Trojan.Keylogger.327680 -ALYac Division Malware Research 해당 악성코드는 사용자 정보를 가로채는 키로깅 기능과 감염된 PC를 조종할 수 있는 봇 기능을 가진 악성코드입니다. 기능상으로는 기존 악성코드와 별 차이가 없지만, 이번 샘플은 주변에서 흔히 볼 수 있는 식당, 마트, 백화점 등에서 신용카드로 물건을 구입할 때 활용하는 판매 시점관리 시스템(POS, Point of sales)을 대상으로 제작된 악성코드라는 점에서 주목할 만합니다. 특히, 국내에서 다수가 사용하고 있는 POS 업체의 아이콘과 파일명을 사용한 점에서, 이는 특정 타겟을 노리고 생성된 악성코드라고 볼 수 있습니다. 악성코드 순서도 악성코드 상세 분석 1. 악성파일 분석(Sample.exe) ..

악성코드 분석 리포트 2014. 7. 15. 09:38

Spyware.Android.PhoneSpy -ALYac Division Malware Research 최근 스마트폰 보안 이슈로 '스파이앱'에 대한 논란이 뜨겁습니다. 올 초 대규모 개인정보 유출 사건 등으로 사용자들이 '개인정보보호' 이슈에 한층 민감해진 가운데, 지난해 2월 국내에서 처음 발견된 스파이앱이 또 다시 기승을 부리고 있는 것으로 나타났습니다. 또한 최근 경찰이 스파이앱 관련 앱을 제작하면서 폴 안티스파이 앱과 함께 시중 백신들이 스파이앱을 얼마나 잡아낼 수 있는지 실험한 결과, 알약 안드로이드가 13개로 가장 많이 찾아냈고, 경찰청 앱은 12개, 안랩 V3 6개, 네이버 백신은 2개를 찾아냈습니다. (관련 기사 ▶참고) 스파이앱은 사용자 스마트폰에 설치되어 공격자가 원하는 데이터(통화 ..

악성코드 분석 리포트 2014. 7. 2. 13:23

IP를 10진수로 표기하여 백신 우회 시도하는 호스트파일 변조 악성코드 발견 일반적으로 사용자가 인터넷 웹페이지를 방문할 때에는 웹브라우저를 사용하며, 방문하고 싶은 페이지가 있으면 해당 페이지의 도메인 주소를 입력하여 이동합니다. 예를 들어 원래 줌닷컴의 IP주소는 121.189.40.10이지만, 사용자 편의를 위해 www.zum.com이라는 도메인 주소를 사용합니다. 둘 중 어떠한 정보를 넣어도 사용자는 줌 홈페이지에 접속할 수 있습니다. 뿐만 아니라 IP주소를 16진수, 8진수, 심지어 hex값으로 변환하여 입력해도 역시 변환하기 이전의 ip주소를 찾아가게 됩니다. 공격자들은 이를 악용하여 피싱 또는 파밍 공격을 시도합니다. 따라서 피해자들은 이로 인해 금융관련 피해를 입기도 하는데요. 이번에 새롭..

악성코드 분석 리포트 2014. 6. 11. 11:11

Trojan.Android.KRBanker -ALYac Division Malware Research 한국의 스마트폰 보급률은 73%에 달합니다. 이는 국민 10명중 7명이 스마트폰을 사용하고 있다는 이야기입니다. 폭발적인 스마트폰 성장세에 발맞춰, 악성앱 또한 폭발적인 증가세를 기록하고 있습니다. 악성앱 중 현재 국내에서 가장 위협적인 악성앱은 문자메시지로 유포되고 있는 스미싱(SMS + Phising의 합성어)앱입니다. 스미싱 메시지는 신뢰할 수 있는 사람이나 기업에서 보내는 메시지로 가장하고 있어, 무심코 URL을 클릭하는 등 메시지에 반응하면 금전적으로 손실을 입거나, 민감한 금융정보를 도난 당하게 됩니다. ‘Trojan.Android.KRBanker’는 사용자의 금융정보 탈취를 목적으로 하는 악..

