'악성파일'에 해당되는 글 93건

[악성코드 분석] ebay_4181254791235_091015.exe

ebay_4181254791235_091015.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 kaulj.exe 진단명 Trojan/W32.Yakes.41984.I 악성동작 termservice 시작, MpsSvc와 WinDefend 서비스 중지 특징 Ebay 를 사칭한 메일에 첨부되어 배포되는 악성파일 ​ 2. 분석정보 ​ 2.1. 파일 유포 경로 ​ 본 악성파일은 ebay를 사칭한 메일을 업체 그룹메일(외부 공개용)에 전송한다. 해당 메일은 “모니터링하거나 응답하는 주소가 아니니 답장하지 말아주십시오. 청구서를 보려면 첨부파일을 확인하십시오. 첨부파일은 PDF 형식으로 되어있어 열람을 위해서는 Adobe Acrobat Reader 가 필요합니다.” 는 내용과 첨부파일로 구성되있다. [..

악성 파일 정보 | 2015.10.30 13:13

[악성코드 분석] kaulj.exe (인터넷 뱅킹 파밍, 인증서 탈취)

kaulj.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 kaulj.exe 파일크기 96,710 byte 진단명 Trojan/W32.KRBanker.96710 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 특징 hosts 및 hosts.ics파일 변조를 통한 위조 사이트 유도 및 인증서 탈취 자동실행으로 지속적인 악성동작 유지 파일 드랍 1.2. 분석환경 운영체제 Windows XP SP3 32bit (한글) 분석도구 IDA, PEview, OllyDbg, ProcExp 등 ​ ​ 2. 분석정보 ​ 2.1. 파일 유포 경로 ​ 이번 샘플은 10월 첫째 주 주말 동안 *******wire.com외 의류쇼핑몰, 건강식품쇼핑몰, 어린이집 등 40여개에 이르는 사이트를 통해 유포되었다. ******..

악성 파일 정보 | 2015.10.23 17:39

[악성코드 분석] BERPOY.exe (인터넷 뱅킹 파밍, 인증서 탈취)

BERPOY.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 BERPOY.exe 파일크기 79,368 byte 진단명 Trojan/W32.KRBanker.79368 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 연결대상 **7.**3.**9.**8 특징 DNS 및 host 파일 변조, 인증서를 네트워크로 전송 1.2. 분석환경 운영체제 Windows XP SP3 분석도구 Process Monitor, Process Explorer, Autorun, Regshot, Wireshark ​ 1.3. 전체흐름도 ​ ​ 2. 분석정보 ​ 2.1. 파일 유포 방식 특정 학회 웹 서버에 업로드된 악성파일 (http://ch*********.net/ba********/*/ BERPOY.exe) 이 다운로드 ..

악성 파일 정보 | 2015.10.22 14:03

[악성코드 분석] system1.exe (인터넷 뱅킹 파밍, 인증서 탈취)

system1.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 system1.exe 파일크기 145,408 byte 진단명 Trojan/W32.KRBanker.145408.B 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 특징 hosts 및 hosts.ics 파일 변조를 통해 가짜 사이트로 유도 인증서를 드라이브, 폴더 별로 압축하여 보관 자동실행으로 지속적 인증서 탈취 1.2. 분석환경 운영체제 Windows XP SP3 32bit (한글) 분석도구 Process Explorer, Wireshark, NetMon, OllyDbg 등 ​ 1.3. 전체흐름도 ​ ​ 2. 분석정보 ​ 2.1. 파일 유포 방식 ​ 온라인 쇼핑몰 www.we******ak**.com 로 접속 시 98.***.***...

