아래의 URL에 지속적인 접속을 시도하여, 향후 추가적인 악성파일을 다운로드할 수 있다. 또한, 생성된 악성파일이 서비스단에 등록되어 Backdoor 및 일종의 Bot기능을 수행할 수 있을 것으로 추정되며, 현재 추가적인 증상 파악을 위한 분석이 진행되고 있다.

특징을 살펴보면 알약의 아이콘 뿐만 아니라 디스크립션(설명) 부분까지 도용하고 있다는 점이며, 자세히 살펴보면 정상 디스크립션(설명) 부분과 구분할 수 있는 차이점이 존재한다.

                                  < 악성 파일 >                                                            < 정상 파일 >

위 그림의 적색박스 부분을 살펴보면 악성파일과 정상파일간 "설명 :" 부분에서 아래와 같은 차이점을 보이고 있다.

※ 차이점
  - 정상 파일 : 알약 제품의 모듈 기능에 대한 설명 기술
  - 악성 파일 : 알약 제품에 대한 설명 기술


또한, 아래의 그림과 같이 DDoS 공격 기법중 하나인 "GET Flooding" 기법을 통해 지속적으로 특정 대상지에 GET Packet을 전송할 수 있다.


3. 예방 조치 방법

위와 같이 국내에서 많은 사용자를 가지는 프로그램으로 위장한 악성파일의 경우 일반 사용자들은 별다른 의심없이 다운로드 및 실행을 할 수 있다. 때문에 일단 유포가 이루어지면 감염이 쉬우며, 경우에 따라서 수많은 좀비 PC를 양산해 낼 수도 있으므로 사용자들은 아래와 같은 보안 관리 수칙을 준수하여 안전한 PC 사용을 할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 응용 프로그램 등의 최신 보안 패치 생활화

2. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드 자제

3. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 반드시 설치하고 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 항상 "ON"상태로 유지해 사용한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 언제든지 발생할 수 있는 위와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있으며, 위와 같은 악성파일에 대한 진단/치료 기능을 아래와 같이 제공하고 있다.



 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요

최근 사회적으로 이슈가 되고있는 DDoS와 관련해 국내 특정 백신사의 전용백신으로 위장한 악성파일이 발견되었다. 해당 악성파일은 DDoS 공격 기능을 가지고 있지는 않은 것으로 알려졌으나, 사회적 이슈를 악용한 사회공학 기법의 악성파일이 다시금 등장하면서 DDoS와 관련해 추가적인 피해가 예상되고 있다.

[주의] 알약 DDoS 전용백신 위장 개인정보 유출 악성코드 등장
http://www.boannews.com/media/view.asp?idx=25143&kind=0

2. 감염 경로 및 증상

해당 악성파일은 국내 유명 포털 사이트의 카페 등을 통해 유포된 것으로 알려졌으며, 경우에 따라 DDoS 관련 이슈를 악용해 이메일의 첨부파일이나 메신저, SNS(Social Network Service) 등의 링크를 통해 유포될 수 있다.


위 그림과 같이 국내 백신사의 아이콘을 도용해 일반 사용자들은 쉽게 현혹될 수 있다. 또한, 해당 백신사의 디지털 서명을 사용한 것으로 알려졌으며, 아래의 그림과 같이 디지털 서명이 존재하지 않는 변종이 발견된 것으로 미루어 보아 지속적인 변종 제작 및 유포가 시도될 수 있다.

위 그림을 살펴보면 국내 백신사의 아이콘을 도용하면서 파일 내부적으로 공급자가 "Microsoft Corporation"으로 지정되어 있는 것이 특징이다.

해당 악성파일에 감염되면 아래와 같은 추가적인 악성파일들을 생성한다.

※ 생성파일

  - (윈도우 시스템 폴더)\inpleqlxa.exe (179,181 바이트)
  - (사용자 계정 폴더)\Temp\(7~8자리 임의의 숫자)_lang.dll (125,570 바이트)

또한, 아래와 같이 레지스트리 값을 등록하여 생성된 악성파일이 위도우 시작시 마다 실행될 수 있도록 한다. 

