국내에서 제작되어져 포털사이트에서 특정 키워드를 검색 시 광고주의 사이트가 새창으로 노출되는 스폰서매치 프로그램에 대하여 살펴보겠습니다. 스폰서 프로그램으로 설치가 되어 사용자가 설치 여부를 인지하지 못하는 경우가 많습니다.



 생성파일 정보

C:\Program Files\sponsormatch\sponsormatch.exe - 시작프로그램 등록 / 메모리 상주
C:\Program Files\sponsormatch\sponsormatch_uninstall.exe - 프로그램 삭제



 레지스트리 정보

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
sponsormatch="C:\Program Files\sponsormatch\sponsormatch.exe"


시작프로그램으로 등록이 되어 자동 실행되도록 하고 있으며 sponsorma
tch.exe 파일이 메모리에 상주하여 사용자가 포털사이트 등에서 특정키워드를 입력 시 광고주의 사이트를 노출시킵니다.





 URL 정보

hxxp://api.sponsorkeyword.co.kr/api_search.php?k_encoding=
%EC%BB%B4%ED%93%A8%ED%84%B0&s_engine=search.naver.com&pid=p001

hxxp://api.sponsorkeyword.co.kr/forwarding.php?keycode=141473&sub_idx=&aff_code=p001&ip=x.x.x.x&service_type=
4&linkurl=http%3A%2F%2Fpcshop.dan***.com%2FStandardPC%2Fmain%2FserviceId%2Fsponsorkeyword%26_C_%3D37%26logger_kw%3Dsponsorkeyword226

hxxp://api.sponsorkeyword.co.kr/api_urlclose.php?pid=p001&ip=x.x.x.x&mac_addr=맥주소&domain=www.dan***.com&k_encoding=&fullurl=http://www.dan
***.comcar/?sponsorLink=GNBSponsor%26_C_=37%26logger_kw=sponsorkeyword177

광고주의 사이트를 노출시킴으로 광고대행업체에게 사용자 IP와 MAC 주소를 전송하는 것을 확인 할 수 있습니다.






특정 키워드 검색 시 광고주 홈페이지를 노출시키고 있으며 "자동차" 검색어를 입력 시 자동차 키워드에 해당되는 페이지를 노출시키는 것을 확인 할 수 있습니다. 사용자가 인터넷 사용 시 광고주 홈페이지 노출로 인하여 정상적인 인터넷 사용에 불편을 주고 있습니다.




 제거 방법

[제어판] -> [프로그램 추가/제거] 에서 sponsormatch 를 삭제하시면 됩니다.









'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] ws2help.dll 시스템파일 변조를 통한 계정유출 악성코드 (2011.11.19)  (4) 2011.11.23
[악성코드분석] 검색도우미 :: truepod  (0) 2011.11.21
[악성코드분석] 스마트보안 :: SmartBoan  (0) 2011.10.28
유해사이트 차단 프로그램 :: 안전지대 (SafeTerra)  (0) 2011.10.26
[악성코드분석] 검색도우미 :: Addendum-NM  (3) 2011.10.25
 





국내에서 제작되어져 악성파일을 실행 시 개인정보흔적을 제거하는 프로그램을 설치하며 사용자의 유료결제를 유도하는 SmartBoan 프로그램에 대하여 살펴보도록 하겠습니다.


실행파일 정보




 URL 정보

hxxp://update.zone****.co.kr/updater/popfile.exe
hxxp://momocell.com/log/install.php?mac=맥주소&code=000A



 생성파일 정보

C:\Documents and Settings\(사용자계정)\Application Data\popfile.exe - 시작프로그램 등록
C:\Documents and Settings\(사용자계정)\바탕 화면\00.bat - 설치 후 poploader.exe 파일 삭제



 레지스트리 정보

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
popfile="C:\Documents and Settings\Administrator\Application Data\popfile.exe"
[HKCU\Software\popFile]
version="1.00"


poploader.exe 실행 시 popfile.exe 파일을 다운로드하며 popfile.exe를 실행하여 사용자 PC의 Mac 주소와 코드정보를 momocell.com 사이트로 전달한 후 종료됩니다. 설치정보를 전달하여 배포자에게 금전적 수익이 발생될 것으로 추정됩니다. 또한 윈도우 재시작시에도 동일한 동작을 수행 후 종료됩니다.




추가적인 동작은 하지 않았으나 popfile.exe 파일을 살펴보면 원격서버로 부터 1021.exe 파일을 다운받아 자동 설치 되도록 하고 있습니다.





    추가 설치 프로그램 (1021.exe)



SmartBoan 이란 프로그램으로 컴퓨터의 사용흔적 및 사생활 보호를 목적으로 만들어진 프로그램입니다. 또한 삭제 시 결제를 유도하고 있으며 별도의 해지신청이 없을 경우 자동으로 연장되도록 하여 추가결제를 유도하고 있습니다.






생성파일 정보

C:\Program Files\SmartBoan\SmartBoan.exe
C:\Program Files\SmartBoan\SmartBoancfg.exe
C:\Program Files\SmartBoan\SmartBoanMon.exe
C:\Program Files\SmartBoan\uninst.exe



레지스트리 정보

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SmartBoan="C:\Program Files\SmartBoan\SmartBoan.exe"

시작프로그램으로 등록되어 재부팅 시 자동 시작되며 자동검사하여 결제를 유도하고 있으며 프로그램 종료시에도 결제를 하도록 하여 사용자의 불편을 주고 있습니다.





사생활 보호랍시고 검사한 항목이 정말 가~~관 입니다. 브라우져 옵션에서 클릭 한 번이면 삭제되는 걸 가지고 유료 결제를 하라고 하네요..뭐 이런 개XXX 같은 프로그램이 다 있을까요..






