Gold Dragon 악성코드 주의



1. 개요 


최근, 국내에서 열렸던 2018년 평창 올림픽이 무사히 막을 내렸다. 올림픽 기간 중에도 보안과 관련된 이슈는 끊임없이 계속 발생하였지만 그 중, 흥미롭게도 해외 한 백신 업체에서 평창 올림픽을 겨냥한 것으로 추정되는 악성코드에 대한 보고서를 기재하였다.

게시된 글을 확인해보면 ‘Gold Dragon’ 이라고 불려지고 있는 파일에 대하여 내용이 다루어져 있다는 것을 확인할 수 있었는데, 이번 블로그에서는 해당 악성코드에 대해 어떠한 동작을 하는지 간단히 알아보도록 하자.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

[임의의 파일명].exe

파일크기

49,152 byte

진단명

Trojan/W32.Agent.49152.CRX

악성동작

정보 탈취 / 추가 악성코드 다운 및 실행













2-3. 실행 과정

해당 '[임의의 파일명].exe' 를 실행하면 특정 프로세스를 탐색하여 종료하고, 특정 경로에 파일을 생성한다. 생성된 파일에 사용자의 바탕화면 목록, 실행중인 프로세스 목록, 랜카드 정보 등의 다양한 정보를 15분 간격으로 수집하며 이외에도 추가적인 악성코드를 다운로드 받아 실행시킨다.







3. 악성 동작


3-1. 특정 프로세스 종료

해당 악성코드는 실행 시 현재 실행 중인 프로세스 목록을 불러와서 'v3.exe' 또는 'Cleaner.exe' 같은 사용자의 PC를 보호하기 위한 프로그램 종료를 시도한다


[그림 1] 특정 프로세스 종료 코드[그림 1] 특정 프로세스 종료 코드





3-2. 사용자 정보 탈취

실행된 악성코드는 '%AppData%\Microsoft' 하위에 'HNC' 라는 이름의 폴더를 생성하고 '1.hwp' 파일을 'HNC' 폴더 안에 생성한다.


[그림 2] 수집한 정보 임시저장 파일[그림 2] 수집한 정보 임시저장 파일





이후 명령프롬프트 창에 아래와 같은 명령어를 인자로 주어 실행시킨다. 이러한 방식을 이용하여 다양한 정보를 수집한 후에 이전에 생성했던 임시 저장 파일인 '1.hwp' 파일에 저장한다.


[그림 3] 정보 탈취 명령어의 일부[그림 3] 정보 탈취 명령어의 일부





저장되는 정보의 종류로는 기본적인 PC 의 관련된 정보와 함께 랜카드 정보, 바탕화면 목록, 최근 오픈한 문서파일 정보, 실행중인 프로세스 정보 등이 해당된다.


[그림 4] 탈취하는 정보의 일부[그림 4] 탈취하는 정보의 일부




[그림 5] 랜카드 정보[그림 5] 랜카드 정보






필요한 정보를 저장한 후에 저장한 정보를 인코딩하여 특정 도메인의 공격자 서버로 전송한다. 이러한 정보수집 및 전송 행위는 15분 간격으로 반복하여 수행하며, 그 때문에 계속해서 변화하는 정보를 수집할 수 있다.


[그림 6] 수집한 정보 전송[그림 6] 수집한 정보 전송






3-3. 추가 악성코드 다운로드 및 실행

추가 악성코드를 실행하기 위해서 이전의 정보를 전송했던 곳과 같은 도메인을 통해 추가적인 데이터를 다운로드 요청한다.


[그림 7] 다운로드 요청[그림 7] 다운로드 요청





추가적인 데이터를 다운 받을 경우 이를 이전에 생성했던 '%Appdata%\Microsoft\HNC' 경로 하위에 'hupdate.ex' 파일로 생성하여 받아온 데이터를 파일에 덮어씌운다.


[그림 8] 다운받은 파일[그림 8] 다운받은 파일





새롭게 생성한 'hupdate.ex' 파일을 프로세스로 실행한다. 현재는 서버와 연결되지 않아 추가 악성코드의 실행 위험은 없으나 서버가 활성화되면 언제라도 추가적으로 악성코드를 다운받아 실행할 수 있다.


[그림 9] 추가 다운로드 파일 실행 코드[그림 9] 추가 다운로드 파일 실행 코드






4. 결론

이번 보고서에서 알아 본 'GoldDragon' 악성코드는 사용자 PC 의 정보를 수집하고 추가 악성코드를 다운받아 실행함으로써 추후의 공격을 위한 정찰병과 같은 역할로 생각할 수 있다. 

평창 올림픽 기간처럼 특별한 기간을 노리는 악성코드들의 움직임들은 빈번히 발생되었다. 평상시에도 주의를 기울여야 하지만 올림픽 기간과 같이 전세계적으로 이목이 집중 되는 기간에는 좀 더 사용자들의 주의가 필요할 것으로 보여진다.
또한, 신뢰할 수 없는 이메일의 첨부파일이나 다운받은 파일들을 실행하지 않도록 하고 사용하고 있는 OS 나 백신 제품을 항상 최신 버전으로 업데이트 하도록 하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면














Posted by nProtect & TACHYON

새로 생성되는 파일도 암호화 하는 Rapid 랜섬웨어 주의


1. 개요 


2017년과 비교하였을 때 2018년에 랜섬웨어의 공격 빈도는 상대적으로 많이 줄어들었지만 꾸준히 발견되고 있다. 이번에 발견된 'rapid ransomware' 역시도 기존 랜섬웨어와 같이 파일 암호화를 진행하며 파일을 복호화 하기위해 공격자에게 이메일을 보내도록 유도한다.


'rapid ransomware' 만이 가지는 특징은 아니지만 해당 랜섬웨어는 암호화를 끝낸 뒤에 활성화 상태를 유지하며 암호화 동작을 반복적으로 시행한다. 이런 동작으로 인하여 새롭게 생성되는 파일 역시 암호화 된다.