※ 레지스트리 생성 값

  - [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\해당 CLSID]
  - 값 이름 : "stubpath"
  - 값 데이터 : (윈도우 시스템 폴더)\inldtepix.exe

※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.

※ (사용자 계정 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정) 이다.

현재 해당 악성파일은 DDoS와 같은 증상은 나타나지 않고 있다. 키로깅 등을 이용해 최종적으로 계정 정보 탈취 등의 동작을 수행하려는 것으로 추정되고 있으며, 현재 정밀분석이 진행중이다.

3. 예방 조치 방법

현재 DDoS가 사회적으로 이슈가 되고있는 만큼 신뢰할 수 있는 출처에서 제공된 정보를 선별적으로 접하는 습관이 중요하다. 또한, 해당 악성파일로 부터 안전하게 PC를 사용하기 위해 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화 하고, ▶메신저, SNS 등을 통한 링크 접속에 주의를 기울여야 한다. 마지막으로 무엇보다 ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야 하며, 실시간 감시 기능을 항상 "ON" 상태로 유지하는 것이 중요하다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 유사한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

2011년 03월 03일경 부터 국내 주요 웹 사이트를 대상으로 한 분산 서비스 거부(DDoS:Distributed Denial of Service) 공격이 발생하고 있어 잉카인터넷(시큐리티대응센터/대응팀)에서는 "긴급 경보"를 발령 한 상태이다.


잉카인터넷 대응팀은 03월 03일부터 비상근무체제를 유지하고 있으며, nProtect Anti-Virus 제품에 악성파일 치료기능을 2011년 03월 03일자부터 긴급으로 업데이트하여 제공 중에 있다. 특히, 해당 악성파일들이 국내 주요 Anti-Virus 제품의 업데이트를 방해하고 있기 때문에 전용백신을 사용하거나 nProtect Anti-Virus 제품의 최신 업데이트 패턴을 이용하면 좀더 완벽한 치료가 가능하다.
  

[무료 전용백신 v9]3.3 DDoS 악성파일 * HDD 파괴악성파일 치료 기능 포함
http://avs.nprotect.net/FreeAV/nProtectEAVDllbot.com

[HDD 파괴 피해 예방 안내]3.3 DDoS 악성파일 하드디스크 파괴시작 긴급 예방 조치법
http://erteam.nprotect.com/133

3.3 DDoS 악성파일 분석 보고서 (내용 계속 업데이트 중) 

[2011.03.09]_DDoS_분석_보고서_V8.0.pdf

 
  

참고로 호스트 파일을 변조해 Anti-Virus 제품의 정상적인 엔진/패턴 업데이트를 방해하는 주소는 다음과 같다.


이번에 발견된 악성파일들 중 일부는 사용자 컴퓨터내에 존재하는 중요 문서 파일 등을 암호화 압축(손상)하여 사용자가 정상적으로 사용하지 못하게 하는 피해 증상과 특정 조건에 따라 하드 디스크(HDD)를 파괴하는 기능(조건:설치된 시간+7일), 사용자 PC 정보 유출 등을 수행하는 것으로 파악되고 있으며, 현재 일반 사용자로 부터 문서 파일이 손상된 피해 사례가 아래와 같이 신고 접수된 상태이다.


잉카인터넷(http://www.nprotect.com) 시큐리티대응센터(대응팀)는 긴급 보안 공지와 함께 전사 비상 대응 체제를 가동하고 있으며, 아직까지 대규모 공격 수준은 아니지만, 스케줄링되어 있는 순차적 공격을 대비하여 인터넷 상황을 예의 주시 중에 있다.


이번 DDoS 공격 기능을 보유한 악성파일은 국내 특정 웹 하드 업체에서 유포되었기 때문에 수 많은 이용자의 컴퓨터가 Zombie PC 역할을 수행하고 있을 것으로 예상되며, 2009년 07월 07일부터 09일까지 국내 주요 17개 웹 사이트를 공격했던 7.7 DDoS 공격의 변형된 방식으로 동일한 공격자의 소행으로 추정된다.

