Trojan.Lecpetex -ALYac Division Malware Research 페이스북은 새로운 소통의 문화를 만든 세계 최대 소셜 네트워크 서비스(SNS)입니다. 그러나 다수의 사용자를 보유한 매체인만큼, 관련 악성코드도 계속하여 발생하고 있는데요. 2013년경 사용자가 모르게 페이스북 친구에게 악성파일을 첨부한 메시지를 보내 감염을 확산시키는 봇넷 악성코드가 그리스에서 발생되었습니다. (8월 보안동향보고서 중 해외 보안 동향에서 일본 보안 동향 1번 참고) [그림 1] 악성파일이 포함된 페이스북 메시지 그리스 경찰청의 통계 자료에 따르면, 해당 악성코드로 인해 약 25만대의 컴퓨터가 감염되었다고 합니다. 또한 페이스북 측은 약 50,000개에 이르는 페이스북 일반인 계정이 악성에 이용되었다고..

악성코드 분석 리포트 2014. 9. 25. 10:42

파밍 악성코드의 호스트파일 암호화 기법 고찰 들어가며... 여러분들 중 조금이나마 보안관련 뉴스에 관심을 갖고 보신 분이라면, 아마 한번쯤은 들어보셨을 것이라 생각됩니다. 올해는 그 어느 때보다 한국 맞춤형 전자금융사기용 악성파일이 특히 더 기승을 부리고 있는 해입니다. 일각에서는 ‘융단폭격’이라는 다소 과격한 표현까지 인용할 정도로 실제 광범위한 공격이 이뤄지고 있는 것이 관계 전문가들의 공통된 의견입니다. 파밍 기법의 전자금융사기는 육안으로 금융사이트의 진위여부를 판별하기 어렵게 만든 후, 이용자가 정상적인 인터넷 뱅킹 서비스로 착각하게 만듭니다. 그렇기 때문에 조작된 IP 주소를 실제 금융회사의 도메인 URL 주소로 연결하여 작동을 하도록 설계하겠지요. 파밍용 IP 주소는 범죄자들에 의해 매일 새롭..

악성코드 분석 리포트 2014. 9. 5. 09:26

Spyware.PWS.KRBanker.serv -ALYac Division Malware Research 해당 악성코드는 취약한 웹사이트를 경유지로 이용하여 유포되며, 수년간 비슷한 수법을 통해 다양한 변종을 만들어내고 있습니다. 제작자의 목적은 주로 금전적인 이득으로, 최근 몇 년 동안은 파밍(Pharming) 방식을 이용한 온라인 뱅킹 사용자를 타겟으로 하고 있습니다. 최근 발견된 악성코드 또한 금전적 취득을 목적으로 하여 공격한다는 점에서 크게 다르지 않지만, VPN(Virtual Private Network) 가상 사설망을 이용하여 탐지차단을 우회하려 한다는 점에서 기술적 차이가 있습니다. VPN이란, 인터넷망을 전용선처럼 사용할 수 있게 해주는 통신망입니다. 원거리에 있는 지점과 기존 전용선을 ..

악성코드 분석 리포트 2014. 8. 5. 09:21

Trojan.Keylogger.327680 -ALYac Division Malware Research 해당 악성코드는 사용자 정보를 가로채는 키로깅 기능과 감염된 PC를 조종할 수 있는 봇 기능을 가진 악성코드입니다. 기능상으로는 기존 악성코드와 별 차이가 없지만, 이번 샘플은 주변에서 흔히 볼 수 있는 식당, 마트, 백화점 등에서 신용카드로 물건을 구입할 때 활용하는 판매 시점관리 시스템(POS, Point of sales)을 대상으로 제작된 악성코드라는 점에서 주목할 만합니다. 특히, 국내에서 다수가 사용하고 있는 POS 업체의 아이콘과 파일명을 사용한 점에서, 이는 특정 타겟을 노리고 생성된 악성코드라고 볼 수 있습니다. 악성코드 순서도 악성코드 상세 분석 1. 악성파일 분석(Sample.exe) ..