이번 보고서에서는 새롭게 생성되는 파일까지도 암호화 하는 'rapid ransomware' 에 대해 알아보자.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

rapid.exe

파일크기

921,088 byte

진단명

Ransom/W32.Rapid.921088

악성동작

파일 암호화













2-2. 유포 경로

‘rapid ransomware’의 정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일을 통해 불특정 다수를 대상으로 유포하고 있는 것으로 추정 된다.




2-3. 실행 과정

해당 랜섬웨어 숙주파일이 실행되면 사용자 PC의 ‘%AppData%’ 경로에 원본파일을 ‘info.exe’로 복사하여 윈도우 부팅 시 자동으로 시작하도록 만든다. 그 후 대상이 되는 파일을 찾아 암호화 동작을 수행하고 파일 암호화가 완료되면 '.rapid' 확장자를 덧붙인다. 그리고 활성화 상태를 계속 유지하여 새로운 파일이 생성 될 경우 해당 파일 또한 암호화 하도록 한다.


[그림 1] 복사 된 파일[그림 1] 복사 된 파일








3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 자기 자신을 자동 실행 레지스트리에 등록한다. 이를 통해 사용자가 PC를 재부팅 하더라도 다시 사용자가 PC에 로그온하면 실행되어 암호화 동작을 수행한다.


[그림 2] 자동시작 레지스트리 등록[그림 2] 자동시작 레지스트리 등록





3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행한다. 암호화는 드라이브 하위에서 아래와 같은 파일을 제외하고 시행된다. 이때 확장자를 구분하지 않고 암호화를 진행한다.


[그림 3] 암호화 제외 파일[그림 3] 암호화 제외 파일




암호화된 파일은 아래와 같이 [원본파일명.확장자].rapid 형식으로 파일명 뒤에 rapid를 확장자로 붙여준다.


[그림 4] 암호화된 파일[그림 4] 암호화된 파일




또한, 파일 암호화 후에도 활성화 상태를 유지하여 반복적으로 암호화 동작을 수행한다. 이로 인하여 새로 생성되는 파일 또한 암호화가 되도록 한다.





3-3. 데이터베이스 관련 프로세스 종료

'rapid ransomware' 는 암호화와 함께 oracle이나 sqlite 및 sql 같은 데이터베이스와 연관된 프로세스를 종료한다. 이를 수행하기 위해 커맨드 프롬프트에 아래와 같은 명령어를 전달하여 실행한다.


[그림 5] 특정 프로세스 종료[그림 5] 특정 프로세스 종료





3-4. 볼륨 쉐도우 삭제

암호화를 진행한 후에 피해자가 PC를 복원하는 것을 방지하기 위해 3종류의 명령어를 사용하여 복원 지점을 삭제한다.


[그림 6] 복원지점 삭제[그림 6] 복원지점 삭제



3-5. 금전 요구

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대해서 복호화 화기 위한 방법으로 랜섬노트에 기록되어 있는 E-MAIL 주소로 연락하라는 내용을 안내하고 있다.


[그림 7] 랜섬노트[그림 7] 랜섬노트






4. 결론

이번 보고서에서 알아 본 'rapid ransomware' 는 아직까지 큰 피해는 발생하지 않았지만 실제 몇몇 피해 및 신고 사례를 갖고있는 랜섬웨어이므로 각별한 주의가 필요하다. 외국 온라인 게시판에서 자신이 관리하는 서버가 타격을 입었다는 게시물들을 통해 서버까지 공격대상에 포함된다고 추정해 볼 수 있다. 이러한 피해를 예방하기 위해 중요한 파일을 백업해두고 신뢰할 수 없는 파일에 대한 실행을 피하는 것이 좋다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 

[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)

[그림 9] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 9] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능


Posted by nProtect & TACHYON

평창 올림픽 이벤트성 프로그램으로 위장한 악성코드 주의


1. 개요 


2018년 평창 올림픽을 맞이하여 이를 노린 사이버 공격도 기승을 부리고 있다. 이번에 발견된 'OlympicGames.exe' 파일 역시 그러한 공격들 중에 하나로써 실행할 경우 사용자의 정보를 전송하고 추가 데이터를 사용자 몰래 다운로드한다. 악성코드의 메인 화면 역시 올림픽 이벤트 프로그램으로 보이기 위해서 그럴듯한 배경으로 사용자를 현혹한다. 자세하게 살펴보면 배경화면에 보이는 로고들이 평창올림픽과 다르다는 점을 찾을 수 있지만, 쉽게 알아차릴 수 없어 사용자의 피해가 우려된다.


이번 보고서에서는 올림픽과 관계된 요소들을 넣어 사용자들을 속이고 이벤트성 프로그램으로 위장한 'OlympicGames.exe' 파일에 대해서 알아보고자 한다.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

OlympicGames.exe

파일크기

1,199,104 byte

진단명

Trojan-Dropper/W32.Agent.1199104

악성동작

드롭퍼




구분

내용

파일명

winupdate.exe

파일크기

130,048 byte

진단명

Trojan-Dropper/W32.Sysn.130048.B

악성동작

추가 데이터 다운로드






2-2. 유포 경로

최초 유포 경로는 밝혀지지 않았지만, 이벤트성 프로그램을 위장하고 있어 국내 불특정 다수를 대상으로 웹사이트에서 공유되어 유포되었을 것으로 추정된다.




2-3. 실행 과정

'OlympicGames.exe' 를 실행할 경우 사용자를 속이기 위해, 2018 평창 올림픽 관련 이벤트성 프로그램인 것처럼 아래 [그림 1]과 같은 메인 화면을 띄운다. 자세히 살펴보면 평창 올림픽 로고 모양이 다르다는 것을 알 수 있지만 생각보다 많은 사용자들이 별다른 의심 없이 이름과 이메일 주소를 기입하게 된다. 이때 기입한 정보는 공격자의 서버로 전송된다.


[그림 1] 악성코드 실행시 메인화면[그림 1] 악성코드 실행시 메인화면




실행된 'OlympicGames.exe' 파일은 %Temp% 경로에 'winupdate.exe' 라는 또 다른 악성코드를 생성하고 실행한다.