지금까지 파악된 공격 대상 웹 사이트는 다음과 같고, 변형된 파일이나 추가 변종 공격에 따라서 웹 페이지가 변경될 수 있다.

http://www.naver.com/  [네이버]
http://www.daum.net/  [다음]
http://www.auction.co.kr/ [옥션]
http://www.hangame.com/  [한게임]
http://www.dcinside.com/  [디시인사이드]
http://www.gmarket.co.kr/ [G마켓]
http://www.cwd.go.kr/  [청와대]
http://www.mofat.go.kr/  [외교통상부]
http://www.nis.go.kr/  [국가정보원]
http://www.unikorea.go.kr/ [통일부]
http://www.assembly.go.kr/ [대한민국 국회]
http://www.korea.go.kr/  [국가대표포털]
http://www.dapa.go.kr/  [방위사업청]
http://www.police.go.kr/  [사이버경찰청]
http://www.nts.go.kr/  [국세청]
http://www.customs.go.kr/ [관세청]
http://www.mnd.mil.kr/  [국방부]
http://www.jcs.mil.kr/  [합동참모본부]
http://www.army.mil.kr/  [육군]
http://www.airforce.mil.kr/ [공군]
http://www.navy.mil.kr/  [해군]
http://www.usfk.mil/  [주한미군]
http://www.dema.mil.kr/  [국방홍보원]
http://www.kunsan.af.mil/ [주한미공군]
http://www.kcc.go.kr/  [방송통신위원회]
http://www.mopas.go.kr/  [행정안전부]
http://www.kisa.or.kr/  [한국인터넷진흥원]
http://www.ahnlab.com/  [안철수연구소]
http://www.fsc.go.kr/  [금융위원회]
http://www.kbstar.com/  [국민은행]
http://www.wooribank.com/ [우리은행]
http://www.hanabank.com/  [하나은행]
http://www.keb.co.kr/  [외환은행]
http://www.shinhan.com/  [신한은행]
http://www.jeilbank.co.kr/ [제일저축은행]
http://www.nonghyup.com/  [농협]
http://www.kiwoom.com/  [키움증권]
http://www.daishin.co.kr/ [대신증권]
http://www.korail.com/  [한국철도공사]
http://www.khnp.co.kr/  [한국수력원자력]

DDoS 공격에 사용된 악성파일들은 다음과 같고, 계속해서 변종이 수집되고 있다.


설치되는 일부 dll 파일들은 조작된 것으로 보여지는 디지털 서명을 사용하고 있기도 하다.

[클릭하면 전체 화면을 볼 수 있음]


잉카인터넷에서 긴급 업데이트된 악성파일의 대응 이력은 다음과 같고, 변종 발견에 따라 계속 추가될 수 있다.

2011년 03월 03일 02번째 긴급 업데이트 (23시 20분경 완료)
Trojan/W32.Dllbot.40960
Trojan/W32.Dllbot.46432
Trojan/W32.Dllbot.71008

2011년 03월 04일 01번째 긴급 업데이트 (01시 00경 완료)
Trojan/W32.Agent.10240.OO
Trojan/W32.Agent.11776.OF

2011년 03월 04일 02번째 긴급 업데이트 (11시 00분경 완료)
Trojan/W32.Agent.118784.ACE
Trojan/W32.Agent.131072.YG

2011년 03월 04일 03번째 긴급 업데이트 (11시 30분경 완료)
Trojan/W32.Agent.20480.AZR
Trojan/W32.Agent.11776.OG
Trojan/W32.Agent.16384.ALF

2011년 03월 04일 04번째 긴급 업데이트 (17시 15분경 완료)
Trojan/W32.Agent.126976.XY
Trojan/W32.Agent.16384.ALF

2011년 03월 04일 05번째 긴급 업데이트 (18시 30분경 완료)
Trojan/W32.Agent.42320
Trojan/W32.Agent.46416.B

2011년 03월 04일 06번째 긴급 업데이트 (22시 20분경 완료)
Trojan/W32.Agent.24576.BGE
Trojan/W32.Agent.10752.PI