악성코드 분석 리포트 2014. 6. 2. 11:33

안녕하세요. 이스트소프트입니다. 서울법원을 사칭한 스미싱 메시지 최근 스미싱이 급증한 가운데, 새로운 형태로 악성앱 다운로드를 유도하는 스미싱 사례가 발견되었습니다. 해당 스미싱 메시지는 ‘서울법원:사건 접수번호입니다 xxxx.xxxx.com’라는 문구로 사용자들에게 전송됩니다. 대법원으로 위장한 가짜 피싱 사이트 피싱 사이트에서 띄우는 자동입력방지를 위한 문자 입력 페이지 해당 스미싱 메시지를 받은 사용자가 메시지에 포함된 URL을 클릭하면 대법원을 위장한 피싱 사이트로 연결됩니다. 연결된 사이트에서 다운로드 버튼을 클릭하면, 자동입력방지를 위한 문자 입력 페이지가 나타납니다. 이 때, 올바르지 않은 정보를 입력하면 오류 메시지까지 띄우는 치밀함으로, 사용자에게 사이트에 대한 믿음을 심어줍니다. 또한 ..

악성코드 분석 리포트 2014. 5. 16. 13:11

Exploit.HWP.Agent -ALYac Division Malware Research 최근 사회∙정치적으로 여러 이슈들이 등장하면서, 이슈들을 교묘하게 악용한 악성코드의 유포가 꾸준히 지속되고 있습니다. 겉으로는 그저 이슈를 담은 문서파일이지만, 그 속에는 악의적인 공격 코드가 담겨있습니다. 공격자는 이를 이메일을 통해 무차별적으로 유포함으로써, 메일 수신자에게 호기심을 유발하여 해당 파일을 실행시킵니다. 이번에 발견된 악성코드도 최근 언론에서 한국 주요기관의 정보 유출을 노리는 사이버 스파이, 일명 'Kimsuky'와 비슷한 유형으로 판단됩니다. 정보 유출의 역할을 하는 악성코드는 이미 다양한 유형이 존재하고 활동하고 있습니다. 그러나 이것이 특정 국가를 노리는 사이버전의 전초전이라고 생각하면 ‘..

악성코드 분석 리포트 2014. 5. 7. 13:06

멜론 크랙버전(Melon Crack)을 사칭한 악성코드 유포중! 최근 지속적으로 멜론 크랙버전을 사칭한 악성코드가 유포되고 있습니다. 마치 멜론 크랙버전을 사용하면 별도의 로그인 없이도 자유롭게 멜론에서 제공하는 음원 서비스를 무료로 이용할 수 있는 것처럼 사용자들을 속이는 형태로 유포되고 있기 때문에 각별히 주의해야 합니다. 멜론 크랙앱을 사칭한 악성앱 설치 전 화면 지난 주말에 발견된 멜론 크랙버전은 안드로이드앱 형태였으며, 카카오스토리, 디씨인사이드, 블로그, 카페 등을 통해 유포되었습니다. 특히 방문자들이 매우 많은 네이버 대표 카페(주로 게임관련 카페)등을 통해 다수 유포된 것으로 확인되었습니다. 가장 문제가 되는 것은 해당앱이 실행된 상태에서 다른 앱으로의 전환을 방해하기 때문에, 사실상 스마..

악성코드 분석 리포트 2014. 3. 25. 11:15

2014년 2월 21일 오후 12시경부터 변조된 다수 사이트에서 드라이브 바이 다운로드 방식을 이용하여, 호스트파일을 변조시키는 악성코드가 발견되었습니다. 이 악성코드에 감염되면 호스트파일이 변조될 뿐만 아니라, 부팅 시 자동으로 해당 악성코드가 실행되도록 레지스트리에 자신을 등록합니다. 이번에 발견된 호스트파일 변조 악성코드의 특징은 호스트파일 변조 리스트에 기존 포털 사이트, 은행 사이트 이외에 증권사 사이트가 추가된 것입니다. 이번에 추가된 증권사 사이트 목록은 아래와 같습니다. ○ 호스트파일 변조 리스트에 추가된 증권사 사이트 미래에셋증권, 대신증권, 삼성증권, 동부증권, 키움증권 악성코드에 감염된 후 호스트파일이 변조되면 유명 포털사이트를 위장한 피싱사이트로 접속 악성코드에 감염된 후 호스트파일..

악성코드 분석 리포트 2014. 2. 21. 19:37