[그림 2] 'winupdate.exe' 드랍 후 실행[그림 2] 'winupdate.exe' 드랍 후 실행




'winupdate.exe' 파일은 윈도우 부팅시 자동으로 실행될 수 있도록 'Run' 레지스트리 값에 자기 자신을 등록한다. 이는 사용자가 PC 를 재부팅 할 경우에도 동작하기 위한 의도로 보인다.


[그림 3] 자동시작 레지스트리 값 등록[그림 3] 자동시작 레지스트리 값 등록




추가적으로 윈도우가 부팅되어 있는 평소에도 지속적으로 실행될 수 있도록 %Temp% 경로 내의 'c.bat' 파일을 생성하여 실행시킨다. 'c.bat' 파일 내부에는 스케줄러에 예약작업으로 'winupdate.exe' 파일을 등록하는 코드가 존재한다.


[그림 4] 생성된 c.bat 파일 [그림 4] 생성된 c.bat 파일


[그림 5] c.bat 파일 내부에 존재하는 코드[그림 5] c.bat 파일 내부에 존재하는 코드








3. 악성 동작


3-1. 사용자 정보 전송

처음 'OlympicGames.exe' 파일이 실행되면서 사용자를 속이기 위해 보여주었던 메인화면에서 사용자가 이름과 이메일을 입력하게 되면 입력한 정보는 공격자의 서버로 전송된다.


[그림 6] 사용자 정보 전송[그림 6] 사용자 정보 전송




만약 공격자의 서버와 통신이 실패할 경우 아래와 같은 오류 메시지가 출력된다. 악성코드에서 흔하게 나오지는 않는 방식으로, 오류창을 띄워 정상 프로그램으로 보이기 위한 위장으로 보인다.


[그림 7] 통신 시도 실패 오류창[그림 7] 통신 시도 실패 오류창





3-2. 추가 데이터 다운로드

'winupdate.exe' 파일은 몇개의 특정한 도메인과 통신하며 추가적인 데이터를 다운로드 받는다. 현재 분석시점에서는 통신만 되는 상태로 제대로된 데이터는 존재하지 않는 상태이다.


[그림 8] 추가 데이터 다운로드[그림 8] 추가 데이터 다운로드




4. 결론

이번 보고서에서 알아본 것처럼 특별한 행사나 축제를 노려 악성코드를 유포하는 방식은 이전부터 자주 사용되었던 방식이다. 이미 오래전부터 써오던 고전적인 방식임에도 불구하고 실행하여 피해를 보는 이들이 많다. 이처럼 정상파일을 위장하고 행사나 축제와 관계된 요소들을 사용하여 유포되기 때문에 피해가 발생하지 않도록 PC를 사용함에 있어서 더욱 주의를 기울여야 한다. 여기서 소개한 'OlympicGames.exe' 파일 외에도 올림픽을 겨냥하여 유포되는 악성코드들이 계속해서 발견되고 있는 추세이기 때문에 신뢰할 수 없는 파일이나 이메일 등을 함부로 열어보지 않도록 유의하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면














Posted by nProtect & TACHYON

2018년 1월 악성코드 통계




악성코드 Top20

2018년 1월(1월 1일 ~ 1월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Backdoor (백도어) 유형이며 총 168,218건이 탐지되었다.

 

순위

진단명

유형

탐지 건수

1

Backdoor/W32.Orcus.9216

Backdoor

168,218

2

Worm/W32.Brontok.45374

Worm

52,962

3

Trojan-Spy/W32.SpyEyes.2270504

Trojan-Spy

52,188

4

Gen:Variant.Razy.107843

Virus

50,800

5

Application.TcpScan.E

Virus

27,616

6

Gen:Variant.Johnnie.1840

Virus

20,844

7

Suspicious/W32.CVE-2016-3266

Suspicious

17,097

8

Trojan-Dropper/W32.Inject.323584.D

Trojan-Dropper

16,331

9

Virus/W32.Neshta

Virus

15,243

10

Suspicious/W32.CVE-2016-3274

Suspicious

12,661

11

Generic.MSIL.Bladabindi.B20EE873

Virus

11,710

12

Trojan/W32.BitCoinMiner.1578496

Trojan

10,834

13

Gen:Variant.Application.LoadMoney.Symmi.2

Virus

10,330

14

Ransom/W32.Cerber.294521

Ransom

9,996

15

Suspicious/PDF.CVE-2017-16364

Suspicious

6,814 건  

16

Trojan/W32.Agent.1240576.AD

Trojan

6,195 건  

17

Trojan/W32.Agent.3584.MQ

Trojan

5,683 건  

18

Gen:Variant.Strictor.143698

Virus

5,595 건  

19

Trojan/W32.Agent.100864.ZY

Trojan

5,027 건  

20

Adware.GenericKD.6351554

Virus

4,866 건  

[표] 2018년 1월 악성코드 탐지 Top 20











악성코드 유형 비율

1월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Virus(바이러스)가 41%로 가장 높은 비중을 차지하였고, Backdoor(백도어)와 Trojan(트로잔)가 각각 20%와 8%, Worm(웜)와 Adware(애드웨어)가 각각 7%, 7%씩으로 그 뒤를 따랐다.


[그림] 2018년 1월 악성코드 유형 비율[그림] 2018년 1월 악성코드 유형 비율












악성코드 진단 수 전월 비교

1월에는 악성코드 유형별로 12월과 비교하였을 때 Adware를 제외한 대부분의 진단 수가 증가하였다.


[그림] 2018년 1월 악성코드 진단 수 전월 비교[그림] 2018년 1월 악성코드 진단 수 전월 비교












주 단위 악성코드 진단 현황

1월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 12월에 비해 증가한 추이를 보이고 있다.