악성코드 분석 리포트 2014. 7. 15. 09:38

Spyware.Android.PhoneSpy -ALYac Division Malware Research 최근 스마트폰 보안 이슈로 '스파이앱'에 대한 논란이 뜨겁습니다. 올 초 대규모 개인정보 유출 사건 등으로 사용자들이 '개인정보보호' 이슈에 한층 민감해진 가운데, 지난해 2월 국내에서 처음 발견된 스파이앱이 또 다시 기승을 부리고 있는 것으로 나타났습니다. 또한 최근 경찰이 스파이앱 관련 앱을 제작하면서 폴 안티스파이 앱과 함께 시중 백신들이 스파이앱을 얼마나 잡아낼 수 있는지 실험한 결과, 알약 안드로이드가 13개로 가장 많이 찾아냈고, 경찰청 앱은 12개, 안랩 V3 6개, 네이버 백신은 2개를 찾아냈습니다. (관련 기사 ▶참고) 스파이앱은 사용자 스마트폰에 설치되어 공격자가 원하는 데이터(통화 ..

악성코드 분석 리포트 2014. 7. 2. 13:23

IP를 10진수로 표기하여 백신 우회 시도하는 호스트파일 변조 악성코드 발견 일반적으로 사용자가 인터넷 웹페이지를 방문할 때에는 웹브라우저를 사용하며, 방문하고 싶은 페이지가 있으면 해당 페이지의 도메인 주소를 입력하여 이동합니다. 예를 들어 원래 줌닷컴의 IP주소는 121.189.40.10이지만, 사용자 편의를 위해 www.zum.com이라는 도메인 주소를 사용합니다. 둘 중 어떠한 정보를 넣어도 사용자는 줌 홈페이지에 접속할 수 있습니다. 뿐만 아니라 IP주소를 16진수, 8진수, 심지어 hex값으로 변환하여 입력해도 역시 변환하기 이전의 ip주소를 찾아가게 됩니다. 공격자들은 이를 악용하여 피싱 또는 파밍 공격을 시도합니다. 따라서 피해자들은 이로 인해 금융관련 피해를 입기도 하는데요. 이번에 새롭..

악성코드 분석 리포트 2014. 6. 11. 11:11

Trojan.Android.KRBanker -ALYac Division Malware Research 한국의 스마트폰 보급률은 73%에 달합니다. 이는 국민 10명중 7명이 스마트폰을 사용하고 있다는 이야기입니다. 폭발적인 스마트폰 성장세에 발맞춰, 악성앱 또한 폭발적인 증가세를 기록하고 있습니다. 악성앱 중 현재 국내에서 가장 위협적인 악성앱은 문자메시지로 유포되고 있는 스미싱(SMS + Phising의 합성어)앱입니다. 스미싱 메시지는 신뢰할 수 있는 사람이나 기업에서 보내는 메시지로 가장하고 있어, 무심코 URL을 클릭하는 등 메시지에 반응하면 금전적으로 손실을 입거나, 민감한 금융정보를 도난 당하게 됩니다. ‘Trojan.Android.KRBanker’는 사용자의 금융정보 탈취를 목적으로 하는 악..

악성코드 분석 리포트 2014. 6. 2. 11:33

안녕하세요. 이스트소프트입니다. 서울법원을 사칭한 스미싱 메시지 최근 스미싱이 급증한 가운데, 새로운 형태로 악성앱 다운로드를 유도하는 스미싱 사례가 발견되었습니다. 해당 스미싱 메시지는 ‘서울법원:사건 접수번호입니다 xxxx.xxxx.com’라는 문구로 사용자들에게 전송됩니다. 대법원으로 위장한 가짜 피싱 사이트 피싱 사이트에서 띄우는 자동입력방지를 위한 문자 입력 페이지 해당 스미싱 메시지를 받은 사용자가 메시지에 포함된 URL을 클릭하면 대법원을 위장한 피싱 사이트로 연결됩니다. 연결된 사이트에서 다운로드 버튼을 클릭하면, 자동입력방지를 위한 문자 입력 페이지가 나타납니다. 이 때, 올바르지 않은 정보를 입력하면 오류 메시지까지 띄우는 치밀함으로, 사용자에게 사이트에 대한 믿음을 심어줍니다. 또한 ..

악성코드 분석 리포트 2014. 5. 16. 13:11