 제거방법

SmartBoan 프로그램만 삭제하면 재부팅 시 popfile.exe 파일로 인하여 재설치가 되므로 전부 삭제를 하셔야 합니다.

1. popfile.exe 제거
C:\Documents and Settings\(사용자계정)\Application Data\ 폴더로 이동 후 popfile.exe 파일을 제거하시면 됩니다.


2. SmartBoan 제거
[제어판] -> [프로그램 추가/제거] 에서 SmartBoan 프로그램을 삭제하시면 됩니다.





'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 검색도우미 :: truepod  (0) 2011.11.21
[악성코드분석] 검색도우미 :: SponsorMatch  (0) 2011.10.31
유해사이트 차단 프로그램 :: 안전지대 (SafeTerra)  (0) 2011.10.26
[악성코드분석] 검색도우미 :: Addendum-NM  (3) 2011.10.25
[악성코드분석] 검색도우미 :: QuickDomainSearch  (2) 2011.10.24

 




국내에서 제작되었으며 인터넷 중독 예방을 목적으로 안전한 인터넷 사용을 위한 안전지대 프로그램에 대하여 살펴보겠습니다.

스폰서 프로그램으로 설치가 되어져 유해프로그램일 꺼라 생각하고 분석했는데 까보니 그렇게 유해하진 않더라구요.. 포스팅 할까 망설였는데 투자한 시간이 아까워 속성으로 포스팅 합니다 ㅋ

오리지날 프로그램이랑 스폰서 프로그램으로 설치되는 차이점은 시작프로그램으로 등록이 되나 안되나 그 차이 밖에 없습니다.


 생성파일 정보

C:\Program Files\STerra - 디렉토리 (속성:숨김)
C:\Program Files\STerra\SafeTerra.exe  - 메모리 상주
C:\Program Files\STerra\SafeTerraUpdate.exe  - 시작 프로그램
C:\Program Files\STerra\STUninstall.exe  - 삭제 프로그램
C:\Program Files\STerra\TerraInfo.STR



 레지스트리 생성정보

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Safeterra="C:\Program Files\STerra\SafeTerraUpdate.exe"





해당 프로그램이 설치되면 SafeTerra.exe 가 메모리에 상주하고 있습니다.







혹시 검색도우미랑 비슷하지 않을까 해서 쇼핑몰 사이트에 접속했더니 역시나 광고창이 하나 뜨더군요.. 근데 더 이상 안뜹니다. ㅡㅡㅋ 재부팅해도 안뜨는걸 보니 최초 설치 후에 한 번 띄우는 것 같네요..







그래서 그냥 프로그램이나 살펴보기로 했습니다. 아래는 메인화면입니다.




참고로 직접 실행하지 않는 이상 위 화면은 죽어도 못 봅니다. 그리고 스폰서로 설치가 되었다면 시작프로그램으로 등록이 되지않기 때문에 설치 폴더를 찾아야 하며 숨김으로 되어 있어 폴더옵션에서 보기항목을 설정해야합니다.

저는 무슨 꼼수가 있어서 폴더를 숨겨놨을꺼라고 생각했는데 프로그램을 살펴보니 숨겨놓지 않으면 안되는 이유가 있더라구요.. 자녀들의 컴퓨터 사용을 감시하기 위한 프로그램인데 잠김기능이 없어~!!! ㅡㅡㅋ 감시해놔도 프로그램 실행해서 끄면 끝이더군요 ㅋㅋ 그래서 잘 찾지 못하도록 숨겨놓지 않았나 생각해봅니다. 근데 오리지날은 시작프로그램으로 등록되기 때문에 쉽게 실행할 수가 있어요.. 차라리 스폰서 프로그램이 낫다는..ㅡㅡㅋ

어쨌건 유해사이트 차단 기능 / 프로그램 차단 기능 / 컴퓨터 사용 시간 설정 등등.. 여러가지 기능이 있습니다. 유해사이트 차단 기능을 잠깐 테스트 해봤는데 어설프긴 하지만 차단은 되는군요.. 차단페이지가 404 에러가 뜨는것 빼고 초보자가 사용하기에는 무난한 프로그램인거 같습니다.





 삭제방법

그래도 혹여나 몰래 설치가 되어 매우 기분이 안좋으신 분들은 [제어판] -> [프로그램 추가/제거] 에서 해당 프로그램을 삭제하시면 됩니다.








'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 검색도우미 :: SponsorMatch  (0) 2011.10.31
[악성코드분석] 스마트보안 :: SmartBoan  (0) 2011.10.28
[악성코드분석] 검색도우미 :: Addendum-NM  (3) 2011.10.25
[악성코드분석] 검색도우미 :: QuickDomainSearch  (2) 2011.10.24
[악성코드분석] VSLay.dll :: 국내 온라인 게임 계정 탈취 목적의 악성코드  (0) 2011.10.13

 




국내에서 제작되어진 검색도우미 프로그램으로 국내 포털사이트 및 쇼핑사이트에서 특정 검색어를 입력시 해당 웹사이트 팝업창을 띄우는 adm-mgr 프로그램에 대하여 살펴보겠습니다.