[그림] 2018년 1월 주 단위 악성코드 진단 현황[그림] 2018년 1월 주 단위 악성코드 진단 현황









Posted by nProtect & TACHYON

한국인이 제작한 것으로 추정되는 ‘Korean Locker’ 랜섬웨어 유포 주의 


1. 개요 


최근, 유창한 한국어로 작성된 ‘Korean Locker’ 랜섬웨어가 발견되었다. 새롭게 발견된 ‘Korean Locker’ 랜섬웨어는 오픈소스 랜섬웨어인  '히든 티어(Hidden Tear)'를 활용한 ‘.NET’ 기반의 랜섬웨어다. 해당 랜섬웨어의 랜섬노트는 능숙한 한글로 기재 되어 있으며, 나무 위키 웹사이트 URL을 첨부하여 사용자에게 RSA 암호화 방식에 대한 내용을 제공한다. 또한 비트 코인을 지불하는 방법으로 한국 비트코인 거래소를 소개하는 점으로 보아 한국인 개발자가 제작한 것으로 추정된다. 이번 분석 보고서에서는 ‘Korean Locker’ 랜섬웨어에 대하여 간략하게 알아보고자 한다.








2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

임의의 파일명.exe

파일크기

216,576 bytes

진단명

Ransom/W32.KoreanLocker.216576

악성 동작

파일 암호화













2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어는 불특정 다수를 대상으로 이메일에 첨부하여 유포되고 있는 것으로 추정 된다.





2-3. 실행 과정

‘Korean Locker’ 랜섬웨어는 확장자는 ‘.exe’이지만 PDF 문서 아이콘으로 위장 하고 있다. 실행 시, 사용자의 파일을 암호화하고 암호화한 파일 이름 뒤에 ‘.locked’라는 확장자를 덧붙인다. 또한, 바탕화면에 ‘Readme.txt’ 이름의 랜섬노트를 생성하며, 해당 텍스트 파일을 실행시키면 [그림 1]과 같은 랜섬노트를 화면에 출력한다. 


[그림 1] ‘Korean Locker’ 랜섬노트[그림 1] ‘Korean Locker’ 랜섬노트








3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 아래 [표1]와 같이 대상이 되는 파일을 찾아 암호화를 진행한다. 암호화가 완료되면 원본 확장자 뒤에 ‘.locked’라는 확장자를 덧붙인다. 


구분

내용

암호화 대상 파일

확장자

".txt",".hwp",".doc",".docx",".xls",".index",".pdf",".zip",".rar",".css",".lnk",".xlsx",".ppt",

".pptx",".odt", ".jpg",".bmp",".png",".csv",".sql",".mdb",".sln",".php",".asp",".aspx",

".html",".xml",".psd",".bk",".bat", ".mp3",".mp4",".wav",".wma",".avi",".divx",".mkv",

".mpeg",".wmv",".mov",".ogg",".vmv",".cs",".sln", ".suo",".settings",".exe",".log",

".dll",".reg"

[표 1] 암호화 대상 파일 확장자


[그림 2] 파일 암호화[그림 2] 파일 암호화




3-2. 결제 안내

암호화가 진행된 후 바탕화면에 ‘Readme.txt’ 라는 이름의 랜섬노트 파일이 생성된다. 해당 파일을 열면 한글로 작성된 비트코인 구매 방법을 볼 수 있으며, 암호화된 파일에 대하여 복호화 하기 위한 방법으로 비트코인을 지불하라는 내용을 포함하고 있다. 또한, 하단에 한국 비트코인 거래소를 나열하고 있다. 


[그림 3] 복호화 안내 문구[그림 3] 복호화 안내 문구








4. 결론


이번 보고서에서 알아 본 ‘Korean Locker’ 랜섬웨어는 암호화 동작 외에 기존 랜섬웨어의 볼륨 쉐도우 복사본 삭제, 자동 실행 등록 같은 동작은 하지 않는 것으로 보아 테스트 목적으로 만들어졌을 가능성이 높다. 향후 기능이 추가되어 피해를 입을 수 있으므로 PC를 사용함에 있어 주의를 기울여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다. 


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



Posted by nProtect & TACHYON

사용자의 동의 없이 가상화폐 채굴 프로그램을 실행시키는 악성코드 주의




1. 개요 


최근 가상화폐에 대한 가치가 주목받고 있는 가운데 가상화폐 채굴 프로그램을 실행시키는 악성코드가 출현하고 있어 사용자의 주의가 필요하다. 


이번에 발견 된 가상화폐 채굴 프로그램은 사용자 동의 없이 실행되기 위해 불법 윈도우를 이용하는 사용자들을 대상으로 유포하고 있다. 대게 불법 윈도우를 사용하는 이용자들은 정품인증을 받기 위하여 'KMSPico' 프로그램을 사용하는데, 특정 웹사이트에서 배포하는 'KMSPico 10.2.2.exe' 는 설치 시 ‘모네로’ 채굴 프로그램을 동작 시키고 있다.


복잡한 연산을 필요로 하는 채굴 작업은 컴퓨터에 부하를 발생시켜 작업지연이나 갑작스러운 종료를 초래할 수 있기 때문에 주의가 필요하다.


이번 보고서에는 무단으로 가상화폐 채굴을 수행하는 ‘KMSPico 10.2.2.exe’ 악성코드에 대해서 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

KMSPico 10.2.2.exe

파일크기

2,878,711 byte

악성동작

파일 드롭(Win32.exe)









구분

내용

파일명

Win32.exe

파일크기

673,792 byte

악성동작

가상화폐 채굴기 삽입 및 실행










2-2. 유포 경로

특정 웹 사이트를 통해 채굴 프로그램을 실행시키는 ‘KMSPico 10.2.2.exe’ 를 유포한다. 아래 [그림1]은 해당 ‘KMSPico 10.2.2.exe’ 를 유포하는 웹 사이트 화면이다.


[그림1] 가상화폐 채굴 악성코드 ‘KMSPico 10.2.2’ 유포 웹 사이트[그림1] 가상화폐 채굴 악성코드 ‘KMSPico 10.2.2’ 유포 웹 사이트




2-3. 실행 과정

‘KMSPico 10.2.2.exe’ 설치 시 사용자의 동의 없이 ‘win32.exe’ 를 실행시킨다. ‘win32.exe’ 가 실행되면 운영체제 환경에 따라 특정 프로세스에 코드를 삽입하여 모네로 코인을 채굴한다. 또한, 자동실행 레지스트리를 등록하고 채굴동작을 은폐하기 위해 프로세스 목록을 감시하여 작업관리자(taskmgr.exe) 실행 시 채굴 프로세스를 종료시킨다.