2011년 03월 05일 02번째 긴급 업데이트 (12시 30분경 완료)
Trojan/W32.Agent.77824.AMN
Trojan/W32.Agent.71000.B
Trojan/W32.Agent.13312.MD
Trojan/W32.Agent.36864.BZN

2011년 03월 05일 03번째 긴급 업데이트 (13시 15분경 완료)
Trojan/W32.Agent.27648.OV

2011년 03월 06일 01번째 긴급 업데이트 (14시 30분경 완료)
Trojan/W32.Agent.16384.ALI
Trojan/W32.Agent.16384.ALJ
Trojan/W32.Agent.24576.BGF
Trojan/W32.Agent.57948.C

2011년 03월 07일 04번째 긴급 업데이트 (20시 45분경 완료)
Trojan/W32.Agent.24576.BGG
Trojan/W32.Agent.56167

2011년 03월 09일 02번째 긴급 업데이트 (21시 53분경 완료)
Trojan/W32.Agent.42488.B
Trojan/W32.Agent.45056.AUY
Trojan/W32.Agent.57344.BDK

2011년 03월 10일 02번째 긴급 업데이트 (09시 00분경 완료)
Trojan/W32.Agent.229376.ML
Trojan/W32.Agent.245760.IX
  

[nProtect Anti-Virus/Spyware 2007 알고 사용하자!]

http://erteam.nprotect.com/16
  


2011년 3월 4일 오후 06시 30분을 기점으로 2차 DDoS 공격이 이루어졌지만 대규모 공격은 발생하지 않아 아직까지 특별한 피해사례는 보고되지 않고있다.

또한, 기존에 예상되었던 시점보다 앞당겨져 하드디스크 손상을 초래하는 기능 동작이 2011년 3월 6일 보고되었으며, C&C 서버로 부터 감염된 PC에 해당 명령이 전달되어 동작이 진행중인 것으로 현재 추정되고 있다. 이는 현재까지 3.3 DDoS 공격으로 인해 뚜렷한 피해가 발생하지 않자 추가적인 피해 발생을 위해 진행된 것으로 추정되고 있으며, 현재 해당 건과 관련하여 긴급 업데이트가 완료되었으니 최신 엔진 및 패턴 버전으로 업데이트가 필요하다.

잉카인터넷(시큐리티대응센터/대응팀)에서는 이번 3.3 DDoS 공격과 관련하여 다양한 보안 위협에 대응하기 위해 24시간 지속적인 비상 대응체계를 유지하고 있으며, 관련 내용에 대해 계속해서 정보를 제공할 예정이다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

3.3 DDoS 악성파일들이 국내 특정 웹하드 서비스 업체들의 업데이트 모듈 등을 변조하고 유포하여 문제가 되었는데, 이번에는 관련 홈페이지가 외부의 공격에 노출되어 최신 보안패치가 적용되지 않은 이용자들에게 다수의 악성파일 유포 시도를 하고 있어 각별한 주의가 필요한 상황이다.


특히 3.3 DDoS 악성파일을 유포했던 쉐***(S*******) 사이트의 경우 현재 이 시간(2011년 03월 05일 23시경) 접속자들에게 악성파일을 유포하고 있다는 점에서 웹하드 서비스 업체들의 전반적인 관리 실태 조사 및 보안 강화 조치가 필요할 것으로 보인다.



■ 3.3 DDoS 공격 긴급 경보
http://erteam.nprotect.com/131

잉카인터넷 대응팀에서는 현재 8개 이상의 국내 파일 공유 서비스 홈페이지에서 악성파일이 전파되고 있는 것을 확인하였고, 유포 중인 악성파일에 대한 긴급 업데이트를 완료하였다. 웹하드 서비스 업체들의 이용자가 많다는 점이 집중적으로 신종 악성파일 타겟형 유포 공격에 노출되고 있는 주요 원인으로 보인다.

쉐*** 사이트를 통해서 유포되고 있는 악성파일의 과정을 정리하면 아래와 같다.

1. 쉐*** 홈페이지 접속

정상적인 웹하드 서비스 이용자들이 쉐*** 홈페이지를 접속한다.