 생성파일 정보

C:\Program Files\Addendum
C:\Program Files\Addendum\admmgr.exe  - 메모리 상주
C:\Program Files\Addendum\admrup.exe  - 시작프로그램
C:\Program Files\Addendum\iesb_nm.dll
C:\Program Files\Addendum\iesm_nm.dll  - BHO 등록
C:\Program Files\Addendum\uninstall.exe  - 프로그램 삭제



 레지스트리 정보

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"
C:\Program Files\Addendum\admrup.exe


재부팅 시 자동실행 되도록 동작하고 있습니다. 해당 프로그램이 설치가 되면 admmgr.exe 파일이 메모리에 상주하고 있습니다.




admmgr.exe 프로세스는 iexplorer.exe 프로세스를 감지하고 있으며 사용자가 웹 브라우저를 시작 시 iexplorer.exe 프로세스에 iesm_nm.dll 을 로드하여 BHO 등록을 하도록 동작합니다.





웹 브라우저 추가기능 관리 확인 시 iesm_nm.dll 이 등록되어 있으며 브라우저 확장 형식으로 옥션 바로가기가 등록이 되어 웹 브라우저 도구모음에 옥션이 등록되어 있는 것을 확인할 수 있습니다.






사용자가 인터넷 검색창에 특정 키워드를 입력 시 관련 사이트를 새창으로 사용자에게 보여주기 전 광고와 관련된 url을 먼저 수행한 후 해당 사이트로 리다이렉션 하는 동작을 합니다. 이러한 방식은 광고 클릭 시 발생하는 수익의 일부를 광고 계시자에게 주는 형태로 되어 있으며 대부분 온라인 광고들이 이러한 수익구조로 되어있습니다. 







 제거방법

프로그램 사용을 원치 않으시면 제어판 -> 프로그램 추가/제거 에서 해당 프로그램을 삭제하시면 됩니다. 설치된 프로그램명은 Addendum - NM 로 되어 있습니다.






'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 스마트보안 :: SmartBoan  (0) 2011.10.28
유해사이트 차단 프로그램 :: 안전지대 (SafeTerra)  (0) 2011.10.26
[악성코드분석] 검색도우미 :: QuickDomainSearch  (2) 2011.10.24
[악성코드분석] VSLay.dll :: 국내 온라인 게임 계정 탈취 목적의 악성코드  (0) 2011.10.13
[정보] 파일쿡에서 제공하는 프로그램 설치 시 주의할 점  (0) 2011.10.07




국내에서 제작되어진 검색도우미 프로그램으로 주소창에 검색어를 입력시 해당 페이지로 이동하도록 하는 QuickDomainSearch 프로그램에 대하여 살펴보겠습니다.


 생성파일 정보

C:\Program Files\QuickDomainSearch
C:\Program Files\QuickDomainSearch\001.dat
C:\Program Files\QuickDomainSearch\002.dat
C:\Program Files\QuickDomainSearch\ar.dat
C:\Program Files\QuickDomainSearch\QuickDomainSearch.exe



 레지스트리 정보

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"
C:\Program Files\QuickDomainSearch\QuickDomainSearch.exe


재부팅 시 자동실행 되도록 동작하고 있습니다. 해당 프로그램이 설치가 되면 QuickDomainSearch.exe 파일이 프로세스에 상주하고 있습니다.






사용자가 인터넷 주소창에 특정 키워드를 입력 시 해당 키워드와 관련 된 광고 url으로 접속 후 해당 페이지로 리다이렉션 하는 동작을 합니다. 이러한 방식은 광고 계시자에게 커미션이 발생하는 구조로 되어 있으며 대부분 온라인 광고들이 이러한 수익구조로 되어있습니다.





 제거방법

프로그램 사용을 원치 않으시면 제어판 -> 프로그램 추가/제거 에서 해당 프로그램을 삭제하시면 됩니다. 설치된 프로그램명은 QuickAddressSearch 로 되어 있습니다.






'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

유해사이트 차단 프로그램 :: 안전지대 (SafeTerra)  (0) 2011.10.26
[악성코드분석] 검색도우미 :: Addendum-NM  (3) 2011.10.25
[악성코드분석] VSLay.dll :: 국내 온라인 게임 계정 탈취 목적의 악성코드  (0) 2011.10.13
[정보] 파일쿡에서 제공하는 프로그램 설치 시 주의할 점  (0) 2011.10.07
[백신프로그램] 악성코드 치료 프로그램 :: 비즈백신  (0) 2011.10.07




The Add-in “Kaspersky Mail Checker” (C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\mcou.dll) cannot be loaded and has been disabled by Outlook

 
 
카스퍼스키 백신 프로그램 설치 후 Outlook 실행 시 에러메시지 때문에 머리가 빡 돌아가시는 줄 알았습니다. 메일을 클릭할 때마다 나타나서는 저를 괴롭히더군요..ㅡㅡㅋ

에러 메시지를 보니 아웃룩에서 메일 체커를 로드하지 못해서 disable 했다네요.. 쩝..

어쨋든 레지스트리에서 mcou.dll 을 빼고 다시 로드하면 됩니다.



명령어를 이용한 방법이므로 시작 --> 실행에서 아래 명령어를 쏴줍니다.

1. regsvr32 -u <"카스퍼스키설치 경로">\mcou.dll
2. regsvr32 <"카스퍼스키설치 경로">\mcou.dll


예)regsvr32 -u "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\mcou.dll"




명령어 두 줄이면 끝납니다.
저와 같은 경험하시는 분들은 이걸로 두통 해결하세요~







'할롬::컴터 > 정보보안' 카테고리의 다른 글

윈도우 / 리눅스 명령어를 이용하여 원하는 크기의 파일 생성하는 방법  (1) 2012.03.13
OllyDBG를 이용한 UPX 언패킹  (6) 2011.11.21
[보안상식] 윈도우 무한 재부팅 원인 확인 및 해결 방법  (0) 2011.09.16
Adobe Flash Player 최신버전으로 업데이트  (0) 2011.08.29
Adobe Flash Player 구버전 다운받기  (0) 2011.08.29







MS에서 2011년 10월 12일정기 보안 업데이트 공지가 나왔습니다.