3. 악성 동작


3-1. 코드 삽입을 통한 모네로 코인 채굴

‘KMSPico 10.2.2.exe’ 실행 시 불법 윈도우 정품인증 동작은 수행하지 않고 ‘win32.exe’ 를 드롭하여 실행시킨다. 실행된 ‘win32.exe’ 는 운영체제의 32/64bit환경에 따라 채굴코드를 삽입할 대상 프로세스(wuapp.exe/svchost.exe/notepad.exe/explorer.exe)를 결정하고 채굴코드를 삽입하여 실행한다. 가상화폐 채굴 작업의 경우 복잡한 연산을 수행하기 때문에 CPU 자원에 대한 사용량이 많아 원활한 PC사용에 제한을 준다. 


아래 [그림2]는 채굴기 실행 옵션과 채굴 작업 시 CPU 점유율이 99%에 달하는 화면이다.


 [그림2] 가상화폐 채굴 작업 화면[그림2] 가상화폐 채굴 작업 화면




정상 프로세스에 삽입되는 채굴코드를 추출하여 실행했을 때 아래와 같이 가상화폐의 지갑 주소와 채굴기 옵션에 대한 내용도 확인된다.


[그림3] 추출한 채굴기의 실행 화면[그림3] 추출한 채굴기의 실행 화면



[그림4] 가상화폐 지갑주소와 채굴코드 옵션 내용[그림4] 가상화폐 지갑주소와 채굴코드 옵션 내용




3-2. 채굴 은폐를 위한 작업관리자 프로세스 감시

‘win32.exe’ 는 채굴 프로그램이 삽입된 ‘wuapp.exe’의 동작을 숨기기 위해 아래와 [그림5]와 같이 작업관리자 프로세스인 ‘taskmgr.exe’ 를 감시하다가 작업관리자 실행 시 ‘wuapp.exe’ 종료시킨다.


[그림5] 가상화폐 채굴 은폐를 위한 작업관리자 프로세스 ‘taskmgr.exe’ 감시 코드[그림5] 가상화폐 채굴 은폐를 위한 작업관리자 프로세스 ‘taskmgr.exe’ 감시 코드




3-3. 자동 실행을 위한 레지스트리 등록

‘win32.exe’ 는 시스템 시작 시 채굴 작업이 자동으로 실행될 수 있도록 레지스트리 키 ‘RunOnce’ 에 ‘jXuDlnugma’ 값을 생성하여 ‘win32.exe’ 의 경로를 데이터에 저장한다. 

 

[그림6] 자동 실행을 위한 레지스트리 등록[그림6] 자동 실행을 위한 레지스트리 등록








4. 결론


이번 악성코드와 같이 사용자 동의 없이 설치되는 가상화폐 채굴 프로그램은 실행 시, 자원을 임의로 사용하여 정상적인 PC이용을 할 수 없도록 만들고 사용자가 이를 알아차리기 쉽지 않도록 교묘하게 숨기고 있어 각별한 주의가 필요하다. 


따라서, 안전한 PC 사용환경을 만들기 위해 불법 소프트웨어의 사용을 자제하도록 하고 윈도우 정품을 구입하여 사용하는 것을 권고한다.







Posted by nProtect & TACHYON

Hermes 2.1 랜섬웨어 감염 주의


1. 개요 


‘Hermes 2.1’ 랜섬웨어는 지정된 확장자를 대상으로 파일을 암호화한다. 일반적인 랜섬웨어와는 달리 암호화 후 확장자를 변경시키지 않아, 사용자가 자신이 랜섬웨어에 감염되었는지 파악하기 어려울 것으로 예상된다. 해당 랜섬웨어는 일반 사용자의 접근이 쉬운 국내 웹 사이트를 통해 유포되었기 때문에 각별한 주의가 필요하다.


이번 보고서에는 국내 웹 사이트를 통해 유포된 ‘Hermes 2.1’ 랜섬웨어에 대해서 알아보고자 한다.








2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

[임의의 파일명].exe

파일크기

345,088 byte

진단명

Ransom/W32.Hermes.345088

악성동작

파일 암호화













2-2. 유포 경로

‘Sundown Exploit Kit’를 사용하여 웹 브라우저의 취약점을 악용함으로써 웹 사이트를 통해 유포되었다.





2-3. 실행 과정

‘Hermes 2.1’ 랜섬웨어는 실행 시 지정된 확장자 파일을 암호화하고 암호화된 파일의 확장자를 그대로 유지함으로써      일반적인 랜섬웨어와는 다른 행태를 보인다. 이후 사용자가 암호화된 파일을 복구하지 못하도록 쉐도우 복사본을 삭제하는데 이는 ‘cmd.exe’ 를 통해 ‘window.bat’ 파일을 실행시킴으로써 그 기능을 수행한다. 실행된 ‘window.bat’ 파일과 ‘Hermes 2.1’ 랜섬웨어는 동작이 끝나면 삭제되고 아래 [그림1]과 같이 .html 포맷의 랜섬노트를 띄운다.


[그림1] Hermes 2.1 랜섬노트[그림1] Hermes 2.1 랜섬노트



랜섬노트는 영어, 독일어, 프랑스어, 이탈리아어, 스페인어의 다양한 언어로 제공되며, 복호화 방법에 대한 안내와 함께 결제를 유도한다. 또한, 암호화된 파일이 정상적으로 복구된다는 것을 증명하기 위해, 테스트용으로 3개의 파일 복호화를 진행해준다며 이메일 주소를 공개하고 있다.









3. 악성 동작


3-1. 파일 암호화

사용자 PC 를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일의 일부 확장자는 아래 [표1]과 같다.