악성 파일 정보 | 2015.10.16 12:19

[주의]메모리해킹, 애드웨어와 동영상 플레이어 서버 통해서 지속전파

1. 전자금융 메모리 해킹 조직, 탐지회피 목적의 변칙공격 잉카인터넷 대응팀은 2013년 7월 23일과 12월 23일에 메모리 해킹 기능의 인터넷 뱅킹 악성파일(KRBanker)이 국내 애드웨어 서버를 통해서 전파되고 있다는 것을 최초로 공개한 바 있다. 물론 해당 조직들은 2013년 전후로 온라인 게임 계정 탈취 기능의 악성파일을 유사한 기법으로 계속 유포하고 있었지만, 2013년 중순 경부터 메모리 해킹 기능의 악성파일 전파를 본격적으로 시작하였다. 해당 악성파일 유포 조직들은 현재 이 시간도 다수의 애드웨어 서버를 통해서 꾸준히 최신 변종 악성파일을 유포하고 있는 상태이다. [긴급]애드웨어 끼워팔기식의 메모리해킹 기법의 악성파일 급증 ☞ http://erteam.nprotect.com/461 [주의..

악성 파일 정보 | 2014.01.13 16:59

[주의]애드웨어를 통한 메모리해킹 KRBanker 변종 악성파일 유포

1. 국산 Adware 프로그램 변조를 통한 인터넷 뱅킹 공격 시도 2013년 12월 23일 잉카인터넷 대응팀은 국내에 지속적으로 유포 중인 변칙적 광고프로그램(Adware)을 조작한 후 메모리 해킹용 인터넷 뱅킹 악성파일(KRBanker) 변종을 몰래 유포시키고 있는 정황을 포착하였다. 이 수법은 전자금융사기 범죄자들이 보안업체의 관제 및 탐지를 우회하기 위해서 애드웨어 모듈까지 은밀히 변조하여 사용하고 있는 지능적 공격방식이다. 잉카인터넷 대응팀은 지난 2013년 07월 경에도 이와 관련된 정보를 최초 공개한 바 있으며, 2013년 12월에 동일 방식의 메모리 해킹 기능의 인터넷 뱅킹용 악성파일(KRBanker) 변종이 다수 전파되고 있는 사실을 확인했다. [주의]공공의 적 애드웨어 전자금융사기 파밍..

악성 파일 정보 | 2013.12.23 15:31

[주의]국내 비트코인 거래소 이용자를 겨냥한 악성파일 등장

1. 비트코인 국내 사용처 1호점 등장과 함께 시작된 악성파일 잉카인터넷 대응팀은 국내에 유포 중인 온라인 게임 계정탈취 기능의 악성파일 중 일부 변종이 국내의 비트코인(BITCOIN) 이용자의 계정탈취 기능을 포함한 것을 최초 발견했다. 이 악성파일은 기존에 널리 알려진 계열로 국내 유명 온라인 게임 이용자들의 계정탈취 기능을 목적으로 다년간 국내에 전파되고 있어, 앞으로 비트코인 계정탈취에도 많은 시도가 있을 것으로 우려된다. [주의]국내 웹 사이트 관리자 계정 노린 악성파일 변종 지속 출현 ☞ http://erteam.nprotect.com/450 [주의]국내 웹 사이트 관리자 계정을 노린 악성파일 등장 ☞ http://erteam.nprotect.com/438 [긴급]6.25 사이버전, 신문사, ..

악성 파일 정보 | 2013.12.06 09:05

[발표]2013년 사례분석을 통한 2014년 보안위협 예측

잉카인터넷 ISARC 대응팀은 2013년 국내에서 발생한 각종 주요 보안이슈와 키워드별 사례를 종합 분석하여 2014년 발생 가능한 보안위협 예측자료를 다음과 같이 발표한다. 2013년은 2012년과 비슷한 유형의 보안 위협들이 다수 발생하였다. 다만, 3.20 사이버테러와 6.25 사이버전으로 규정된 북한의 공격이 연이어 발생하여 심각한 보안위협으로 대두되었다. 그외 각종 사이버범죄는 고도화되고 지능적인 양상을 보였다. 이번 보안 전망자료는 잉카인터넷 ISARC 대응팀이 2013년 등장하였던 대표적인 보안 위협들을 되짚어보고, 2014년에 출현 가능한 위협 요소들을 사전에 예측하여 대처할 수 있는 기초자료로 활용하는데 그 취지가 있으며, 각 계 보안의식 제고와 공감대 형성을 이루는데 그 목적이 있다. ..

보안 이슈 분석 | 2013.11.29 10:31