악성코드와 하율파파

Upatre 악성코드는 주로 위 와 같은 스팸메일과 함께 첨부파일 형태로전파된다. 해당 파일을 열면 악성 서버에서 추가 파일을 다운로드 하여 사용자의 시스템에 설치하는데, 이때 설치되는 악성샘플이 Upatre이다. PDF파일의 아이콘을 가지고 있으나 실제 EXE 파일이다. 테스트 환경 Windows XP x86 행위 정보 다음 위치에 파일을 생성한다 C:\Documents and Settings\Administrator\Local Settings\Temp\microview.exe(랜덤명)(원본파일) C:\Documents and Settings\Administrator\Local Settings\Temp\micro1B83.log(랜덤명) C:\Documents and Settings\Administrat..

토렌트를 이용한 악성코드 유포가 지속적으로 일어나고 있다. 테스트 환경 Windows 7 x64 VMware-workstation-full-11.1.1-2771112.exe와 S.n.txt 파일이 다운로드 된다. VMware-workstation-full-11.1.1-2771112.exe 파일이 악성 파일이다. S.n.txt 파일은 시리얼이 들어있는 텍스트 파일이다. 생성파일 임시폴더(Temp)에 파일을 생성하며, 생성된 두 파일의 MD5는 같다. C:\Users\Taewoo\AppData\Local\Temp\Windows System.exe C:\Users\Taewoo\AppData\Local\Temp\System.exe System.exe 파일을 방화벽 정책에서 허용으로 설정한다. 이름을 변경하여 시..

보호되어 있는 글입니다.

며칠 전부터 한글랜섬웨어가 다시 활동을 시작했다. 테스트 환경 Windows XP x86 생성파일 C:\WINDOWS\(랜덤명).exe 진단 Virobot : Trojan.Win32.S.CryptoLocker.278528.C Trojan.Win32.S.CryptoLocker.294912 Trojan.Win32.S.CryptoLocker.267681 ...

중국 한인 취업사이트에서 갓모드 취약점을 이용한 악성코드 유포가 발견되었다. 해당 악성코드는 좀비 PC를 양산하여 디도스 공격에 이용한다. 또한 파일바이러스의 특징도 보인다. 테스트 환경 Windows XP x86 생성파일 C:\WINDOWS\(랜덤명).exe 행위 1.DDoS 공격 IP와 인자값을 받아 DDoS 공격을 수행한다. 2-1. 파일 파이러스 (Virut) 감염된 시스템의 실행파일을 확인해 보면 Entry Point의 주소값이 악성행위를 하는 영역의 시작 주로 Entry Point를 변경 된 것을 확인 할 수 있다. 악성코드를 삽입하기위해 삽입할 영역을 만든다. 2-2. 파일 파이러스 (Parite) 섹션을 맨 마지막에 추가한 후 Entry Point 변경 진단Virobot : Win32.Pa..

보호되어 있는 글입니다.

effective. Power لُلُصّبُلُلصّبُررً ॣ ॣh ॣ ॣ 冗 애플 아이폰의 imessage로 특정 유니코드가 포함된 메시지를 수신하면 시스템을 충돌 시킬 수 있는 결함이 발견되었다. 이는 '유니코드 오브 데스'로 불리우며 기호, 아랍문자와 같은 특정 문자가 포함되어 있는 메시지를 받을 경우 시스템이 충돌할 수 있다. 테스트 환경 iOS 8.3 결과를 캡처할 수 없었지만, 다음 과같은 문제가 발생했다. 다른 분들은 다른 오류가 있을 수 있으나, 직접 확인한 결과 다음 두 문제점을 확인 할 수 있었다. 1. 아이폰이 재부팅 된다. 2. 카카오톡에서 해당 문자열 붙여넣기 시 앱 강제 종료 현재 애플측에서 위 문제를 인식하고 있으며, 다음 소프트웨어 업데이트에서 위 문제를 해결한다 한다.

사파리 브라우저의 취약점을 이용한 URL Spoofing 공격이 발생했다. URL은 특정 정보에 대한 주소를 표시하는데 사용하는 정보 이다. 인터넷 사용자가 현재 어떤 사이트를 방문하고 있는지 주소창에 URL정보를 표시해 준다. 그러나 소프트웨어의 버그등으로 이 부분이 다른 주소로 표시되도록 할 수 있으며, 이를 URL Spoofing공격이라고 한다. 테스트 환경 Safari Browser v.8.0.5 위 그림에서 두 사이트의 URL은 dailymail.co.uk로 같은 사이트에 접속한 것과 같이 보이나, 실제로 다른 화면을 보여주고 있다. 좌측 사이트는 정삭적인 접속화면이며, 우측 사이트는 URL Spoofing 공격에 의하여 같은 URL로 보이나 실제로는 다른 사이트에 접속한 것이다. 주소창에 da..

제목 그대로 에드웨어와 함께 뱅킹 악성코드가 생성되는 샘플이다. 테스트 환경 Windows XP x86 생성파일 다음 경로에 파일을 생성한다. 생성된 파일은 뱅킹 악성코드와 에드웨어이다. C:\nth C:\nth\Config.ini C:\nth\Setup.exe(뱅킹 악성코드) C:\nth\Wiseman.exe(에드웨어) Wiseman.exe Wiseman.exe를 실행시, 즐겨찾기에 쇼핑 사이트를 등록하며, 특정 문자나 URL을 입력시 광고창이 생성될 것 으로 추정된다. 즐겨찾기에 쇼핑 사이트를 등록한다. Setup.exe 다음 경로에 파일을 생성한다. C:\(랜덤폴더명)\Coinfig.ini C:\(랜덤폴더명)\setting.xml C:\(랜덤폴더명)\(랜덤파일명).exe DNS Cache Poiso..

파밍(Pharming) 악성코드 파밍 악성코드는 국내에서 지속적으로 발견되고 있는 악성코드이다.파밍(Pharmin)은 피싱공격의 한 유형으로, 해커가 제작한 가짜 웹 사이트로 사용자를 유도하여 개인정보(금융정보)를 탈취하는 형태이다.이는 사용자가 올바른 주소에 접속하더라도 공격자가 제작한 웹 사이트로 접속하도록 유도 하기때문에 자칫 방심하면 큰 피해를 입을 수 있다.또한 파밍악성코드를 유포하는데 가장 많이 사용되는 형태가 드라이브 바이 다운로드(Drive-by-Download)기법이며, 이 기법은 사용자가 해당 웹 사이트에 접속하면 즉시 감염시킨다. 때문에 사용자가 인지하지 못하는 사이에 악성코드에 감염되기 때문에 인지하지 못한사이에 감염되기 때문에 더욱 주의가 필요하다. 파밍에 사용되는 몇가지 기술을 ..