구분

내용

암호화 대상 파일 확장자

tif php 1cd 7z cd 1cd dbf ai arw txt doc docm docx zip rar xlsx xls xlsb xlsm jpg jpe jpeg bmp db eql sql adp mdf frm mdb odb odm odp ods dbc frx db2 dbs pds pdt pdf dt cf cfu mxl epf kdbx erf vrp grs geo st pff mft efd 3dm 3ds rib ma max lwo lws m3d mb obj x x3d c4d fbx dgn dwg 4db 4dl 4mp abs adn a3d aft ahd alf ask awdb azz bdb bib bnd bok btr bak cdb ckp clkw cma crd dad daf db3 dbk dbt dbv dbx dcb dct dcx ddl df1 dmo dnc dp1 dqy dsk dsn dta dtsx dxl eco ecx edb emd fcd fic fid fil fm5 fol fp3 fp4 fp5 fp7 fpt fzb fzv gdb gwi hdb his ib idc ihx itdb itw jtx kdb lgc maq mdn mdt mrg mud mwb s3m myd ndf ns2 ns3 ns4 nsf nv2 nyf oce oqy ora orx $$$ $01 $db $efs $er __a __b {pb ~cw ~hm 0 00 000 001 002 1 101 103 108 110 113 123 123c 123d 123dx 128 1cd 1pe 1ph 1sp 1st 256 264 2d 2mg 3 32x 3d 3d2 3d4 3da 3dc 3dd 3df 3df8 3dl 3dm 3dmf 3dmk 3don 3dp 3dr 3ds 3dt 3dv 3dw 3dx 3dxml 3fr 3g2 3ga 3gp 3gp2 3gpp 3gpp2 3me 3mm 3p2 3pe 3pr 3w 4db 4dd 4dl 4dv 4mp 4th 4w7 555 602 60d 73b 73c 73l 787 7z 7zip 8 890 89t 89y 8ba 8bc 8be 8bf 8bi 8bi8 8bl 8bs 8bx 8by 8ld 8li 8pbs 8st 8svx 8xg 8xk 8xs 8xt 8xv 9xt 9xy a a$v a00 a01 h02è‹ a1wish a26 a2c a2l a2m a2theme a2w a3l a3m a3w a4l a4m a4p a4w a52 a5l a5rpt a5w a5wcmp a65 a8s aa aa3 aac aaf aah aam aao aaui ab ab1 ab2 ab3 ab4 ab65 aba abc abcd abdata abf abi abk abkprj abp abs abt abw abx aby ac2 ac3 ac5 ac6 aca acbl acc accda accdb accdc accde accdr accdt accdu accdw accft acd ace acf acg ach aco acp acr acrobatsecuritysettings acrodata acroplugin acrypt act actm actx acv acw acx ad ada adb adblock adc adcp add addin addon ade adf adi adn ado adobebridge adoc ados adox adp adpb adpp adr ads adt adu adv advs adx adz aea aec aep aepx aes aet aetx aex afd afdesign afe aff afm afp afs aft agb agd agd1 agdl age3rec age3sav age3scn age3xrec age3xsav age3xscn age3yrec age3ysav age3yscn agg aggr agi agx ahd ahf ahl ahs ahu ai aia aif aifb aiff aim ain aip ais ait aiu aiv ajp ak al al8 ala alb alb3 alb4 alb5 alb6 alc ald ale alf ali allet alm alp alr alt3 alt5 alv alx alz am am1 am4 am5 am6 am7 amb amc amf aml amm amp amr ams amsorm amt amu amv amx amxx an an1 an2 an8 ane anim animset animset_ingame anl anm anme ann ans ansr ansym anx any aof aoi aois aom ap ap_ apa apd ape apf aph api apj apk apl aplg aplp apnx apo app applet application appref - ms approj appx appxsym appxupload apr aps apt apw apxl apz aqt ar arc arch00 arcut ard arena arf arff arg arh ari arj ark arl aro arp arpack arr ars arsc artproj arw arx as as$ as2proj as3 as3proj as4 asa asat asax asc ascii ascm ascs ascx asd asdb ase asef asf ash ashbak ashdisc ashprj ashx asi ask asl asm asmx asn asnd asp aspx asr asset asstrm ast asv asvf asvx aswcs asws asx asy atc ate atf ath ati atl atm atn atom atomsvc atr ats att atw atx aty atz au3 aut automaticdestinations autoplay aux av ava avb avc avchd avd ave avhd avi avj avn avp avs avv avx aw awcav awd awdb awe awg awlive awm awp aws awt aww awwp ax axd axe axm axp axt axx azf azs azw azw1 azw3 azw4 azz azzx b b1 b27 b2a b3d b5i b5t b64 b6i b6t ba bac back backup backupdb bad bafl bak bak~ bak2 bak3 bakx bamboopaper bank bar bas base baserproj basex bat bau bav bax bay bb bb3 bbb bbc bbcd bbl bbprojectd bbs bbxt bbz bc5 bc6 bc7 bcc bcd bci bck bckp bcl bcm bcmx bcp bcs bct bdb bdb2 bdc bdf bdic bdl bdm bdmv bdp bdr bdsproj bdt2 bdt3 bean bed bet bf bfa bfg bfm bfs bfx bgi bgl bgt bgv bgz bh bho bhx bi8 bib bibtex bic bif big bik bil bim bin bina bionix bip biq bit bitpim bix bizdocument bjl bjo bk bk! bk1 bk2 bk3 bk4 bk5 bk6 bk7 bk8 bk9 bkc bkf bkg bkk bkp bks bkup bkz blb bld blend blend1 blend2 blg blk blm bln blob blockplt blogthis blorb blp bls blt blu bluej blw blz bm2 bm3 bmc bmd bme bmf bmg bmi bmk bml bmm bmml bmp bmpr bms bmz bna bnd bndl bng bnk bnp bns bnz boc bok boo book boot bop box bp1 bp2 bp3 bpa bpb bpd bpdx bpf bpg bpk bpl bpm bpmc bpn bpnueb bpr bps bpw bpz br3 br4 br5 br6 ...

[1] 암호화 대상 파일 확장자 일부 내용



해당 랜섬웨어는 파일에 대한 암호화만 진행할 뿐 추가 확장자를 붙여 변경하지 않는다. 아래 [그림2]는 암호화된 파일의 예시이다.


