[+] Security 썸네일형 리스트형 처음으로 스팸메일에 악성코드가 첨부되어 왔다!!!(악성코드가 아닌 것으로 판명!! 제대로 낚임 ㅠㅠ) 오늘 메일을 확인하였을 때 처음으로 나에게 악성코드가 첨부된 스팸메일이 와 있었다. [그림 1 - 스팸메일함으로 필터된 스팸메일] exe 파일이 아닌 것을 알고 조금 실망하였지만, exe 파일을 받도록 유도하는 파일 일 것 같아 받아서 소스를 열어보았다. 당연히 소스를 분석한 환경은 VM에 세팅해둔 말웨어 분석환경!!!! 소스는 다음 그림처럼 되어 있었다. [그림 2 - 첨부된 파일의 소스] 소스는 뭔가 이상한 문자들을 써서 복잡해 보이지만, 결국 변수에 어떠한 아스키 값을 넣어 하나의 문장으로 만들어주고 맨 마지막에 있는 document.location을 사용해 어디론가 이동하게 해준다. 어디로 이동해주는지 알기 위해서 document.location을 document.write로 바꿔주면 아래와 같이.. 더보기 Hewlett-Packard printers remote hacks Security fix available HP사의 프린터 취약점에 관한 내용입니다. 참고 URL : http://thehackernews.com/2011/12/hewlett-packard-printers-remote-hacks.html 더보기 악성코드(word.vbe) 간단한 추가 분석 너무너무 궁금해서 결국 분석환경에서 간단히 어떠한 동작을 하는지 보았다. 온라인 게임 계정탈취 악성코드는 아닌듯 하고, 200~으로 시작하는 파일이 Alcrm32.exe파일을 Drop해 실행시킨다. 또, logo09.exe파일은 레지스트리 중 Ahnlab Tray 레지스트리에 자신을 등록하게 삭제 된다. 나머지 파일 하나는 그냥 백도어 프로그램 이다.. 그리고 나서 200~ 파일은 인터넷 접속을 시도 하고, site/main/b.txt를 받으려고 하나 해당 사이트에서 조치가 취해졌는지 파일이 없어 다운받지 못하고 404 페이지만 서버로부터 받는다. [그림 1 - 패킷 스트림 모습] 해당 사이트는 현재 공사중이라고 표시되고 b.txt 파일은 다운로드 되지 않으므로 주소를 공개한다. 과연 저 b.txt파일에.. 더보기 악성코드(word.vbe) 분석(2011. 12. 14 수정) 네이버 지식인 모니터링 중 어떤 질문자가 다급하게 링크를 올리며 질문을 했던 적이 있었다(SIS 공부 기간에) 네이트온 쪽지로 이상한 URL이 왔다고 알아봐 달라는 질문 이었다. 바로 URL로 들어가니 어떠한 파일을 다운받는 링크가 나왔고 다운 받으니 word.vbe라는 VB Script 파일이었다. 네이트온 쪽지로 왔으니 악성코드가 맞는 것은 100% 일 것!! 하지만, 그때는 공부중이어서 분석을 하지 못했고, 오늘에서야 분석을 하게 되었다. 분석시간이 너무 걸려 중간에 그만 뒀지만 그래도 공부는 됬을거라 생각 된다. 바이러스 토탈로 검사 해 본 결과로는 많은 AV에서 탐지하지 못하고 있다는 것이다. 바이러스 토탈에서 이 악성코드를 탐지하는 AV는 4개정도밖에 없었다. 인증샷을 보여주고 싶지만, 현재 .. 더보기 삼성전자 갤S 개인정보 열람 가능!! 캐리어IQ 사건이 아직 식지도 않은 가운데 삼성전자가 결국 일을 냈내요. 갤S도 개인정보 열람이 가능하다는군요... 기본앱이 저런 기능을 하면 돈주고 내 개인정보를 팔겠다는 뜻이 되네요 스마트폰 살때.. 그나저나 갤S 시리즈는 모두 적용이 되는건가.. 저는 갤S 시리즈가 아니어서 잘 모르겠네요 ㅠㅠ 관련기사 : http://biz.chosun.com/site/data/html_dir/2011/12/05/2011120501548.html 더보기 이전 1 2 3 4 5 6 ··· 12 다음