<영향받는 소프트웨어>

Windows XP / Vista / 7
Windows Server 2003 / 2008 / 2008 R2
Internet Explorer 6 / 7 / 8 / 9
<요약>

Active Accessibility 에서 발생하는 취약점으로 인한 원격코드 실행 문제,  윈도우 미디어센터 에서 발생하는 취약점으로 인한 원격코드 실행 문제, 윈도우 커널모드 드라이버에서 발생하는 취약점으로 인한 원격 코드 실행 문제, .NET Framework 및 실버라이트에서 발생하는 취약점으로 인한 원격코드실행 문제, Forefront Unified Access Gateway에서 발생하는 취약점으로 인한 원격코드 실행 문제, Ancillary Function Driver 에서 발생하는 취약점으로 인한 권한상승 문제, 인터넷 익스플로러 누적보안 패치, Host Integration Server 에서 발생하는 취약점으로 인한 서비스 거부 문제점을 보완한 Microsoft 10월 정기 보안 업데이트를 발표하였습니다.

<상세정보>

(MS11-075) Active Accessibility 에서 발생하는 취약점으로 인한 원격코드 실행 문제점
이 보안 업데이트는 비공개로 보고된 Microsoft Active Accessibility 구성 요소의 취약점 1건을 해결합니다. 이 취약점으로 인해 공격자가 사용자로 하여금 특수하게 조작된 DLL(동적 연결 라이브러리) 파일과 동일한 네트워크 디렉터리에 있는 합법적인 파일을 열도록 유도할 경우 원격 코드 실행이 허용될 수 있습니다. 결과적으로 합법적인 파일을 열 때 Microsoft Active Accessibility 구성 요소가 DLL 파일 로드 및 포함된 코드 실행을 시도할 수 있습니다. 공격에 성공하려면, 사용자가 신뢰할 수 없는 원격 파일 시스템 위치 또는 WebDAV 공유를 방문하거나 이러한 위치에서 취약한 응용 프로그램이 로드되는 문서를 열어야 합니다.
 


(MS11-076) 윈도우 미디어센터 에서 발생하는 취약점으로 인한 원격코드 실행 문제점
이 보안 업데이트는 Windows Media Center의 공개된 취약점 1건을 해결합니다. 이 취약점으로 인해 공격자가 사용자로 하여금 특수하게 조작된 DLL(동적 연결 라이브러리) 파일과 동일한 네트워크 디렉터리에 있는 합법적인 파일을 열도록 유도할 경우 원격 코드 실행이 허용될 수 있습니다. 이렇게 하면 합법적인 파일을 열 때 Windows Media Center가 DLL 파일 로드 및 포함된 코드 실행을 시도할 수 있습니다. 공격이 성공하려면 사용자가 신뢰할 수 없는 원격 파일 시스템 위치 또는 WebDAV 공유를 방문한 후 합법적인 파일을 열어야 합니다.
 


(MS11-077) 윈도우 커널모드 드라이버에서 발생하는 취약점으로 인한 원격 코드 실행 문제점
이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 4건을 해결합니다. 이 중 가장 심각한 취약점으로 인해 사용자가 특수하게 조작된 글꼴 파일(예: .fon 파일)을 네트워크 공유, UNC 또는 WebDAV 위치, 전자 메일 첨부 파일에서 열 경우 원격 코드 실행이 허용될 수 있습니다. 원격 공격이 성공하려면 사용자는 신뢰할 수 없는 원격 파일 시스템 위치나 WebDAV 공유에 방문하여 특수하게 조작된 글꼴 파일을 열거나 해당 파일을 전자 메일 첨부 파일로 열어야 합니다.



(MS11-078) .NET Framework 및 실버라이트에서 발생하는 취약점으로 인한 원격코드실행 문제점
이 보안 업데이트는 Microsoft .NET Framework 및 Microsoft Silverlight에서 비공개적으로 보고된 취약점을 해결합니다. 사용자가 XBAP(XAML 브라우저 응용 프로그램) 또는 Silverlight 응용 프로그램을 실행할 수 있는 웹 브라우저를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 이 취약점으로 인해 클라이언트 시스템에서 원격 코드가 실행될 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다. 서버에서 ASP.NET 페이지 처리를 허용하고 공격자가 해당 서버에 특수하게 조작한 ASP.NET 페이지를 성공적으로 업로드하여 실행할 경우 이 취약점으로 인해 IIS를 실행하는 서버 시스템에서 원격 코드 실행이 허용될 수 있습니다. 이러한 경우는 웹 호스팅 시나리오에서 발생할 수 있습니다. 이 취약점은 CAS(코드 액세스 보안) 제한을 우회하기 위해 Windows .NET 응용 프로그램에서 사용될 수도 있습니다.
 


(MS11-079) Forefront Unified Access Gateway에서 발생하는 취약점으로 인한
 원격코드 실행 문제점
이 보안 업데이트는 Microsoft Forefront UAG(Unified Access Gateway)에서 비공개적으로 보고된 취약점 5건을 해결합니다. 이 중 가장 심각한 취약점으로 인해 사용자가 특수하게 조작된 URL을 사용하여 영향 받는 웹 사이트를 방문할 경우 원격 코드 실행이 허용될 수 있습니다. 그러나 공격자는 강제로 사용자가 이러한 웹 사이트를 방문하도록 만들 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 공격자의 웹 사이트를 방문하도록 유도하는 것이 일반적입니다.
 