 [그림2-1] 암호화 된 파일[그림2-1] 암호화 된 파일



[그림2-2] 암호화 전(왼쪽) 후(오른쪽)[그림2-2] 암호화 전(왼쪽) 후(오른쪽)







3-2. 볼륨 쉐도우(shadow) 복사본 삭제

사용자가 PC를 감염되기 이전으로 복구하는 것을 방지하기 위해 볼륨 쉐도우 복사본을 삭제한다. 아래 [그림3]의 Command Line과 같은 명령어로 ‘window.bat’ 을 실행하여 그 기능을 수행하는데 ‘window.bat’ 은 [그림 4]와 같이 볼륨 쉐도우를 삭제하는 명령어를 담고 있다.


[그림3] 쉐도우 파일 삭제를 위한 ‘window.bat’ 실행[그림3] 쉐도우 파일 삭제를 위한 ‘window.bat’ 실행



[그림4] 쉐도우 파일을 삭제하는 ‘window.bat’[그림4] 쉐도우 파일을 삭제하는 ‘window.bat’








4. 결론



‘Hermes’ 2.1 랜섬웨어는 국내 웹 사이트를 통해 유포되었기 때문에, 인터넷 사용에 각별한 주의가 필요하다. 그 뿐만 아니라 이번 랜섬웨어의 경우 파일을 암호화한 뒤에도 확장자를 변경하지 않아 감염에 대한 인지 및 대응이 지연될 것으로 예상된다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야 한다. 또한 중요한 자료는 별도로 백업해 보관해야 할 것이다. 


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.


(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림6] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림6] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능



Posted by nProtect & TACHYON

2017년 12월 악성코드 통계




악성코드 Top20

2017년 12월(12월 1일 ~ 12월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로이목마) 유형이며 총 131,148건이 탐지되었다.


순위

진단명

유형

탐지 건수

1

Suspicious/W32.CVE-2016-3266

Trojan

21,255

2

Gen:Variant.Johnnie.80689

Backdoor

13,602

3

Trojan/W32.Obfuscated.569856.AR

Suspicious

11,098

4

Suspicious/PDF.CVE-2017-16364

Suspicious

10,286

5

Gen:Variant.Adware.Hebogo.1

Adware

8,494

6

Trojan-Dropper/W32.Inject.323584.D

Trojan

7,810

7

Ransom/W32.Cerber.294521

Virus

5,995

8

Gen:Variant.Strictor.127591

Trojan

5,586

9

Backdoor/W32.Netbus.599552

Trojan

5,442

10

Trojan/W32.Agent.3584.MQ

Trojan

4,991

11

Gen:Variant.Graftor.317235

Trojan

4,704

12

Backdoor/W32.Orcus.9216

Adware

4,622

13

Trojan/W32.Agent.100864.ZY

Trojan

4,482

14

Gen:Variant.Adware.Graftor.67318

Trojan

4,046

15

Trojan/W32.KMSAuto.163840

Adware

3,633

16

Worm.Generic.24677

Virus

3,408

17

Adware.GenericKD.12655880

Trojan

3,330

18

Virus/W32.Ramnit.B

Trojan

3,118

19

Adware.Generic.1926352

Adware

2,754

20

Trojan/W32.Agent.534016.BS

Worm

2,492

[표] 2017년 12월 악성코드 탐지 Top 20











악성코드 유형 비율

12월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Virus(바이러스)가 49%로 가장 높은 비중을 차지하였고, Trojan(트로잔)와 Adware(애드웨어)가 각각 15%와 14%, Suspicious(의심진단)와 Backdoor(백도어)가 각각 8%, 3%씩으로 그 뒤를 따랐다.


[그림] 2017년 12월 악성코드 유형 비율[그림] 2017년 12월 악성코드 유형 비율











악성코드 진단 수 전월 비교

12월에는 악성코드 유형별로 11월과 비교하였을 때 Trojan을 제외한 대부분의 진단 수가 감소하였다.


[그림] 2017년 12월 악성코드 진단 수 전월 비교[그림] 2017년 12월 악성코드 진단 수 전월 비교











주 단위 악성코드 진단 현황

12월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 11월에 비해 감소한 추이를 보이고 있다.


[그림] 2017년 12월 주 단위 악성코드 진단 현황[그림] 2017년 12월 주 단위 악성코드 진단 현황









Posted by nProtect & TACHYON

HWP2018 실행파일로 위장한 악성코드 유포 주의!


1. 개요 


최근 hwp 문서 파일과 관련된 악성코드 수가 증가하고 있어 국내 사용자의 주의가 요구된다.


이전 대부분의 악성코드가 이력서나 중요 문서들로 위장했다면, 해당 악성코드는 불법 소프트웨어를 사용하려는 사람들을 대상으로 유포되고 있기때문에, P2P 사이트 등 신뢰할 수 없는 사이트에서의 파일 다운로드와 실행을 하지않도록 각별한 주의가 필요하다.


또한, ‘HWP2018 무설치버전’ 실행파일로 되어있고 파일 크기 또한 정상적인 실행파일과 유사하기 때문에, 사용자 입장에서 정상파일과 구분이 어려운 특징을 가지고 있다.


이번 보고서에서는 ‘HWP2018 무설치버전’ 실행파일로 위장한 악성코드에 대하여 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

HWP2018.exe

파일크기

1,495,040 byte

진단명

Trojan-Dropper/W32.Inject.1495040

악성동작

키보드 입력값 탈취 / C&C서버와의 통신 시도












2-2. 유포 경로

해당 악성코드는 불법 소프트웨어를 사용하려는 사용자를 노려 ‘HWP2018’ 파일로 위장하고 토렌트, P2P 사이트를 통해 유포되고 있는 것으로 확인됐다.


[그림 1] 토렌트에 유포되고 있는 악성파일[그림 1] 토렌트에 유포되고 있는 악성파일




2-3. 실행 과정

해당 악성 파일을 다운로드할 경우, [그림2]와 같이 다운로드 받는 파일 목록 내 최상위 폴더에서 실행파일로 위치하여 사용자들이 실행을 유도하고 있다. 