2. 악성 명령이 포함된 스크립트 파일 자동 연결

웹하드 서비스의 이용자가 홈페이지를 접속하는 절차 수행만으로 정상 자바스크립트 파일에 몰래 삽입된 악성 링크 명령이 자동으로 실행된다.

일부 모자이크 처리 (쉐***)


쉐*** 이외의 다른 웹하드 서비스 업체에 등록되어 있는 코드는 조금 다른 방식으로 악성 코드가 포함되어 있다. 해당 코드는 아래와 같다.

일부 모자이크 처리 (다른 웹하드 사이트)


악성 스크립트 명령부분은 분석을 어렵게 하기 위해서 일종의 난독화 방식으로 인코딩(암호화)되어 있으며, 디코딩(복호화) 작업을 거치면 다음과 같은 내용으로 구성되어 있는 것을 확인할 수 있다. 

일부 모자이크 처리 (쉐어박스)


쉐*** 이외의 다른 웹하드 서비스에 포함된 난독화 코드를 가독화 코드로 변경하면 아래와 같다.

일부 모자이크 처리 (다른 웹하드 사이트)


아이프레임(iframe) 명령어를 통해서 특정 도메인으로 연결되도록 구성되어 있고, main.htm 파일이 실행되면 인터넷 익스플로러의 취약점 중에 하나인 CVE-2010-0806/MS10-018 Exploit Code 가 작동됨과 동시에 내부에 포함되어 있는 <script src="K.Js"></script> 명령이 병행하여 실행된다.

3. 최종 악성 파일 다운로드 및 설치

취약점에 의해서 Exploit Code 부분이 정상적으로 실행되면 대만에 위치한 특정 도메인에서 "biz.exe" 파일명의 악성파일이 사용자 몰래 설치되고, 감염 작동을 수행한다.

http://file.*****.com/biz.exe

유포지 위치


참고로 악성파일 biz.exe 는 웹 상에는 XOR 연산으로 암호화되어 있기 때문에 해당 파일을 직접 다운로드하여도 실행이 가능한 PE Header 형태는 아니다. Exploit Code 파일에 의해서 설치되는 과정에 정상적인 실행파일 형태로 변경되어 설치된다.

아래 그림은 biz.exe 파일이 웹 상에 존재할 때와 실제 사용자 컴퓨터에 설치되었을 때(a.exe)의 내부 Hex 내용을 비교한 화면이다. biz.exe 파일은 0xA2 라는 XOR 연산 Key 를 통해서 정상적인 실행 파일 구조인 a.exe 파일로 변환 과정을 거친다. 이러한 방식으로 웹 상에 암호화된 파일을 등록해 두는 이유는 다운로드되는 과정에서 Anti-Virus 제품들의 실시간 감시 기능 등을 우회하기 위한 목적이라 할 수 있다.


4. 시스템 파일 변조 및 온라인 게임 정보 유출 시도

악성파일이 정상적으로 다운로드되어 감염이 이루어지면 Application Data 경로에 a.exe 파일을 생성하고 실행한다.

C:\Documents and Settings\(사용자계정)\Application Data


그 다음에 시스템 폴더에 존재하는 imm32.dll 파일을 악성파일로 교체하고, nt32.dll 이라는 이름의 악성파일을 숨김속성으로 생성한다. 그리고 사용자 컴퓨터에 특정 Anti-Virus 제품의 설치 및 실행 조건 여부에 따라서 변조(Patch)하는 방식이 다르게 적용될 수 있다.


설치된 악성파일들은 온라인 게임 이용자의 정보 탈취 기능을 설정된 조건에 따라 수행하게 된다.


상기 분석 내용외에도 다수의 웹하드 서비스 사이트가 변조되어 현재 유포 중인 악성파일을 nProtect Anti-Virus 최신 버전으로 진단 및 치료가 가능한 상태이다.