 

(MS11-080) Ancillary Function Driver 에서 발생하는 취약점으로 인한 권한상승 문제점
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows Ancillary Function Driver(AFD)의 취약점을 해결합니다. 공격자가 사용자의 시스템에 로그온하고 특수하게 조작된 응용 프로그램을 실행할 경우 이 취약점으로 인해 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다.
 


(MS11-081) 인터넷 익스플로러 누적보안 패치
이 보안 업데이트는 Internet Explorer에서 발견되어 비공개적으로 보고된 취약점 8건을 해결합니다. 가장 위험한 취약점으로 인해 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 하나를 성공적으로 악용한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
 


(MS11-082) Host Integration Server 에서 발생하는 취약점으로 인한 서비스 거부 문제점
이 보안 업데이트는 Host Integration Server에서 발견되어 공개적으로 보고된 취약점 2건을 해결합니다. 이 취약점은 원격 공격자가 UDP 포트 1478 또는 TCP 포트 1477 및 1478에서 수신하는 Host Integration Server에 특수하게 조작된 네트워크 패킷을 전송할 경우 서비스 거부를 허용할 수 있습니다. 최상의 방화벽 구성 방법과 표준 기본 방화벽 구성을 이용하면 기업 경계 외부에서 들어오는 공격으로부터 네트워크를 보호할 수 있습니다. 인터넷과 연결되는 시스템의 경우, 필요한 포트만 최소한으로 열어 두는 것이 안전합니다. 이런 경우 Host Integration Server 포트를 인터넷에서 차단해야 합니다.
 

<참조사이트>
한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms11-oct
영문 : http://technet.microsoft.com/en-us/security/bulletin/ms11-oct


'할롬::컴터 > 보안업데이트' 카테고리의 다른 글

[업데이트] Microsoft 긴급 보안 업데이트 (2011.12.30)  (0) 2012.01.05
[업데이트] Microsoft 보안 업데이트 (2011.11.9)  (0) 2011.11.14
[업데이트] Adobe Flash Player 다중 취약점 업데이트 권고 (2011.09.22)  (0) 2011.09.23
[업데이트] Microsoft 보안 업데이트 (2011.09.14)  (0) 2011.09.15
[업데이트] Microsoft 보안 업데이트 (2011.07.13)  (0) 2011.07.13



국내 온라인 게임 계정 탈취 목적인 VSLay.dll 악성파일에 대하여 살펴보겠습니다. 해당 악성코드는 변조된 사이트를 통해서 감염된 것으로 추정되며 아마도 Adobe Flash Player 취약점을 이용했을 가능성이 높지 않을까 싶네요..저는 샘플만 가지고 있어 정확한 감염 경로는 확인하지 못했습니다.

카스퍼스키 보안제품에서는 Rootkit.Win32.Agent.bnhw 진단명으로 탐지하고 있습니다.

동적분석을 위해 iexplorer.exe 프로세스에 dll을 삽입한 후 동작여부를 확인 해 보았습니다.
VSLay.dll 이 로드되면서 여러가지 파일들이 생성되며 국내 보안제품인 V3Lite, 알약, 네이버백신, 바이러스체이서 등이 설치되어 있는지 확인 하는 것으로 보아 정상적인 사용을 방해 하는 것으로 추정됩니다.

저는 카스퍼스키 제품을 사용중인데 악성코드에 감염이 되면 실시간 감시를 방해하고 있는 것을 확인할 수 있습니다.



 생성파일 정보

C:\Windows\midisappe.dll
C:\Windows\image.jpg
C:\Windows\ver.dat
C:\Windows\wallball.dat
C:\Windows\windowswalls.bmp - 숨김파일

C:\Windows\tasks\midisappe.dat - 루트킷
C:\Windows\tasks\nrfsny.dat - 루트킷
C:\Windows\tasks\ahnsvr.dat - 루트킷

C:\Windows\system32\midisappe.dll
C:\Windows\system32\drivers\ahnsvr.sys - 루트킷
C:\Windows\system32\drivers\ntfsny.sys - 루트킷


 레지스트리 정보

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ahnsvr]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntgsny]



midisappe.dll 파일은 explorer.exe 및 iexplorer.exe 외 다수의 프로세스에 로드 되어 있으며 정상적인 midimap.dll(Microsoft MIDI Mapper) 파일인 것처럼 위장하고 있습니다.



iexplorer.exe 를 감시하여 사용자가 넥슨, 피망, 한게임, 엔씨소프트, 넷마블등 국내 온라인 게임 사이트 접속 시 해커의 서버로 사용자의 계정을 탈취하고 있습니다. IP추적 결과 해커서버의 위치는 홍콩으로 확인 됩니다.




 악성파일 제거 방법

루트킷은 커널단에서 실행이 되기 때문에 탐색기에서 보여지지 않기 때문에 설치된 악성파일들을 제거하기 위해서는 루트킷 툴을 이용하여야 합니다. 프리웨어 툴인 GMER 을 다운받아 실행하시면 됩니다.

▶ GMER 다운받기

해당 툴을 실행하면 자동으로 스캔을 시작하며 루트킷이 발견되면 전체 스캔을 하라는 알림창이 뜨는데 시간이 오래걸리므로 무시하시고 [Services, Files] 항목만 체크하여 스캔을 합니다. 스캔이 완료되면 해당 항목을 클릭하여 삭제하시면 됩니다. 나머지 파일은 해당 위치에서 삭제하시면 되고 숨김파일이 있으므로 폴더옵션에서 [숨김파일 및 폴더 표시]에 체크하여야 합니다. 악성파일 제거 후 바이러스 검사를 꼭 하시기 바랍니다.


 





'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 검색도우미 :: Addendum-NM  (3) 2011.10.25
[악성코드분석] 검색도우미 :: QuickDomainSearch  (2) 2011.10.24
[정보] 파일쿡에서 제공하는 프로그램 설치 시 주의할 점  (0) 2011.10.07
[백신프로그램] 악성코드 치료 프로그램 :: 비즈백신  (0) 2011.10.07
[악성코드분석] 검색도우미 :: FineTop  (4) 2011.09.30


지난 번 디스크매니아와 알약코리아 사이트에 대하여 포스팅 하였는데 혹시나 하고 다시 들어가보니 다른 사이트로 리다이렉션 하더군요..ㅡㅡㅋ 새로운 이름으로 서버를 추가했습니다.

사이트를 검색 해보니 기존 파일공유 사이트인 쿡파일과 이름이 비슷합니다.. 아무래도 계속 이름을 바꾸어 서비스할 것 같다는 생각이 문득 드네요.. 아니면 알약에서 뭐라고 했나..ㅋ
어쨌든 기록용으로 남겨봅니다.

자세한 내용은 아래 링크를 클릭하셔서 보시면 됩니다.

[정보] 디스크매니아, 알약코리아에서 제공하는 프로그램 설치 시 주의할 점


해당 사이트는 알약코리아 사이트 대신 파일쿡이란 이름으로 바뀌었으며 알약코리아 접속 시 리다이렉션 됩니다. 사이트를 보면 로그만 바뀌고 전부 전 사이트와 동일합니다.







'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 검색도우미 :: QuickDomainSearch  (2) 2011.10.24
[악성코드분석] VSLay.dll :: 국내 온라인 게임 계정 탈취 목적의 악성코드  (0) 2011.10.13
[백신프로그램] 악성코드 치료 프로그램 :: 비즈백신  (0) 2011.10.07
[악성코드분석] 검색도우미 :: FineTop  (4) 2011.09.30
태그를 이용한 javascript 난독화 분석 방법  (1) 2011.09.30



국내에서 만들어진 악성코드 치료 프로그램인 비즈백신 (BizVaccine)에 대하여 살펴보겠습니다. 테스트 프로그램은 비즈백신 사이트에서 배포하는 파일이 아닌 제휴업체에서 배포하는 프로그램으로 작성하였습니다.



- 제휴사에서 배포중인 설치 파일 (top는 제휴사 ID로 추정됨, 정상파일시 ID는 bizvaccine임)



해당파일은 카스퍼스키 보안제품에서 Trojan.Win32.FakeAV.emgs 진단명으로 진단하고 있습니다.


정상적인 설치 파일과는 다르게 설치 과정이 사용자에게 보여지지 않는 것으로 보아 다른 프로그램 설치 시 제휴 프로그램으로 설치가 될 것으로 예상이 됩니다.



  URL 정보

hxxp://www.bizvaccine.co.kr/APP/pf_ck.php?v1=top (제휴사이름으로 추정)
hxxp://www.bizvaccine.co.kr/etc/yak_app.htm  - (이용약관페이지)
hxxp://www.bizvaccine.co.kr/dbk.php
hxxp://www.bizvaccine.co.kr/mbk.php?v1=top&v2=(사용자 MAC Address)
hxxp://www.bizvaccine.co.kr/value.php?strMode=setup&strID=top&strPC=(사용자 MAC Address)|&strSite=bizvaccine.co.kr

upstat.bizvaccine.co.kr/APP/ck_setup.php?m=(사용자 MAC Address)&d=bizvaccine.co.kr&a=top

 - 업데이트 다운로드 파일
hxxp://update.bizvaccine.co.kr/version/version
hxxp://update.bizvaccine.co.kr/version/bina/bizvaccineu.exe
hxxp://update.bizvaccine.co.kr/version/bina/bizvaccine.exe
hxxp://update.bizvaccine.co.kr/version/bina/bizvaccined.dll
hxxp://update.bizvaccine.co.kr/version/bina/uninst_bizvaccine.exe
hxxp://update.bizvaccine.co.kr/version/bina/bizvaccinestart.exe
hxxp://update.bizvaccine.co.kr/version/bina/EGutil.dll




  생성파일 / 폴더

C:\Program Files\bizvaccine
C:\Program Files\bizvaccine\bizvaccine.exe (프로그램실행파일)
C:\Program Files\bizvaccine\bizvaccined.dll
C:\Program Files\bizvaccine\bizvaccinestart.exe (프로세스 상주 파일)
C:\Program Files\bizvaccine\bizvaccineu.exe (업데이트파일)
C:\Program Files\bizvaccine\EGutil.dll
C:\Program Files\bizvaccine\uninst_bizvaccine.exe (프로그램삭제파일)
C:\Documents and Settings\All Users\시작 메뉴\프로그램\bizvaccine
C:\Documents and Settings\All Users\시작 메뉴\프로그램\bizvaccine\bizvaccine.lnk



  생성레지스트리

[HKCU\Software\Microsoft\Internet Explorer]
"bizvaccine_top"=1

[HKLM\SOFTWARE\bizvaccine] 
"code1"=top

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"bizvaccine main"="C:\Program Files\bizvaccine\bizvaccineu.exe /8L"
"bizvaccinestart.exe"="C:\Program Files\bizvaccine\bizvaccinestart.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\bizvaccine]
"UninstallString"=C:\Program Files\bizvaccine\uninst_bizvaccine.exe




제휴사에서 배포하는 프로그램은 설치여부를 사용자가 인지하지 못하도록 하기위해 설치 후 실행되지 않고 재부팅 후에 실행되도록 동작합니다. 프로그램 옵션에 윈도우 시작시 실행되도록 체크가 되어 있으며 정상적인 파일은 기본적으로 체크가 해제 되어 있습니다.

 





또한 시작 프로그램으로 등록이 된 PC는 윈도우 재부팅 시 악성코드 검사가 이루어집니다. 사용자가 환경설정에서 [윈도우 부팅시 실행] 체크를 해제 하기 전까지 매 부팅시마다 검사가 이루어져 사용자에게 불편을 주고 있습니다.




검사 후 악성코드가 발견이 되면 치료를 위한 결제창이 띄워지며 결제 시 악성코드를 치료하도록 되어 있습니다. 결제 후 사용자의 별도 해지 요청이 없을 시 자동 연장되기 때문에 사용자의 주의가 필요합니다.





  프로그램 삭제 방법
해당 프로그램을 사용하길 원치 않으신 분들은 [제어판] --> [프로그램추가/제거] 에서 해당 목록을 삭제하시면 됩니다.










'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] VSLay.dll :: 국내 온라인 게임 계정 탈취 목적의 악성코드  (0) 2011.10.13
[정보] 파일쿡에서 제공하는 프로그램 설치 시 주의할 점  (0) 2011.10.07
[악성코드분석] 검색도우미 :: FineTop  (4) 2011.09.30
태그를 이용한 javascript 난독화 분석 방법  (1) 2011.09.30
[정보] 디스크매니아, 알약코리아에서 제공하는 프로그램 설치 시 주의할 점  (0) 2011.09.23

                               자바스크립트 난독화 되어있을 경우 자동으로 분석해주는 유용한 사이트가 
                               있어 소개를 합니다. 아시는 분은 다 아시는 사이트라 굳이 다른 부가적인
                               말은 하지 안겠습니다.

                                       
 

                                메인화면 입니다. 스크립트 소소나 파일을 업로드 하고 Submit URL(s) 를 클릭
                                하면 자동으로 난독화 된 소스를 분석하며 분석결과를 단계별로 보여줍니다.
                               



                                 
                               

'할롬::컴터 > 악성코드소식' 카테고리의 다른 글

[악성코드소식] Space와 Tab키를 이용한 보이지 않는 JavaScript를 이용한 악성코드 유포 (2012.1.1)  (0) 2012.01.03
[악성코드소식] ws2help.dll 변종 악성코드로 인한 부팅 장애 발생  (0) 2011.07.06
[악성코드소식] 시스템 파일 변조하는 악성스크립트 주의~!  (0) 2011.06.24



 
국내에서 제작되어졌으며 특정 사이트 접속 시 Internet Explorer 웹 브라우저 상단에 검색바(bar)가 생성되는 검색도우미 FineTop 프로그램에 대하여 살펴 보겠습니다.




 생성파일 정보

C:\Program Files\FineTop
C:\Program Files\FineTop\1
C:\Program Files\FineTop\FineTop.dll - BHO 등록
C:\Program Files\FineTop\FineTop.exe - 시작 프로그램 및 메모리 상주
C:\Program Files\FineTop\Uninstall.exe - 프로그램 삭제



 레지스트리 등록 정보
 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
FineTop="C:\Program Files\FineTop\FineTop.exe"

 
 
 

 
프로그램이 설치가 되면 실행파일인 FineTop.exe 프로세스란 이름으로 상주하며 레지스트리에 등록되어 시작시 자동 실행되며 업데이트를 체크하고 있습니다.







사용자가 Internet Explorer 실행 시 FineTop.dll 이 로드되어 동작하며 특정 키워드 검색 시 웹 브라우저 상단에 검색바가 나타납니다.









[웹 브라우저 -> 도구 -> 추가기능관리] 에서 FineTop.dll 이 BHO 형식으로 로드되어 있는 것을 확인할 수 있습니다.






 제거방법

해당 프로그램을 사용하기 원치 않으시는 분들은 [제어판 --> 프로그램 추가/제거] 에서 FineTop 항목을 제거하시면 됩니다.






'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[정보] 파일쿡에서 제공하는 프로그램 설치 시 주의할 점  (0) 2011.10.07
[백신프로그램] 악성코드 치료 프로그램 :: 비즈백신  (0) 2011.10.07
태그를 이용한 javascript 난독화 분석 방법  (1) 2011.09.30
[정보] 디스크매니아, 알약코리아에서 제공하는 프로그램 설치 시 주의할 점  (0) 2011.09.23
U+202E(RTLO) 유니코드를 이용한 확장자 변조 취약점 악성파일 유포 주의  (2) 2011.09.15

대부분의 악성코드 제작자들은 자기가 만든 코드들이 오래동안 사용되어져 많은 사용자들에게 감염이 되도록 하는게 목적입니다. 만약 코드를 누구나 알아보기 쉽게 만들었다면 금방 차단되어지고 말겠죠.. 그래서 악성코드 제작자들은 최대한 분석이 어렵도록 하기위해 여러가지 방식의 인코딩을 하게 되는겁니다.

난독화 된 코드를 분석하는 방법도 여러가지가 있지만 필자는 간단하게 <textarea>태그를 이용하여 확인 해보는 방법을 알려드리겠습니다.
사실 저도 잊어먹지 않기 위해서 포스팅하는 것도 있구요.. ^^




우선 테스트를 위해 준비한 코드를 한 번 보겠습니다.
우측에 스크롤바를 한 번 보시죠.. 스크롤 압박이 장난 아닙니다.






맨 아래 코드입니다. 보시는 것처럼 위의 iframe_str 변수를 받아서 출력하도록 되어 있습니다. 지저분한 코드를 좀 깔끔(?)하게 만들었습니다. 자~ 여기서 document.write 대신 alert 을 이용하여 해당 코드를 확인할 수 있습니다.
 




alert 를 이용하여 코드를 확인 시 스크롤 압박으로 인해 밑의 화면이 짤렸습니다.
                           






즉, 코드가 길 경우에는 alert 로 확인이 어려운 부분이 있습니다. 그래서 <textarea> 태그를 사용하게 되면 아무리 긴 코드라도 쉽게 확인 할 수가 있습니다. 다시<textarea> 태그를 사용하여 코드를 바꿔보았습니다.

사용 예시)
document.write ("<textarea rows=20 cols=100>" + (변수값) + "</textarea>");



                     
위의 코드를 실행 시 아래와 같이 쉽게 코드를 확인할 수가 있습니다. 코드길이에 따라서 alert 이나 <textarea> 태그를 적절히 사용하면 되겠습니다.


'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[백신프로그램] 악성코드 치료 프로그램 :: 비즈백신  (0) 2011.10.07
[악성코드분석] 검색도우미 :: FineTop  (4) 2011.09.30
[정보] 디스크매니아, 알약코리아에서 제공하는 프로그램 설치 시 주의할 점  (0) 2011.09.23
U+202E(RTLO) 유니코드를 이용한 확장자 변조 취약점 악성파일 유포 주의  (2) 2011.09.15
[악성코드분석] Adobe Flash Player 취약점(CVE-2011-2110)을 이용한 xpsp2res.dll 악성코드 유포  (0) 2011.08.29




프리웨어 무료 자료실 사이트인 디스크매니아와 알약코리아에 대하여 살펴보도록 하겠습니다.

여기서 제공하는 자료를 다운받아 설치 시 해당사이트와 제휴하는 프로그램들이
사용자가 원치 않게 설치될 수 있어 설치 시 사용자의 주의가 필요합니다.


우선 위 두 사이트를 비교해보면 도메인과 로고이미지만 다르고 메인 페이지는 같은 동일 서버로 확인이 됩니다.



해당 설치 프로그램을 다운받아 보겠습니다. 테스트를 위해 아무거나 다운 받아봅니다.



정상적인 설치파일 처럼 보입니다.
해당 파일을 실행해보면 정상적인 실행파일이 아닌 다운로드 매니저 파일임을 알 수 있습니다.



여기서 사용자들이 주의 하셔야 할 부분인데 바로 전송시작을 클릭 할 경우 오른쪽 하단의 제휴 프로그램들이
사용자의 동의 없이 설치가 될 수 있으며 시작 페이지가 변경이 됩니다.


설치되는 검색도우미들은 다음과 같습니다.

- 이지온 검색도우미
- 쇼핑도우미 위즈서치
- 검색도우미 WallTab
- 야후 시작페이지 설정



:: 복구 방법 ::

사용자 실수로 해당 프로그램들이 설치가 되었다면
[제어판 --> 프로그램 추가/제거] 에서 확인 후 삭제하시면 됩니다.





시작페이지 변경은
[인터넷 익스플로러 --> 도구 --> 인터넷옵션] 에서 변경할 주소를 입력 후 확인을 클릭하시면 됩니다.














'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 검색도우미 :: FineTop  (4) 2011.09.30
태그를 이용한 javascript 난독화 분석 방법  (1) 2011.09.30
U+202E(RTLO) 유니코드를 이용한 확장자 변조 취약점 악성파일 유포 주의  (2) 2011.09.15
[악성코드분석] Adobe Flash Player 취약점(CVE-2011-2110)을 이용한 xpsp2res.dll 악성코드 유포  (0) 2011.08.29
[악성코드분석] 검색도우미 :: GuiedOn  (0) 2011.08.12




Adobe Flash Player 다중 취약점 업데이트를 발표하였습니다.
10.3.183.7 이하 버전에서 발생하므로 낮은버전을 사용중이신 분들은 최신버전으로 업데이트를 꼭 하시기 바랍니다.

Adobe Flash Player 최신버전으로 업데이트


<영향받는 소프트웨어>
 
 - 윈도우, 매킨토시, 리눅스, 솔라리스 환경에서 동작하는 Adobe Flash Player 10.3.183.7 및 이전 버전
 - 안드로이드 환경에서 동작하는 Adobe Flash Player 10.3.186.6 및 이전 버전

<상세정보>
 
 - XSS 발생 취약점(CVE-2011-2444)
  ※ 해당 취약점의 경우 이메일, 조작된 웹사이트 링크 등을 이용한 실제 악용사례가 발생하고 있어,
      사용자의 주의를 요함
 - AVM 스택 오버플로우로 인한 원격코드실행 취약점(CVE-2011-2426)
 - AVM 스택 오버플로우로 인한 서비스 거부 및 원격코드실행 취약점(CVE-2011-2427)
 - 로직에러로 인한 브라우저 크래쉬 및 코드실행이 될 수 있는 취약점(CVE-2011-2428)
 - Flash Player 보안컨트롤 기능 우회를 통한 정보요출 취약점(CVE-2011-2429)
 - 스트라밍 미디어 로직 에러로 인해 코드실행으로 이어질 수 있는 취약점(CVE-2011-2430) 




'할롬::컴터 > 보안업데이트' 카테고리의 다른 글

[업데이트] Microsoft 보안 업데이트 (2011.11.9)  (0) 2011.11.14
[업데이트] Microsoft 보안 업데이트 (2011.10.12)  (0) 2011.10.17
[업데이트] Microsoft 보안 업데이트 (2011.09.14)  (0) 2011.09.15
[업데이트] Microsoft 보안 업데이트 (2011.07.13)  (0) 2011.07.13
[업데이트] Microsoft 보안 업데이트 (2011.06.15)  (0) 2011.06.22

티스토리툴바