'HWP2018.exe' 로 위장한 악성파일을 실행하면 ‘C:\’ 하위 경로에 office 폴더를 생성하고 'office.exe' 라는 파일명을 가진 파일이 복사 후 실행된다. 실행 된 'office.exe'는 계속해서 C&C 서버와 통신을 시도하며 사용자의 키보드에서 발생하는 입력값을 특정 파일에 저장하여 탈취한다.


[그림 2] 다운로드 받는 파일 목록[그림 2] 다운로드 받는 파일 목록






3. 악성 동작


3-1. 자동 실행 등록

해당 악성코드는 자기 자신을 자동 실행 레지스트리에 등록한다. 이로써 PC를 재부팅 하더라도 사용자가 PC에 로그온하면 자동 실행되어 악성동작을 수행한다.


[그림 3] 자동시작을 위한 레지스트리 값 등록[그림 3] 자동시작을 위한 레지스트리 값 등록




3-2. C&C 서버와의 통신 시도

실행 된 'office.exe'는 특정 도메인을 DNS 서버에 질의하며 통신하는 것으로 확인됐다. 하지만 현재 분석시점에서는 원격지와 정상적으로 연결되지 않는 것으로 보인다.


[그림 4] 통신 시도[그림 4] 통신 시도



해당 악성코드가 접속을 시도하는 도메인을 분석한 결과, [그림 5]와 같이 C&C서버의 위치가 ‘KR’로 되어 있는 것으로 확인할 수 있다. 따라서 해당 특징과 앞서 악성 파일이 한글 문서 편집기 파일로 위장했던 점을 미루어 보아 국내 사용자를 겨냥한 악성코드로 보여진다.


[그림 5] 도메인 정보[그림 5] 도메인 정보




3-3. 키보드 입력 탈취

'HWP2018.exe' 악성코드는 사용자의 키보드 입력값을 탈취하기 위해 다음과 같이 ‘%AppData%\Roaming’ 하위 경로에 ‘office’ 폴더를 생성하고 ‘klg_[랜덤값].dat’ 파일을 만든다.


[그림 6] 키값 로그 파일 생성[그림 6] 키값 로그 파일 생성



해당 파일에는 감염된 사용자의 키보드 입력값 및 키보드 입력이 발생한 프로세스 정보가 base64로 인코딩되어 저장된다. 현재 분석시점에서는 C&C 서버와 정상적으로 연결이 되지 않지만, 만약 C&C 서버와 연결이 이루어질 경우 ‘klg_[랜덤값].dat’ 에 저장된 키보드 입력값을 탈취할 것으로 짐작하게 한다.


[그림 7] 저장된 키보드 입력값[그림 7] 저장된 키보드 입력값






4. 결론



이번 보고서에서 알아본 바와 같이 해당 악성코드는 국내 사용자가 자주 사용하는 소프트웨어로 위장했다는 점과 안티바이러스, 백신 프로그램의 실행을 해지하거나 진단을 무시한 채 사용자가 프로그램을 실행할 수 있다는 점에서 문제가 되고 있다. 이렇게 불법으로 다운받은 소프트웨어가 개인 정보 유출로 이루어질 수 있기 때문에 사용자는 더욱 주의를 기울일 필요가 있다.


따라서, 안전한 PC 사용환경을 만들기 위해 불법 소프트웨어의 사용을 자제하도록 하고 정품을 구입하여 사용하는 것을 권고한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면






Posted by nProtect & TACHYON

2017년 10월 악성코드 통계




악성코드 Top20

2017년 10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로이목마) 유형이며 총 1,123,251건이 탐지되었다.


순위

진단명

유형

탐지 건수

1

Gen:Variant.Razy.107843

Trojan

1,123,251

2

Gen:Variant.Zusy.217219

Trojan

127,661

3

Gen:Variant.Adware.Hebogo.1

Adware

27,748

4

Suspicious/W32.CVE-2016-3266

Suspicious

22,287

5

Trojan.Androm.Gen.1

Trojan

8,033

6

Gen:Variant.Application.LoadMomey.Symmi.2

Trojan

7,625

7

Gen:Variant.Johnnie.59062

Trojan

6,846

8

Gen:Variant.Graftor.317235

Trojan

6,675

9

Suspicious/W32.CVE-2016-3274

Suspicious

5,977

10

Virus/W32.Neshta

Virus

5,484

11

Trojan/W32.Agent.3584.MQ

Trojan

5,347

12

Adware/NetworkExpress.AA

Adware

5,010

13

Worm.Generic.73749

Worm

4,707

14

Gen:Variant.Strictor.127591

Trojan

4,624

15

Gen:Variant.Johnnie.59052

Trojan

4,615

16

Trojan/W32.Agent.100864.ZY

Trojan

4,230

17

Gen:Variant.Adware.Strictor.7909

Adware

3,870

18

Gen:Trojan.Heur.RP.dq1@aaicnEkG

Trojan

3,506

19

Adware.GenericKD.12361063

Adware

3,222

20

Win32.Runouce.B@mm

Virus

3,067

[표] 2017년 10월 악성코드 탐지 Top 20




악성코드 유형 비율

10월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Virus(바이러스) 가 91%로 가장 높은 비중을 차지하였고, Adware(애드웨어)가 4%, Trojan(트로이목마)와 Suspicious(의심진단)가 각각 2%, Downloader(다운로더)가 1%로 그 뒤를 따랐다.



[그림] 2017년 10월 악성코드 유형 비율[그림] 2017년 10월 악성코드 유형 비율










악성코드 진단 수 전월 비교

10월에는 악성코드 유형별로 9월과 비교하였을 때 Virus와 Adware진단이 다소 감소하였으며, 나머지는 대부분 비슷한 진단수를 유지하였다.


[그림] 2017년 10월 악성코드 진단 수 전월 비교[그림] 2017년 10월 악성코드 진단 수 전월 비교











주 단위 악성코드 진단 현황

10월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 넷째주에 대폭 감소한 현상을 보이고 있다.


[그림] 2017년 10월 주 단위 악성코드 진단 현황[그림] 2017년 10월 주 단위 악성코드 진단 현황












Posted by nProtect & TACHYON