[참고 자료]
ad.jpg -> Script-JS/W32.Agent.VN
expomody.exe -> Trojan/W32.Klone.265728
images.jpg -> Script-JS/W32.Agent.VM
ain.htm -> Script-JS/W32.Agent.BNE
nt32.dll -> Trojan/W32.Agent.69632.AVN
reutkc.htm -> Script-JS/W32.Agent.BNI
revtkl.htm -> Script-JS/W32.Agent.BNF
yveqer.htm -> Script-JS/W32.Agent.BNG
a.exe -> Trojan/W32.Agent.76800.IK 외 다수 추가 업데이트


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
영국은행 Lloyds TSB 에서 발송한 것처럼 교묘하게 위장된 악성 이메일이 국내에 유입되었으므로 외국과 금융 거래를 활발히 하시는 분들의 각별한 주의가 필요합니다.

참고로, Lloyds TSB 은행은 잉글랜드 (England)의 4대 상업은행 (Big Four) 중 하나이며, 더욱 크게는 영국 (United Kingdom)의 4대 상업은행 (Big Four) 중 하나인 Lloyds Banking Group에 속한 은행이라고 합니다.

영국 (United Kingdom)의 4대 상업은행:
HSBC Bank
Royal Bank of Scotland Group
Lloyds Banking Group
Barclays

잉글랜드 (England)의 4대 상업은행:
Lloyds TSB

National Westminster Bank
Barclays Bank
HSCB Bank

Lloyds Banking Group (NYSE: LYG) Global Fortune 500 기업으로, 세계 50대 상업 및 저축은행에 속하며, Forbes에 따르면 연 매출이 $256억 달러로 신한금융지주회사 ($204억 달러) KB금융지주회사 ($180억 달러) 보다 더욱 큰 규모라고 하기도 합니다.

이메일 형태는 다음과 같고, 첨부파일을 클릭할 경우 인터넷 뱅킹 로그인 계정과 신용카드 번호 등을 요구하는 일반적인 피싱 메일 형태입니다.

제목 :
Lloyds TSB - ClickSafe Activation Confirmation

내용 :
This is an outbound message only. Please do not reply.

Dear Customer,

Thank you for registering to Lloyds TSB ClickSafe services. This free service provides added safety when you shop online.

Activation Details:
Activation date: 10/11/10
Merchant at which activation took place: Watch Shop UK
Amount of purchase: 23.50 GBP
Login password: CroWldn1529
The service is now active for your Lloyds TSB card with referce no. 819430

If this registration hasn't been made by the certified owner of the account, please download the attached form and fill in all the details that are required to confirm your personal data. After confirming your personal data you will receive an email in order to reset your Lloyds TSB ClickSafe password.

From now on, when shopping at participating online merchants, your purchase is protected with the password you created during the service activation. Please save your password in a safe place; you will need it for future purchases.

To access your Lloyds TSB ClickSafe account, we invite you to visit the Lloyds TSB ClickSafe site. Upon your first visit you may create your own login name and update your account data. Additionally, at this site you will find more information regarding the service and participating merchants.

If you have any questions, please refer to our Frequently Asked Questions (FAQ),
or contact us.


Thank you,
Lloyds TSB

첨부파일 :
online.lloydstsb.co.uk-ClickSafe.pdf.html

이메일 내용을 한글로 번역하면 다음과 같습니다.

제목 :
Lloyds TSB - ClickSafe 활성화 인증

내용 :
이것은 외부발신전용 메세지입니다. 답변을 주시지 마십시오.

고객님,

Lloyds TSB ClickSafe 서비스에 등록하여 주셔서 감사합니다. 이 무료 서비스는 귀하께서 온라인 쇼핑을 하실 시 추가 보안을 제공합니다.

활성화 상세정보:
활성화 일자: 10/11/10
활성화가 일어난 상인: Watch Shop UK
구매금액: 23.50 GBP
Login 암호: CroWldn1529
해당 서비스는 귀하의 Lloyds TSB 카드를 위하여 819430 의 참조번호로 즉시 활성화되어있습니다.

해당 등록이 인증된 계정 소유자로부터 이루어지지 않았다면, 첨부된 양식을 작성하시어 귀하의 개인정보를 인증하시기 바랍니다. 귀하의 개인 정보를 인증한 이후에 귀하께서는 귀하의 Lloyds TSB Clicksafe 암호를 재설정하기 위한 이메일을 받으실 것입니다.

향후에, 귀하께서 온라인 상인으로부터 쇼핑을 하실 시, 귀하의 구매는 귀하께서 서비스 활성화 시 설정하신 암호를 이용하여 보호가 될 것입니다. 향후 구매시 암호가 필요하실 관계로, 귀하의 암호를 안전한 곳에 저장하여 주시기 바랍니다.

귀하의 Lloyds TSB ClickSafe 계정을 접근하기 위하여, 귀하께서 Lloyds TSB ClickSafe 사이트를 방문하여 주시기를 요청드립니다. 귀하의 첫 방문 시 귀하의 개인 login 명을 생성하시고 귀하의 계정 정보를 갱신하실 수 있으십니다. 추가적으로, 귀하께서는 해당 사이트에서 서비스 및 상인에 대한 추가 정보를 보실 수 있으십니다.

귀하께서 어떠한 문의가 있으시다면, 저희 FAQ 사이트를 이용하여 주시거나 연락을 주십시오.

Thank you,
Lloyds TSB

본문에 Login password 라는 값을 제공해서 사용자에게 직접 로그인해 볼 수 있는 권한을 제공하는 것처럼 관심을 끄는 것이 특징이고, 본문에 포함된 링크는 실제 Lloyds 보안 웹 페이지를 연결해 두고 있습니다.

https://www.clicksafe.lloydstsb.com/lloyds/registration/welcome.jsp


첨부되어 있는 "online.lloydstsb.co.uk-ClickSafe.pdf.html" 파일을 사용자가 실행할 경우 다음과 같이 인터넷 뱅킹의 로그온 요구 절차 화면이 보여집니다.

로그온에 필요한 사용자 ID, 암호, 신용카드 정보, 보안 코드 등의 입력을 할 수 있는 화면이 보여지며, 사용자가 개인 정보를 입력하고 Continue 버튼을 누르게 되면 개인 정보가 외부로 유출될 위험성이 있습니다.


Continue 버튼을 누르게 되면 사용자가 신뢰할 수 있도록 다음과 같이 실제 Lloyds TSB 웹 사이트 화면으로 변경해 줍니다.


실제로 첨부되어 있는 html 파일은 코드 내부가 다음과 같이 사용자가 알아보지 못하도록 인코딩(난독화/암호화) 되어 있습니다.


인코딩되어 있는 코드를 디코딩하면 다음과 같이 국내 웹호스팅 서비스(http://www.80port.com)를 이용하는 특정 홈페이지로 정보를 유출 시도하는 것을 볼 수 있습니다. (일부 모자이크 처리)


또한 사용자가 해당 페이지에서 해당정보를 입력하고 Continue 버튼을 누르게 될 경우, 사용자의 개인정보의 내용들이 Lloyds 은행의 IP가 아닌 특정 사이트로 유출 시도를 하는 것을 확인할 수 있습니다.



피싱용 악성 html 첨부파일은 현재 영국 Anti-Virus 업체인 Sophos 에서만 진단하고 있는 것으로 보여지며, nProtect Anti-Virus 제품에는 2010년 11월 12일자에 추가된 상태입니다.


이처럼 인터넷 뱅킹이나 금융권 내용과 관련된 이메일을 수신했을 때 개인 정보를 무심코 입력하지 않도록 하는 주의가 필요하며, 최신 보안 업데이트와 신뢰할 수 있는 보안 업체의 Anti-Virus 제품 사용을 통해서 예방이 가능합니다.

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
지난 2010년 11월 1일 방송통신위원회에서 사이버위기 "관심" 경보를 발령한지 9일 만인 2010년 11월 10일 해외 보안업체로 부터 "G20 정상회의 관련 내용으로 위장한 악성파일이 등장"했다고 보고되었다.

[ http://blog.trendmicro.com/g-20-summit-used-for-spam-attacks/ - TrendMicro ]

◆ 역시나 등장한 G20 정상회의 관련 악성파일..

                             < 출처 : http://blog.trendmicro.com/g-20-summit-used-for-spam-attacks/ >

위 그림과 같이 이메일에 첨부되어 있는 링크를 클릭하게 되면 Microsoft Word 문서파일로 위장된 악성파일을 내부에 포함하고 있는 G20IssuesPaper.zip 파일명의 압축파일을 다운로드 하게된다. 해당 악성파일에 감염되면 하기의 설명 및 그림과 같은 추가적인 악성파일을 생성한 후 윈도우 시작 시 마다 함께 실행될 수 있도록 레지스트리에 등록되게 된다.



◎ 감염 시 생성되는 파일

(사용자 임시 폴더)\Wininet.exe
C\RECYCLER\(숫자로 이루어진 임의의 파일명).tmp

◎ 레지스트리 등록값

HKEY_CURRENT_USER\
      Software\
          Microsoft\
               Windows\
                    CurrentVersion\
                         Run\

이   름 :  AdobeUpdate
데이터 : "(사용자 임시 폴더)\Wininet.exe"

※ (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다.


또한, 악성파일이 실행되게 되면 위 그림과 같이 G20 정상회의와 관련된 문서내용을 출력하여 사용자가 별다른 의심을 하지않도록 위장하는 특징을 가지고 있다.


nProtect Anti-Virus 제품군에서는 위 그림과 같이 현재 보고된 G20 정상회의와 관련한 악성파일에 대해 진단/치료 기능을 제공하고 있다.

또한, (주)잉카인터넷 NSC 대응팀에서는 지난글에서 밝힌바와 같이 방송통신위원회에서 발표한 사이버위기 "관심" 경보 발령과 발맞추어 24시간 비상대응체제를 유지해 혹시 모를 사이버공격에 대비할 예정이다.

[ http://erteam.tistory.com/52 - (주)잉카인터넷 NSC 대응팀 블로그]

사용자들은 위와 같은 정상파일로 위장한 악성파일에 감염되지 않기위해 사용중인 백신을 최신엔진 및 패턴버전으로 유지함과 동시에 실시간 감시 기능을 통해 악성파일의 유입을 차단해야한다. 또한, 수상한 메일의 열람이나 첨부파일 실행은 절대하지 말고 삭제하는 것이 사용자의 PC를 안전하게 지킬 수 있는 길이 될 수 있을것이다.
저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

2010년 8월 10일경 최초 출현 후 2010년 9월 8일 두번째 변종이 출현된바 있는 안드로이드용 SMS 트로이목마의 3번째 변종이 2010년 10월 13일경 또다시 출현하였다고 러시아 Kaspersky Lab에 의해 보고되었다.

[출처] : http://www.securelist.com/en/blog/329/FakePlayer_take_3



이번에 출현한 안드로이드용 SMS 트로이목마 3번째 변종은 지난번 유포되었던 두번째 변종과 마찬가지로 Porn Player로 위장하고 있다.



설치 시 위 그림과 같이 설치동의 및 권한 부여 메시지를 출력하므로, 주의깊게 살펴볼 필요가 있다.

이번에 출현한 안드로이드용 SMS FakePlayer 트로이목마 3번째 변종은 지난번 등장했던 두번째 변종과 배포기법 등이 유사한것으로 추정되며, 현재까지 국내에서 감염 피해 사례는 보고되지 않고 있으나 감염 시 SMS발송 등 유료 과금과 같은 금전적 손실이 발생 할 수 있으니 안드로이드용 모바일 OS를 사용하는 스마트폰 사용자들은 필요한 프로그램에 대한 선택적 설치 및 여러 이용자들에게 검증된 프로그램을 다운로드하는 등 각별한 주의가 필요하다.

nProtect Mobile for ANDROID 스마트폰 보안 솔루션에는 현재까지 알려져 있는 안드로이드용 악성프로그램의 진단/치료 기능이 추가되어 있으며, 이번에 보고된 3번째 변종에 대한 진단/치료 기능을 추가 제공 할 예정이다.
저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect