ASEC Report

Size: px
Start display at page:

Download "ASEC Report"

Transcription

1 1. 악성코드 메신저관련악성코드와테러뉴스를위장한월덱 (Waledac) 변형 스파이웨어 애드웨어들간의전쟁 (AdWars) 시큐리티 컨피커 (Conficker) 웜의세번째공격 네트워크모니터링현황- MS 취약점의위험성지속 중국보안이슈 해외기관을공격하는 GhostNet 발견 악성코드의국지성 악성코드통계 스파이웨어통계 시큐리티통계 사이트가드통계 악성코드 1분기이슈 스파이웨어 1분기이슈 시큐리티 1분기이슈 중국 1분기악성코드동향 읷본 1분기악성코드동향 세계 1분기악성코드동향... 64

2 I. 이달의보안이슈 1. 악성코드 메신저관련악성코드와테러뉴스를위장한월덱 (Waledac) 변형 국내에많은사용자를가진국산메신저프로그램을이용하여자신을전파하는악성코드변형이발견, 보고되었다. 메신저는메일과달리실시간으로수신자의응답이가능하므로빠르게확산되는특징이있어주의가요구되었다. 1, 2월맹위를떨친 Conficker 는세번째변형이 3월초발견, 보고되었다. 이전변형과달리백신프로그램 ( 안티바이러스 ) 과같은특정프로세스의동작을방해하는증상을가지고있었다. 또한그동안변형이많이보고된월덱 (Waledac) 의경우테러뉴스를위장한형태로메일로전파되어매스컴등에서이슈가되기도하였다. (1) 메신저관련악성코드 Win-Trojan/Natice 라고명명된이악성코드는작년부터변형이조금씩보고되고있다. 국 내에많은사용자들이사용하는유명메신저를통해서다양한방법으로전파되는특징이있 다. 예를들어일반적으로사용자가속기쉽도록그림파일인것처럼위장을하기도하고또 는대범하게직접다운로드링크를버디리스트로메시지를보내기도한다. 2 또한해당악성코드는자신의진단을방해할목적으로국내에잘알려진백신프로그램 ( 안티 바이러스 ) 관련파일및프로세스, 서비스등을동작하지못하도록방해하는증상을갖는또 다른악성코드를설치하기도한다. 이렇듯올한해지금까지외산메신저나관련서비스의계정을노리는악성코드가유행했었다면앞으로는국내 SNS 와메신저프로그램의사용자계정을노리는형태가증가할것으로예상한다. 특히훔쳐낸계정으로는마치지인으로위장하여버디리스트로부터금전을요구하는형태와같은사기를칠수있기때문에보이스피싱뿐만아니라메신저로유사한형태의행위에도주의가요구된다. (2) 컨피커 (Conficker) 웜의세번째변형발견및보고 3월초컨피커 (Conficker) 웜의또다른변형소식이감지되었으며국내에도곧유입되었다. 특히이번변형의경우안티바이러스및윈도우보안패치와같은특정프로세스에대한강제종료기능과 2009년 4월 1일특정한알고리즘에의한도메인을생성후이중 500개에대하여랜덤하게접속하여특정한파일을다운로드하는증상이파악되었다. 이중특정

3 프로세스의목록은다음과같다. [ 그림 1-1] 컨피커 (Conficker) 웜에취약한시스템및안전한시스템 이처럼컨피커 (Conficker) 웜의세번째변형은자신을보호하고사용자가패치파일을실행하지못하도록방해를하고있다. 컨피커 (Conficker) 웜은다음의 [ 그림 1-2] 와같은형태로전파되므로최신보안패치와강력한윈도우공유폴더암호그리고최신엔진의안티바이러스와같은보안제품만을기본적으로지킨다면별다른대책이없이도안전한컴퓨팅환경을보장받을수가있다. 3 [ 그림 1-2] 컨피커 (Conficker) 웜에취약한시스템및안전한시스템 (3) 테러뉴스를가장한월덱 (Waledac) 웜변형 각국도시에테러가발생한것처럼로이터통신사뉴스로위장하여잘알려진 Win32/Waledac.worm 변형이발견, 보고가되었다. 메일에서 GeoIP ( 지역별 IP) 를사용하여 메일을읽은사용자의 IP 를기반으로지역별도시명으로보여주는데다음과같다.

4 [ 그림 1-3] 테러뉴스로가장한월덱 (Waledac) 웜관련메일 동영상을보기위해서마치 Flash Player 를다운받도록위장하는데월덱 (Waledac) 웜변형이므로주의가요구되었다. 전세계적으로테러의위협이높은가운데악성코드제작자들은이처럼신뢰할만한통신사의뉴스로위장하고특히 GeoIP 를사용하여마치메일을읽은사용자의지역에테러가발생한것처럼속이는등날로사용자로부터악성코드를실행하도록유도하고지능적으로변모해가고있다. 4

5 2. 스파이웨어 애드웨어들간의전쟁 (AdWars) 내집안방에서모르는이들이서로싸움을벌이면서방안의가구와집기들을부숴버린다면 집주인인나는어떤기분이들까? 최근국내애드웨어간의싸움으로인해애꿎은사용자 들이피해를입고있어문제가되고있다. 물론여기서의싸움은주먹이오가는싸움은아니다. 국내온라인전자상거래가활성화되면 서리워드프로그램과키워드프로그램의수익성이좋아지자많은업체들이서로사용자의 PC 에설치되어동작하고자싸움을벌이고있는것이다. 5 [ 그림 1-4] 수많은리워드 / 키워드서비스 리워드 / 키워드프로그램은사용자가입력한웹사이트의주소를가로채어자신의제휴마케팅코드가삽입된다른주소로변경하고변경된주소를해당제휴마케팅사이트또는인터넷쇼핑몰에전달하는식으로동작한다. 이렇게함으로써애드웨어제작업체는제휴마케팅사이트로부터일정의수수료를챙길수있게된다. 그런데만약사용자의 PC에리워드 / 키워드프로그램이여러개가설치되어있다면어떻게될까? 리워드 / 키워드프로그램이두개가설치되어있던, 열개가설치되어있던간에, 결국사용자에게보여지는웹사이트는하나일수밖에없다. 따라서단하나의프로그램만이수수료를챙길수있는것이다. 바로이러한이유때문에리워드 / 키워드프로그램들간의전쟁은불가피하다. 최근 Win-Adware/IEShow 가감염된 PC 에서일부프로그램들이정상적으로동작하지않는

6 다는고객신고가다수접수되었다. 문제를확인해보니 Win-Adware/IEShow 가시스템을감 시하여다른리워드 / 키워드프로그램이동작하지못하도록하고있었다. 그런데문제는애드 웨어뿐만아니라정상프로그램마저실행이차단되는것이었다. [ 그림 1-5] 시스템에등록되어있는 BHO [ 그림 1-6] BHO 에연결된 DLL 대부분의리워드 / 키워드프로그램은 IE(Internet Explorer) 에 ToolBar나 BHO(Browser Helper Object) 로등록되어동작한다. Win-Adware/IEShow는바로이점을악용하여다른프로그램의동작을차단한다. 먼저 [1-5] 과같이시스템에등록된 BHO를확인하고, 자신이갖고있는 CLSID(White List) 와비교하여 White List에없는 BHO는모두차단한다. 그리고차단한 BHO와연결된 DLL 파일의경로를알아내어그폴더하위에서실행되는모든프로세스까지차단하도록동작한다. 6 만약 [ 그림 1-6] 의 {5C255C8A-E604-49b4-9D CECB} CLSID가 White List에등록되어있지않다면 C:\Program Files\Windows Live\Messenger 아래에서실행되는모든프로세스는동작하지않게되어사용자는 MSN 메신저를사용할수없는결과를초래할수있다. BHO로등록되어동작하는프로그램중에는 Adobe PDF Reader Link Helper, SnagIt Toolbar Loader, Java Plug-In SSV Helper 등과같이리워드 / 키워드프로그램이아닌것들도다수가존재하는데만약이러한프로그램들이 Win-Adware/IEShow에서관리되는 White List에포함되어있지않다면실행이안되는문제가발생한다. 실제, 다수의고객 PC 에서이러한문제로인하여일부프로그램의실행이불가한것을확인하였으며 Win- Adware/IEShow를완전히제거한후문제는해결되었다.

7 과거의경우에도리워드 / 키워드프로그램이경쟁사제품의동작을방해하는경우는종종발견되었으나대개는지정된 Black List만차단하는식이었기에다른정상프로그램에미치는피해는거의없었다. 그러나 Win-Adware/IEShow와같이 White List에등록된것만허용하는식은모든정상프로그램에대한목록을갖고있을수는없기에대단히위험한방법이며사용자에게큰불편을초래할수있다. 7 [ 그림 1-7] 무료프로그램업데이트와같이설치되는애드웨어 리워드 / 키워드프로그램과같은애드웨어들은지난 2월 ASEC Report 스파이웨어보안이슈 에서소개한바와같이주로무료프로그램의번들형태로설치가된다. Win- Adware/IEShow도이와마찬가지로인터넷에서 TV방송을무료로볼수있도록해주는프로그램을통해번들로설치가된다. 더욱이 3월들어 Win-Adware/IEShow로인한피해가급증한탓은 WBC와같은스포츠경기가평일낮시간에중계됨에따라인터넷실시간 TV 시청프로그램에대한수요가급증하였기때문으로보고있다. Win-Adware/IEShow와같은프로그램이설치되는것을막기위해서는무료프로그램과같이검증되지않은프로그램을설치하기전에어떠한것들이설치되는지면밀히확인해보는사용자의주의가반드시필요하겠다.

8 3. 시큐리티 컨피커 (Conficker) 웜의세번째공격 (1) 일반어플리케이션취약점정보 2009년 3월언더그라운드보안그룹및연구자에의해발표된취약점공격코드 1 의개수는총 69개이며, 취약점원인별로분류하면 [ 그림 1-8] 그래프와같다. 이들취약점중 50% 이상이메모리오버플로우오류로인한코드실행취약점이다. 몇년전부터널리알려진메모리오버플로우의문제점은현재까지도어플리케이션취약점의대부분을차지하고있다. 이는어플리케이션개발단계에서보안감사가아직도부족하다는것을의미하며해당과정에서의검증절차가보다철저해져야한다는것을의미한다. 또한, 메모리오버플로우취약점관련어플리케이션중대부분이 NullSoft Winamp 등과같이멀티미디어개체의재생과관련된프로그램으로서, 최근이러한멀티미디어관련애플리케이션의활용도가높아짐에따라사용자들은이들어플리케이션들이항상최신버전을유지하도록해야한다. 메모리 36% 58% 오버플로우 권한상승 기타 8 6% [ 그림 1-8] 어플리케이션취약점분류 30% 멀티미디어재생 70% 기타 [ 그림 1-9] 메모리오버플로우어플리케이션 1 기준 :

9 (2) 컨피커 (Conficker) 웜의세번째공격 이미일천만대이상의 PC가감염된것으로알려진컨피커 (Conficker) 웜의세번째변형 (Conficker.C) 이 2009년 3월 4일발견되었다. 이웜은내부구조분석상 4월 1일만우절을기점으로다수의동적생성도메인으로부터악성코드를다운받는형태로구현되어있는것으로파악되었고, 많은업체들이이웜의피해를최소화하기위해지속적으로모니터링을수행하였다. 현재 4월 1일만우절이지났음에도불구하고, 해당웜으로인한우려했던큰피해는없는것으로추정되고있다. Conficker.C 는두번째변형인 Conficker.B 와대략 15% 의유사성을띠고있으며, 크게다 음과같은부분으로나눌수있다. 9 [ 그림 1-10] Conficker.B VS Conficker.C ( 가 ) 레지스트리및파일생성컨피커 (Conficker) 웜이실행되면, DLL을임의의이름으로 system32 폴더에복사한후레지스트리를수정하여감염된 PC가부팅을할때해당 DLL 파일을 netsvsc.exe 프로세스나, svchost.exe 프로세스에인젝션할수있도록한다. ( 나 ) Anti-virus 등보안제품강제종료 Anti-Virus 제품이해당웜을탐지하고시스템을보호하는것을막기위해다음과같은호스트의 DNS 정보를조작한다. 그리고운영체제가자동으로업데이트를못하도록변경하며, 호스트에서실행되고있는프로세스를주기적으로감시하고프로세스의이름에특정한문자열이포함되어있으면컨피커 (Conficker) 웜을제거하기위한것프로세스라고간주하여해당프로세스를강제종료한다. 또한운영체제의방화벽을동작불능상태로만든다. symantec avira hauri safety.live sunbelt avgate hacksoft rootkit spyware avast hackerwatch securecomputing spamhaus arcabit grisoft ahnlab

10 [ 표 1-1] DNS 조작에사용되는호스트들 이름 Autoruns Avenger Confick downad 용도악성코드제거툴 Anti virus / 방화벽컨피커 (Conficker) 웜제거프로그램컨피커 (Conficker) 웜제거프로그램 [ 표 1-2] 프로그램강제종료에사용되는문자열들 ( 다 ) P2P(Peer to Peer) 컨피커 (Conficker) 웜은페이로드를전송하기위해클라이언트와서버로동작할수있도록제작되었다. 이웜은 2개의 UDP 포트와 2개의 TCP 포트를사용한다. 컨피커 (Conficker) 웜은페이로드를주고받고다운로드받은페이로드를검증하는것이외에 UDP 스캔을통해서해당 P2P 네트워크를검색한다. 10

11 4. 네트워크모니터링현황 - MS 취약점의위험성지속 네트워크모니터링현황은 3월호부터정확한추세분석을위해분기별로제공하는것으로변경하였다. 그첫번째로올해 1분기동안네트워크모니터링시스템으로부터탐지된트래픽현황에대해정리해보고자한다. 아래 [ 그림 1-11] 과같이 1분기에는 MS 서버서비스취약점에대한탐지이벤트가압도적 1위를차지하고있다. 해당트래픽의대부분은지난 2008년 10월말보고되어지속적으로확산되고있는컨피커 (Conficker) 웜으로부터발생되는트래픽으로추정된다. 11 [ 그림 1-11] 주요탐지이벤트현황 TOP 5 (1 분기 ) 이미해당취약점에대한마이크로소프트사로부터의보안업데이트가배포되었음에도불구 하고컨피커 (Conficker) 웜의네트워크공유폴더, USB 를통한다양한확산방식으로인하여 그피해가쉽게감소되지않고있다. 앞서언급된주요탐지이벤트들을살펴보면대부분의이벤트들이 TCP/445 포트를사용하는마이크로소프트사의취약점들로서, 과거에도 TCP/445 포트의트래픽양은지속적으로최상위공격포트를차지하였다. 최근 MS 취약점트래픽이더해져 TCP/445 포트및 TCP/139 포트의트래픽양이현저하게증가하는추세를보이고있다.

12 [ 그림 1-12 ] 상위 TOP 5 포트 (1 분기 ) 따라서, 네트워크관리자는사용자시스템의패치를권고하고방화벽과같은보안솔루션을 통해해당 TCP/139, TCP/445 포트에대한설정을강화할필요가있다. 네트워크모니터링시스템의지역성을고려하여국가별공격발생지현황을살펴보면, 한국 (KR), 말레이시아 (MY), 홍콩 (HK), 오스트레일리아 (AU), 일본 (JP), 중국 (CN) 등의국가들이차례로높은비중을차지하였다. 작년에상위권을차지하였던미국 (US), 일본 (JP) 이이번분기에는많이감소하였고, 말레이시아 (MY) 같은제 3국으로부터발생되는트래픽이증가하였다. 12 [ 그림 1-13] 공격국가별순위및비율 (1 분기 )

13 5. 중국보안이슈 해외기관을공격하는 GhostNet 발견 (1) 해외정부기관들을공격한것으로알려진중국의 GhostNet 3월 28일해외주요언론들은캐나다에서보고된하나의보고서로인해많은기사들이동시에제공되었다. 해당보고서는 Information Warfare Monitor라는캐나다토론토에위치한연구단체에서발표한 Tracking GhostNet: Investigating a Cyber Espionage Network 였으며해당보고서의주요요지는중국에의해서동남아시아를비롯한유럽등의주요정부기관및대사관의 Ghost 라는트로이목마에감염되어주요기밀정보들이외부로유출되었다는것이다. 13 [ 그림 1-14] Ghost 트로이목마에감염된국가기관위치 ( 출처 : New York Times)] 해당보고서에서는 Ghost 트로이목마에감염된시스템들은원격서버에의해서악성봇과같이네트워크를형성하고있었으며해당연구소에서조사한바에따르면총 93개국에위치한 986개의 IP들이감염되어 GhostNet을형성하고있었다고한다. 이와더불어서일부보안업체에서는 Ghost 트로이목마를제작한중국언더그라운드웹사이트와함께해당트로이목마를악용하는방법을소개한동영상까지공개를하였으나현재는모두폐쇄되었다. 이러한상황에서일부중국언더그라운드해킹팀에서는해당 GhostNet 을운영하거나이용 한악성코드제작자가누구인지를추적하는기현상까지발생하고있었다.

14 [ 그림 1-15] GhostNet 과관련된것으로추정되는중국인신상 ( 출처 : 중국언더그라운드웹사이트 ) 현재까지추적된 GhostNet 운영자는한두명에의해서운영된것이아니라하나의팀에의해서운영되었던것으로밝혀졌으며그중한명으로추정되는중국인남성의신상이 [ 그림 1-15] 와같이밝혀졌다. 해당중국인남성은 27세로사천성성도시에거주하고있는것으로밝혀졌으나현재까지실제혐의가있는지는확인되지않고있다. (2) 검색엔진을이용한취약한웹사이트검색툴 이번 3 월중국언더그라운드에서는이제까지알려진취약한웹사이트를통한 SQL 인젝션 공격을검색엔진과연동을통해보다쉽게찾아내는툴이발견되었다. 14 [ 그림 1-16] 검색엔진을이용한취약한웹사이트검색 이번에발견된검색툴은 [ 그림 1-16] 과같이미리정의된여러개의 SQL 인젝션구문을 공격자가지정하면자동으로검색엔진과연결이되면서취약한웹사이트검색이이루어지 게된다. 해당검색툴을이용해취약한웹사이트들이검색이되면동일한구문으로다른

15 SQL 인젝션공격툴을이용해손쉽게시스템의관리자권한을획득할수있게된다. 이렇게더욱손쉽게 SQL 인젝션공격을수행할수있는툴이발견되었다는것은중국언더그라운드에서는더욱자동화되고대량의공격이취약한웹사이트들을대상으로언제든지이루어질수있음을보여주는사례라고할수있다. 15

16 II. ASEC 칼럼 악성코드의국지성 2009년현재세계적으로하루에약 2-3만개의새로운악성코드가출몰하는것으로추정된다. 1년이면 730만개 ~ 1,095만개가되는엄청난수의악성코드인데이악성코드가모두사용자들에게위협이될까? 특별히위험가능성이높은악성코드는없을까? 이글에서는악성코드의국지성에대해서알아보겠다. (1) 국지성논쟁 1980년대말컴퓨터바이러스가처음등장하면서일부바이러스는세계로퍼져나갔다. 이에우리나라에도다양한국가에서제작된바이러스가유입된다. 하지만, 바이러스중여러지역으로퍼져나간바이러스보다는특정지역에만잠깐퍼졌다가사라졌거나연구목적으로작성되어일반에퍼지지않은악성코드들이많았다. 90% 이상이이런샘플들로흔히동물원 (Inthe-zoo) 샘플이라고부른다. 1996년 1월와일드리스트를보면 37명의리포터보고중 AntiCMOS.A나 AntiEXE.A 등의바이러스는무려 30 명에근접하는보고가있음을알수있다. 많은지역에서보고가있는악성코드는플로피디스크로확산되는부트바이러스들로이때만해도바이러스의주요감염경로중하나가플로피디스크였다. 16 [ 그림 2-1] 1996 년 1 월와일드리스트

17 이런국지성의붕괴는인터넷사용의확산으로발생한다. 인터넷사용자가급격히증가하기시작한 1990년대말부터악성코드제작자들은인터넷을악성코드배포에활용하기시작한다. 이에악성코드는지구한편에서제작되어반대쪽으로가는데몇초면가능하게된다. 주로뉴스그룹, 메일을통해확산되던악성코드들로상당수악성코드가다수의지역에서발견되게된다. 2001년 12월와일드리스트를보면메일로전파되는악성코드는세계여러지역에서보고되는것을알수있다. 그야말로악성코드에국경이사라진것이다. 17 [ 그림 2-2] 2001 년 12 월와일드리스트결과 하지만, 최근악성코드가예전처럼널리퍼지는경우는줄어들게된다. 와일드리스트를참 고해도악성코드가다수의지역에서보고되는경우는드물어졌다 년 2 월와일드리스 트를보면최대로많은지역에서발견된악성코드가고작 6 곳이다.

18 [ 그림 2-3] 2009 년 2 월와일드리스트 18 악성코드에게는인터넷이라는훌륭한전파방법이있고인터넷에연결된컴퓨터는더많아 졌는데왜이전보다널리퍼지는악성코드는줄어들었을까? (2) 악성코드의국지화원인 2004 년부터점진적으로시작된악성코드의국지성향이현재뚜렷해졌는데이는다음과같 은원인이존재한다. 첫째, 악성코드제작목적의변화 2003년이후악성코드제작목적은실력과시나호기심이아닌금전적이득으로목적이뚜렷해진다. 초기악성코드를이용한돈벌기는스팸메일발송과 DDoS 공격을통한협박후금품탈취였다. 이후애드웨어 (Adware) 를통한광고로돈을벌수있음에눈을뜨지만광고는필연적으로사용언어와연관이된다. 즉, 한국지역에광고하려면한국어로광고가노출되어야지영어나중국어, 일본어로노출되어봐야효과가없다. 이에지역적특색에따른

19 금전적이득방안을모색하기시작한다. 악성코드제작자들은온라인게임이활성화된국가에서는사이버머니 (Cyber Money) 나게임아이템이금전적으로거래되고있음을파악해한국산온라인게임이인기를끌고있는아시아지역은온라인게임계정탈취악성코드가유행하게된다. 상대적으로다른나라에비해인터넷뱅킹을통한금전적이득은힘들기때문이다. 상대적으로인터넷뱅킹보안이허술한남미에서는자체적으로제작되는대부분의악성코드가인터넷뱅킹을목표로제작된다. 이렇게악성코드들이국가혹은지역에맞게맞춤형으로제작되고있다. 둘째, 악성코드유형의변화 2000년이전만해도악성코드의상당수가다른파일을감염시키는바이러스나웜이었다. 하지만, 현재악성코드중자체전파기능이없는트로이목마류가 70% 를차지하며여기에광고목적으로제작되는애드웨어를포함하면전체악성코드의약 70-80% 가자체전파기능이없는악성코드들이차지하고있다. 자체전파기능이없는트로이목마는한번배포이후에는다른시스템을재감염되는가능성이낮다. 셋째, 악성코드배포방식의변화 19 과거악성코드전파방법은메일, 네트워크가대부분이었다. 하지만, 최근악성코드배포방법은웹사이트를해킹한후취약점을공격하는코드를삽입후사용자가해당웹사이트를방문할때악성코드가설치하는방법이많이사용되고있다. 웹사이트를통한공격역시필연적으로언어에종속된다. 사용자들이자신이사용하는언어로작성된웹사이트에방문할가능성이높다. 넷째, 환경의변화 공격을위해시스템을감염시킬경우과거보다시스템이나네트워크환경이좋아져서몇 천대에서몇만대혹은심지어몇백대만으로도소규모웹사이트공격이가능해져굳이많 은시스템을감염시킬필요가없다. 오진 (False Positives) 은줄여서 FP로표현하거나 False Alarm 과같은표현도사용하며사전적의미로는 긍정오류, 양성오류 로해석되며흔히 오진, 오탐 으로부른다. 보안프로그램에서오진은정상을비정상이라고식별하는것으로스팸검사에서는정상이메일을스팸으로잘못식별하는것, 백신프로그램에서는정상프로그램을악성코드로잘못식별하는것이다.

20 (3) 국지성경향 맥아피에서 2008 년 2 월발표한 McAfee Sage(Security Vision from McAfee Avert Labs Vol 2 Issue 1) 에보면인터넷으로묶여있어도국가별로조금씩다른악성코드양상을 볼수알수있다.1 일본은자국 P2P(Peer to Peer) 서비스인위니 (Winny) 를통해전파되는악성코드가유행하고있다. 중국은 QQ 메신저라는자체메신저가전체메신저사용의 96% 이상을차지하고있어 QQ 메신저계정을탈취하는트로이목마가유행하고있다. 또한각종해킹연구등이활발하게이뤄지고있다. 20 [ 그림 2-4] 중국의메신저점유율 러시아는각종악성코드가제작되고판매되고있으며브라질등을포함한남미에서는인터넷뱅킹계정탈취트로이목마가극성이다. 특히최근남미의인터넷뱅킹계정탈취트로이목마는악성코드제작자들이협력해다국적으로실행될수있게개선되기도했다고한다. 남미는포르투갈어를사용하는브라질을제외하고스페인어를사용하는데악성코드가접속하는사용하는언어를인식해필요한언어를보여준다고한다. 자료에서한국은빠져있지만한국은온라인게임계정탈취트로이목마등의중국에서제작 된악성코드가유행하고있는특징이있다. 1

21 (4) 지역샘플문제 백신프로그램이지역샘플에약한가하는이슈가있다. 빠르게전파되는악성코드의경우글로벌업체뿐아니라로컬업체들도샘플을빨리입수 할수있다. 하지만, 해당지역정보를빨리입수하지못하면특정지역에서만문제가되는 악성코드의경우빠르게대처하기힘들수도있다. 예를들어실제보다과장되긴했지만흔히 2090 바이러스로알려진에임봇 (Win32/AimBot.worm.15872) 의경우우리나라에발견된게 2009년 2월 9일이며 2월 10일부터감염보고가증가했다. 하지만, 2월 10일당시이악성코드를진단하는백신제품은 10 여개뿐이었으며다음날인 2월 11일에 18개, 2월 12일에도 40개제품중절반인 21개정도였다. 악성코드샘플자체는여러경로로백신업체로전달되었지만수많은악성코드가접수되어처리가늦어진것으로보인다. 특히이악성코드는한국에서만짧은시간에퍼졌다가사라진것으로보인다. 반대로특정지역에서짧은시간에확산되고사라지는샘플의경우국내에는모르고지나칠수도있다. 이에백신업체는각국의정보를수집하기위해노력하고있다. 21 (5) 결론 악성코드는계속변화하고있다. 도스바이러스는윈도우가등장하면서사라졌으며폭발적으로증가하던매크로바이러스나메일로전파되던대량메일전파악성코드수가미미할정도로줄어버렸다. 현재는국지화와다량의악성코드를계속짧게치고빠지는공격이대체적이지만언제까지이와같은추세로유지될지는알수없다. 환경변화에따라악성코드는언제든변모할수있다. 예를들어인터넷뱅킹을통해다른국가은행에도자금이체가가능해지고방식이동일하다면악성코드제작자는다시특정지역에특화된악성코드가아닌세계를상대로한악성코드전파방안을모색할것이다. 악성코드제작자들은지역성에맞게악성코드를계속개선하고있다. 초보적단계이지만 IP 를확인해메일내용에해당지역의지명이들어가는등의형태로사용자들의호기심을이용하거나다국어를지원하는형태도존재한다. 국내사용자를목표로제작되는악성코드역시국내에서많이사용되는메신저를목표로하고국내에서많이접속하는웹사이트를해킹하기위해노력하고있다. 이런악성코드의국지성이장기적인현상일지일시적현상일지는계속지켜봐야할것으로 보인다.

22 III. 이달의통계 1. 악성코드통계 ( 가 ) 3 월악성코드피해통계 순위 악성코드명 건수 비율 1 new Win-Trojan/Backdoor % 2 new Win32/Autorun.worm % 2 new Win32/Spammer.worm % 4 new Win-Trojan/Downloader H % 5 new Win32/Autorun.worm % 6 new Win-Trojan/Agent IG 4 8.7% 7 new Win-Trojan/Bagle D 4 8.7% 7 new Win-Trojan/Webdor % 9 new Dropper/Agent % 10 new Dropper/Agent J 3 6.5% 합계 % 22 [ 표 3-1] 2009 년 2 월악성코드피해 Top 10 순위 악성코드명 건수 비율 1 new Dropper/Agent % 1 new Dropper/OnlineGameHack % 1 new Win-Trojan/Agent B % 1 new Win-Trojan/Autorun E % 2 new Win-AppCare/HackTool % 3 new Win32/IRCBot.worm AI 7 9.1% 3 new Win-Adware/Elog % 3 new Win-AppCare/Agent.8704.B 7 9.1% 4 new Dropper/OnlineGameHack % 4 new Win-Downloader/Rogue.XPPoliceAntivirus % 합계 % [ 표 3-2] 2009년 3월악성코드피해 Top 10

23 [ 표 3-1] 은 2009 년 2 월악성코드피해 Top 10 이며, [ 표 3-2] 는 2009 년 3 월악성코드로 인한피해 Top 10 을나타낸것이다. 3월 Top 10에서특이할만한것은 Top 10 중 Win-AppCare( 이하유해가능프로그램 ) 가 Top 10의 2자리를차지한것이다. 이중 Win-AppCare/HackTool.13531은단독으로동작이불가한유해가능프로그램이며, Dropper/OnlineGameHack E와 Dropper/OnlineGameHack B에서생성및실행되며, Arp Spoofing을수행할수있는자체명령을가지고있다. Zx0000.exe -idx 0 -ip port 80 -insert "<iframe src='xx' width=0 height=0>" Zx0000.exe -idx 0 -ip , spoofmode 3 -postfix ".exe,.rar,.zip" -hackurl -filename test.exe Zx0000.exe -idx 0 -ip port 80 -hacksite , -insert "just for fun<noframes>" [ 참고 3-1] Win-AppCare/HackTool 에내장된명령어예시 23 Win-AppCare/Agent.8704.B는치료이슈가있는악성코드로서익스플로러 (explorer.exe) 프로세스에악성코드원본을핸들로등록하여실행시킨다. 핸들이오픈되는경우핸들을끊거나핸들로등록시킨선행프로세스를종료해야완전한치료가가능하다. 치료방법은 V3치료옵션에서쉘코드종료후치료로변경하여수동검사하면완전히삭제되며, 두번째는 V3 로수동검사하여악성코드치료선택창이자동으로열릴때치료후재부팅을선택하여치료하면완전한치료가가능하다. [ 그림 3-1] Win-AppCare/Agent.8704.B 가익스플로러프로세스에인젝션된경우

24 특이한악성코드로 Win-Downloader/Rogue.XPPoliceAntivirus.52230를 Top10에확인할수있다. 해당악성코드는가짜백신프로그램인페이크안티바이러스 (FakeAV) 변종이다. 또한한동안잠잠하던 Win32/IRCBot.worm의 Top 10 진출도눈에띈다. 간과해선안될것은각종 Trojan만이정보유출과연관되는것이아니다. 특정 IRC 서버의채널에접속하여오퍼 ( 방장 ) 가내리는명령에따라다양한악의적인기능이수행될수있으므로 Win32/IRCBot.worm 또한다양한정보유출과연관성을가질수있다. 아래의그림과표는변형악성코드를묶어서대표진단명을기준으로통계를뽑은것이며, 개별악성코드통계보다전체적인악성코드통계양상을알수있다. 이는많은변형의출현및빠른악성코드엔진대응으로개별악성코드생명주기가짧아져서이를보강하기위해참고로작성한것이다. 4% 3% 2% Win-Trojan/Downloader 3% Win-Trojan/Agent 5% Win-Trojan/OnlineGameHack 7% 32% Win-Downloader/Rogue.XPPoliceAntivirus Dropper/OnlineGameHack 24 11% Dropper/Agent Win-Trojan/Zbot 14% 19% Win-Trojan/Fakeav Win-Downloader/Rogue.FakeAV Win32/IRCBot.worm [ 그림 3-2] 2009 년 3 월악성코드대표진단명 Top 10

25 순위 악성코드명 건수 비율 1 4 Win-Trojan/Downloader % 2 1 Win-Trojan/Agent % 3 2 Win-Trojan/OnlineGameHack % 4 new Win-Downloader/Rogue.XPPoliceAntivirus % 5 4 Dropper/OnlineGameHack % 6 5 Dropper/Agent % 7 - Win-Trojan/Zbot % 8 9 Win-Trojan/Fakeav % 9 new Win-Downloader/Rogue.FakeAV % 10 new Win32/IRCBot.worm % 합계 2, % [ 표 3-3] 월악성코드대표진단명 Top 10 [ 그림 3-2] 과 [ 표 3-3] 은 월악성코드의대표진단명을기준으로유형별피해순위 Top 10 을나타내고있다. 25 3월악성코드대표진단명 Top 10을살펴보면지난달과마찬가지로 OnlineGameHack이많은비율 (3위와 5위에링크되어있으며, 그비율의합은 20.8%) 을차지하고있다. 두드러진변화는 1월에순위에진입하여 2월에 6위까지올랐던오토런 (Autorun) 웜은 3월 Top10 순위에서사라졌다. 이는보안패치설치및백신의최신엔진업데이트, USB Guard 설치등일반사용자보안의식발전결과로보여진다. 가짜백신프로그램인페이크안티바이러스 (FakeAV) 는 9위에서한단계올라 8위로상승했으며, 또다른변종가짜백신프로그램인페이크안티바이러스 (Win-Downloader/Rogue.XPPoliceAntivirus) 도새로진입하여 4위를차지했다. 가짜백신프로그램은사용자가설치및검사하지않았음에도허위로진단하여마치시스템에많은악성코드를진단한것처럼보여주어온라인결제를유도하는금전적인목적이있다. 3월악성코드 Top10 에진입한 Win32/IRCBot.worm은대표진단명 Top10에서도확인할수있다. 이런 Win32/IRCBot.worm를사전에방지하기위해서는최신보안패치와함께관리계정의비밀번호를영문, 숫자, 특수문자의조합하여웜의침입을막는노력이필요하다. 아래의 [ 그림 3-3] 은 2009년 3월전체악성코드유형별피해신고건수를나타내고있는그래프이다. 트로이목마프로그램은 77% 로다른악성코드보다월등히많은비율을차지하고있으며, 드롭퍼와웜이각각 9% 와 8% 를차지하고있으며, 그뒤를이어스크립트 3%, 유해가능프로그램이 3% 를차지하고있다. 저번달과동일하게바이러스는 0.1% 로극히낮

26 은비율을유지하고있다. 8% 3% 0% 3% 9% 트로이목마스크립트드로퍼웜유해가능프로그램바이러스 77% [ 그림 3-3] 2009 년 3 월악성코드유형별피해신고비율 3 월 2 월 바이러스유해가능프로그램웜드롭퍼드로퍼스크립트트로이목마 0.10% 0.2% 3.10% 1.7% 7.70% 11.8% 9.00% 9.5% 3.50% 4.1% 76.60% 72.7% 26 [ 그림 3-4] 2009 년 3 월악성코드유형별피해신고비율전월비교 위의 [ 그림 3-4] 은전월과비교한악성코드유형별피해신고를나타낸것이다. 증가한것은트로이목마의경우전월과비교하여 3.9% 가늘어났으며, 웜은 8.8% 로전월에비해 4.1% 가줄어들었다. 드롭퍼는 9% 로전월에비해소폭감소하였으며, 스크립트, 유해가능프로그램과바이러스는약간의수치차이는있겠으나전월과많은차이가없었다.

27 5,000 4,000 3,000 2,996 3,559 4,114 2,000 1,000-1 월 2 월 3 월 [ 그림 3-5] 월별피해신고건수 27 [ 그림 3-5] 는월별피해신고건수를나타내는그래프로작년 12월에서 1월에는중국춘절의영향으로중국발악성코드가다소감소하였다가춘절연휴가끝난 2월에피해가증가하다가 IRCBOT 및가짜백신프로그램의배포가활발해짐에따라 3월에도계속늘어나고있다. 사전에방지하기위해서는최신보안패치와함께관리계정의비밀번호를영문, 숫자, 특수문자의조합하여시스템취약점을보완하고가짜백신프로그램등의설치를막기위해신뢰할수없는메일은가급적읽지말고삭제해야한다. (1) 국내신종 ( 변형 ) 악성코드발견피해통계 3 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 3-4] 과같다. 월 트로이목마 드롭퍼 스크립트 웜 파일 유해가능 합계 01 월 월 월 [ 표 3-4] 2009년최근 3개월간유형별신종 ( 변형 ) 악성코드발견현황 이번달악성코드유형은전월대비 17% 감소하였다. 대부분의악성코드유형에서감소가 있었다. 위분류에는표시되지않았지만지난 2 월중 PDF Zero-Day 취약점발견의영향 과이전에알려진 PDF 취약점을이용한형태의악의적인 PDF 관련샘플의접수는소폭증

28 가하였다. 트로이목마유형의경우지난달증가했지만이번달은 18% 감소가있었다. 대부분 Agent, Downloader, FakeAV 등이많이감소하였다. 드롭퍼유형도소폭감소하였고스크립트유형의경우취약점을이용한형태는감소한반면에오토런 (Autorun) 증상을갖는스크립트유형은늘어난편이다. 웜유형은 1, 2월달컨피커 (Conficker) 웜변형으로인해증가하다가 3월에는감소하는추세이다. 이렇듯악성코드는전체적으로감소했지만그원인을뚜렷하게추정하기는어렵다. 다만컨피커 (Conficker) 웜변형과 PDF 취약점을이용한악성코드그리고온라인게임의사용자계정을훔쳐내는악성코드는끊임없이변형이발견및피해를많이입혔다. 또한트로이목마유형중스팸메일러증상을가지며자신을숨기며은밀하게동작하는은폐및자기보호악성코드의피해는늘어나고있다. 이와같은악성코드는아직특정악성코드들만해당되고그수는아직많지는않다. 그러나감염된경우진단 / 치료하기가복잡하고어렵기때문에그피해는상상을초월한다. 따라서단지적은수가보고되었다고해서이러한악성코드로부터안전하다고생각하는것은금물이다. 다음은이번달악성코드유형을상세히분류하였다. 28 트로이목마드롭퍼스크립트웜 (AutoRun) 웜 ( 메읷 ) 웜 (IRC) 취약점 ( 문서 ) 유해가능웜 (Exploit) 웜 (SNS) 웜 (P2P) 웜 ( 메신저 ) 파읷 ( 바이러스 ) 1.4% 0.4% 0.4% 0.2% 0.1% 2.4% 1.6% 2.6% 4.3% 1.2% 0.1% 12.7% 72.7% [ 그림 3-6] 2009 년 03 월신종및변형악성코드유형

29 트로이목마유형은전월대비 18% 감소하였다. 위에서언급했듯이지난달에큰폭으로 상승했던다음과같은유형의트로이목마가감소하였다. - Win-Trojan/Agent - Win-Trojan/Downloader - Win-Trojan/FakeAV 반면지난달감소했던온라인게임의사용자계정을훔쳐내는악성코드유형은 25% 가량증가하였다. 증가원인역시뚜렷하지않다. 그러나샘플외형의특징은크게 2가지로나누어볼수있다. 첫번째는백신프로그램에의한진단을회피할목적 ( 더정확히는안티에뮬레이팅기법 ) 을가진특정형태의실행압축형태와두번째는실행압축이안되거나잘알려진공개도구를이용하여실행압축된형태라는것이다. 이모두진단을회피할목적으로사용되었다. 29 드롭퍼유형은 9% 정도감소하였다. 드롭퍼역시 Agent, Downloader가감소하였고온라인게임관련드롭퍼는소폭증가하였다. 스크립트유형은전월대비 47% 감소하였다. 인터넷익스플로러취약점관련코드를갖는악의적인스크립트유형은감소의영향이컸다. 반면 VBS로만들어진웜유형은소폭증가하였고관련피해문의도늘어나는추세이다. 웜유형은 1, 2월컨피커 (Conficker) 웜변형이급속히발견되었다가백신프로그램업체를비롯한보안업체등의대응으로꾸준히감소추세를보였다. 그러나 3월초컨피커 (Conficker) 웜에대한 3번째변형이나타나기시작했고글을작성하는현재까지도관련변형이속속보고가되고있다. 컨피커 (Conficker) 웜이사용한 MS 취약점의영향인지는몰라도 IRCBot 웜유형은지난달만큼의발견, 보고는아니지만근래들어서작년과비교하여발견건수가늘어난편이다. 유해가능프로그램으로는프록시류, 취약점도구류등이주로보고되었으며바이러스유형은 2월과마찬가지고 Win32/Virut 바이러스변형이계속적으로보고되었다. 이바이러스의경우안티바이러스진단을회피할목적으로계속적인변형이나오고있어한동안은변형이꾸준히보고될것으로전망된다. 다음은최근 3 개월간신종및변형악성코드분포이다.

30 /01 월 09/02 월 09/03 월 [ 그림 3-7] 2009 년최근 3 개월간악성코드분포 지난달과마찬가지로취약점을이용한악성코드외에는전체적으로감소했으며트로이목마의경우 1월과비슷한수치로보고되었다. 특히취약점이포함된악의적으로만들어진문서류가늘어나는원인으로는대부분윈도우및인터넷익스플로러보안외에는무관심한편이며또한특정인또는기관등을타켓으로공격하는스피어피싱에서주로취약점이포함된문서를메일로보내어사용자로하여금오픈하도록유도하는형태등에주로사용되기때문에관련악성코드증가하는추세이다. 30 다음은온라인게임의사용자계정을탈취하는악성코드의추세를살펴보았다.

31 월 2 월 3 월 [ 그림 3-8] 온라인게임사용자계정탈취트로이목마현황 31 관련악성코드는전월대비 25% 가량상승하였다. 샘플이증가한원인은명확하지는않다. 보통취약점을포함하는스크립트유형등이증가하면관련샘플도증가하는편이지만이번달의경우스크립트유형의악성코드는감소한반면해당트로이목마와드롭퍼는소폭증가하였다.

32 2. 스파이웨어통계 (1) 3 월스파이웨어피해통계 순위 스파이웨어명 건수 비율 1 New Win-Downloader/Rogue.FakeAV % 2 New Win-Downloader/Rogue.FakeAV % 3 New Win-Downloader/Loa % 4 New Win-Adware/Elog % 5 New Win-Downloader/FakeAV % 6 New Win-Dropper/IETimber % 7 New Win-Downloader/Zlob B 5 9% 8 New Win-Adware/IEShow % 9 New Win-Adware/IEShow B 5 7% 10 New Win-Adware/Rogue.AntiVirus % 합계 % [ 표 3-5] 2009년 3월스파이웨어피해 Top % 8% 5% Win-Downloader/Rogue.FakeAV Win-Downloader/Rogue.FakeAV % Win-Downloader/Loa Win-Adware/Elog % 15% Win-Downloader/FakeAV Win-Dropper/IETimber % 9% 11% 11% Win-Downloader/Zlob B Win-Adware/IEShow Win-Adware/IEShow B Win-Adware/Rogue.AntiVirus [ 그림 3-9] 2009 년 3 월스파이웨어피해 Top 년 3월스파이웨어피해 Top 10에서는지난 2월에비해국산스파이웨어의피해가감소한것으로나타난반면허위백신을설치하는다운로더페이크안티바이러스 (Win- Downloader/Rogue.FakeAV) 의피해신고가증가했다. 다운로더페이크안티바이러스는해

33 킹된사이트의게시판이나다른다운로더에의해감염된다. 특히크립터 (Win- Spyware/Crypter) 에의해설치가되거나월덱 (Win-Spyware/weldac) 이설치유도를할때다운로드받아진다. 다운로더페이크안티바이러스의경우동일한다운로드경로에서계속해서변형을생성하기때문에수많은변형이발견되고있다. 1월부터계속해서스파이웨어피해 Top 10에등록되는아이쇼유 (Win-Adware/IEShow) 의경우피해건수는줄었으나 3월에도꾸준히피해를입히는것으로확인되었다. 아이쇼우의경우리워드프로그램에의해설치되어다른프로그램의정상적인동작을방해하는기능이추가되었다. 순위 대표진단명 건수 비율 1 Win-Downloader/Rogue.FakeAV 95 23% 2 Win-Spyware/Crypter 94 23% 3 Win-Adware/IEShow 86 21% 4 Win-Spyware/PWS.OnlineGame 42 10% 5 Win-Dropper/PWS.OnlineGame 23 6% 6 Win-Adware/Elog 19 5% 7 Win-Spyware/TDSS 15 4% 8 Win-Downloader/Zlob 13 3% 33 9 Win-Spyware/Agent 13 3% 10 Win-Spyware/Xema 11 3% 합계 % [ 표 3-6] 3 월대표진단명에의한스파이웨어피해 Top10 [ 표 3-6] 은변형을고려하지않은대표진단명을기준으로한피해건수이다. 지난 2월대표진단명에의한피해건수 1위에올랐던아이쇼우는 3위로두계단하락했지만여전히 86건이라는많은피해건수를기록하고있다. 2009년 3월에가장피해를입히는다운로더로그페이크안티바이러스는동일한배포사이트에서지속적으로변형을생산하기때문에앞으로도많은변형이발생할것으로예상된다 년 3 월유형별스파이웨어피해현황은 [ 표 3-7] 과같다. 구분 스파이 웨어류 애드 웨어 드롭퍼 다운 로더 다이 얼러 클리커 익스 플로잇 AppCare Joke 합계 1월 월 월 [ 표 3-7] 2009년 3월유형별스파이웨어피해건수

34 2009년 3월의경우지난 1,2월에비해전반적으로피해건수가다소준것으로나타난반면익스플로잇의경우 4건의피해신고가확인되었다. 피해신고가접수된익스플로잇의경우국내모항공사의웹사이트가변조되어아이프레임 (iframe) 을삽입해악성코드를배포하는스크립트로확인되었다. (2) 3 월스파이웨어발견현황 3 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 3-8], [ 그림 3-10] 와같다. 구분 스파이 웨어류 애드 웨어 드롭퍼 다운 로더 다이 얼러 클리커 익스 플로잇 AppCare Joke 합계 1월 월 월 [ 표 3-8] 2009년 3월유형별신종 ( 변형 ) 스파이웨어발견현황 0% 3% 0% 0% 0% 34 30% 11% 28% 28% 스파이웨어류애드웨어드롭퍼다운로더다이얼러클리커익스플로잇 AppCare 조크 [ 그림 3-10] 2009 년 3 월발견된스파이웨어프로그램비율 3월에는전반적으로피해건수가줄어든것으로확인되고있으며, 특히애드웨어와다운로더의비율이많이줄어들었다. 신종 ( 변형 ) 다운로더의피해건수가줄어든것은많은변형을배포하는다운로더페이크안티바이러스의신고는증가했으나, 실제코드가대부분유사해 V3에서는동일한진단명으로진단되어변형으로카운트가되지않는경우가많아졌기때문이다.

35 3. 시큐리티통계 (1) 3 월마이크로소프트보안업데이트현황 마이크로소프트사는 3 월에긴급 (Critical) 2 건, 중요 (Important) 1 건으로구성된총 3 건의보 안업데이트를발표하였다. 35 [ 그림 3-11] 2009 년 3 월 MS 보안업데이트현황 위험도 취약점 PoC 긴급 (MS09-006) Windows 커널의취약점으로인한원격코드실행문제점 무 긴급 (MS09-007) SChannel의취약점으로인한스푸핑허용문제점 무 중요 (MS09-008) DNS 및 WINS 서버의취약점으로인한스푸핑허용문제점 무 [ 표 3-9] 2009년 03월주요 MS 보안업데이트 지난달과마찬가지로이달에도 MS사로부터배포된보안업데이트는그수가많지않았다. 또한, 모든취약점들이공개된공격코드 (Exploit) 가보고되지않았기때문에해당취약점악용을통한피해사례는드물것으로예상된다. 그러나, 웹상에서는여전히 MS 취약점등이간간히탐지되고있고, MS08-067을악용하는웜또한현재까지도피해를입히고있는상황이다. 최근에는 MS 취약점외에도 PDF 파일과같이써드파티애플리케이션취약점을악용하는사례가급증하고있으므로, MS 보안패치를비롯한써드파티애플리케이션보안패치적용에도주의를기울여야할것이다.

36 (2) 2009 년 3 월웹침해사고및악성코드배포현황 [ 그림 3-12] 악성코드배포를위해침해된사이트수 / 배포지수 2009년 3월악성코드를위해침해된웹사이트의수와악성코드유포지의수는 54/16로 2009년 2월보다약간수치가증가하였다. 2009년 2월 InternetExplorer 와관련된 MS 취약점의공격코드가발표가되었지만공격코드기법의특성상대중화되지는못하고있다. 이번 3월에 InternetExplorer와관련된취약점은발표되지않아앞으로도과거발표된취약점이지속적으로공격에이용될것으로추정된다. 웹은가장대중화된플랫폼으로계속해서공격대상이되고있다. 따라서, 사용자는보안제품을항상최신버전으로유지하고, 백신프로그램을설치하여사용자시스템을보호할수있어야한다. 36

37 4. 사이트가드통계 (1) 2009 년 3 월웹사이트보안요약 구분 건수 악성코드발견건수 70,312 악성코드유형 599 악성코드가발견된도메읶 657 악성코드가발견된 URL 4,325 [ 표 3-10] 1 월웹사이트보안요약 웹사이트를통한사용자의피해를막기위해안철수연구소가제공하는인터넷보안무료 서비스인 사이트가드 1 의통계를기반으로본자료는작성되었다. 37 [ 표 3-10] 은 2009 년 3 월한달동안웹사이트를통해발견된악성코드동향을요약해서보 여주고있다. 사이트가드의집계에따르면 3월한달동안악성코드는 599종 70,312건발견되었으며, 악성코드유형은 599건, 악성코드가발견된도메인은 657건, 악성코드가발견된 URL은 4,325건으로전반적으로지난 2009년 12월부터보였던증가세에서급반전하여악성코드발견건수를기준으로 63% 정도감소하였다. 이는신종악성코드감소와사이트가드와같은웹사이트무료서비스정착, 백신프로그램의탐지력증가등과같은다양한보안서비스의강화로인한것으로보이나, 중국춘절의여파가미치지않는 4월까지의통계를보아야하락세여부를판단할수있을것으로보인다, 세부내용을보면다음과같다. 1

38 (2) 악성코드월간통계 가 ) 악성코드발견건수 250, , , , , ,000 50, ,729 69,964 70, 월 12 월 2009 년 1 월 2009 년 2 월 2009 년 3 월 [ 그림 3-13] 월별악성코드발견건수 [ 그림 3-13] 는최근 5개월인, 2008년 11월부터 2009년 3월까지의악성코드발견건수의추이를나타내는그래프로 3월악성코드발견건수는 70,312건으로지난달에비해약 63% 의감소세를보였다. 나 ) 악성코드유형 38 1, 월 12 월 2009 년 1 월 2009 년 2 월 2009 년 3 월 [ 그림 3-14] 월별악성코드유형 [ 그림 3-14] 는최근 5 개월간발견된악성코드의유형을나타내는그래프로역시지난 2 월 의 857 종에이어 3 월에 599 종이발견되어급속한감소를보였다.

39 다 ) 악성코드가발견된도메인 1, 월 12 월 2009 년 1 월 2009 년 2 월 2009 년 3 월 [ 그림 3-15] 월별악성코드가발견된도메인 [ 그림 3-15] 는최근 5 개월간악성코드가발견된도메인수의변화추이를나타내는그래프 로 3 월악성코드가발견된도메인은 657 개로전월에비해약 30% 가감소하였다. 라 ) 악성코드가발견된 URL 39 12,000 10,000 10,135 8,000 6,000 6,494 4,000 4,613 4,134 4,325 2, 월 12 월 2009 년 1 월 2009 년 2 월 2009 년 3 월 [ 그림 3-16] 월별악성코드가발견된 URL [ 그림 3-16] 은최근 5 개월간악성코드가발견된 URL 수의변화추이를나타내는그래프로 3 월악성코드가발견된 URL 수는 4,325 개로전월에비해 58% 가감소하였다.

40 (3) 유형별악성코드배포수 유형 건수 비율 Downloader 31, % Adware 17, % Trojan 7, % AppCare 6, % Dropper 2, % Joke % Win32/Virut % Spyware % Win-Clicker % 기타 3, % 합계 70, % [ 표 3-11] 유형별악성코드배포수 40 [ 그림 3-17] 유형별악성코드분포 [ 표 3-11] 과 [ 그림 3-17] 은 3 월한달동안발견된악성코드를유형별로구분하여발견건 수와해당비율 (%) 를보여주고있다. 3월한달동안총 70,312개의악성코드가발견되었으며이중 Downloader류가 31,283개로부동의 1위였던 Adware류 (17,358개) 를밀어내고 1위를차지하였다. 3위는 Trojan류가 7,188개로 3위를차지하였다. 사이트가드의전체악성코드개수는급격히감소하였으나, Downloader류는큰차이가없는것을보면, 웹을이용한 Downloader의배포하고애드웨어와 Trojan을다시다운로드하는전파방식이현재는악성코드배포방식의정석을차지하고있는것으로보인다.

41 (3) 악성코드배포순위 순위 악성코드명 건수 비율 1 - Win-Downloader/NavigateAssister ,712 56% 2 1 Win-Adware/Onclub ,349 16% 3 1 Win-Trojan/Xema.variant 2,878 5% 4 new Win-Adware/Shortcut.InlivePlayerActiveX.234 2,620 5% 5 1 Win-AppCare/WinKeyfinder ,460 5% 6 1 Win-AppCare/WinKeygen ,334 4% 7 3 Packed/Upack 1,198 2% 8 - Dropper/Agent G 1,107 2% 9 7 Win-Adware/Shortcut.IconJoy ,018 2% 10 new Win-Adware/Shortcut.FreeBacon % 합계 52, % [ 표 3-12] 유형별악성코드배포 Top [ 표 3-12] 는 3월한달동안웹사이트에서사이트가드를통해확인된악성코드배포 Top 10을보여주고있다. Top 10에포함된악성코드들의총배포건수는 52,658건으로 3월한달총배포건수 70,312건의약 75% 에해당되며, 지난달의 67% 보다증가하였다. 원인은급격한악성코드감소에도불구하고지난달에이어 1위를차지한 Win- Downloader/NavigateAssister 는지난달과큰변화가없었기때문이다. 특이한점은 2월에는 Top 10에신규로진입한악성코드가 5건인반면에 3월에는 2건밖에되지않을정도로큰변화가없었다는점이다. 이는전체악성코드의신종발견수가줄어들고기존 Top 10에진입한악성코드들이활발한활동은하고있는것이주요원인으로보인다. 요컨대, 지난달과달리악성코드증가세에반전하여급격한감소를보인 3월이었다. 이는신종악성코드발견수가감소하고, 전체적으로다양한보안프로그램의기능강화로인해악성코드감소가이루어진것으로보이나, 3월의감소가 2009년간지속될지여부는 4월의결과를보아야어느정도판단이가능할것으로보인다.

42 IV. 분기별보안이슈 1. 악성코드 1 분기이슈 (1) 1 분기악성코드동향 구분 악성코드명 건수 비율 1 Win-Trojan/Agent % 2 Win-Trojan/SpamMailer % 3 Dropper/Agent % 3 Dropper/OnlineGameHack % 3 Win-Trojan/Agent B 9 7.2% 3 Win-Trojan/Autorun E 9 7.2% 3 Win-Trojan/Backdoor % 4 Win-AppCare/HackTool % 4 Win-Trojan/Buzus % 4 Win-Trojan/Fakealert B 8 6.4% 5 Win32/IRCBot.worm AI 7 5.6% 42 5 Win-Adware/Elog % 5 Win-AppCare/Agent.8704.B 7 5.6% 6 Dropper/Autorun % 6 Dropper/OnlineGameHack % 합계 % [ 표 4-1] 2009년 1분기악성코드피해 Top 15 악성코드피해 Top 15 의대부분은트로이목마가자리를차지하면서압도적인비율을보이고있다. 특히게임핵이강세이며 15 위에서당당히 3 자리를차지하였다. 가짜백신프로그램인페이크안티바이러스 (Win-Trojan/Fakealert B) 도순위에보이며, 3 월에주춤하던오토런의경우 1 분기결산통계에서오토런드롭퍼와함께 15 위에서 2 자리를차지하고있다. [ 그림 4-1] 과표는변형악성코드를묶어서대표진단명기준으로통계를뽑은것이며, 개별악성코드통계보다전체적인악성코드통계양상을알수있다. 이는많은변형의출현및빠른악성코드엔진대응으로개별악성코드생명주기가짧아져서이를보강하기위해참고로작성한것이다.

43 1% 3% 4% 2% 1% 2% 3% 1% 1% 25% Win-Trojan/Agent Win-Trojan/Downloader Win-Trojan/OnlineGameHack Dropper/OnlineGameHack 5% 5% Dropper/Agent Win-Trojan/Zlob Win- 7% Downloader/Rogue.XPPoliceAntivirus Win32/Conficker.worm 20% Win32/Autorun.worm Win-Trojan/Fakeav 20% Win-Trojan/Xema.variant Win-Downloader/Rogue.FakeAV Win32/IRCBot.worm [ 그림 4-1] 2009 년 1 분기악성코드대표진단명 Top 구분 악성코드명 건수 비율 1 Win-Trojan/Agent % 2 Win-Trojan/Downloader % 3 Win-Trojan/OnlineGameHack % 4 Dropper/OnlineGameHack % 5 Dropper/Agent % 6 Win-Trojan/Zlob % 7 Win-Downloader/Rogue.XPPoliceAntivirus % 8 Win32/Conficker.worm % 9 Win32/Autorun.worm % 10 Win-Trojan/Fakeav % 11 Win-Trojan/Xema.variant % 12 Win-Downloader/Rogue.FakeAV % 13 Win32/IRCBot.worm % 13 Win-Trojan/Waledac % 14 Win-Trojan/Fraudload % 합계 % [ 표 4-2] 분기악성코드대표진단명 Top 15

44 [ 그림 4-1] 과 [ 표 4-2] 은 분기악성코드의대표진단명을기준으로유형별피해순 위 Top 10 을나타내고있다. 1분기악성코드대표진단명 Top 10을살펴보면 OnlineGameHack이많은비율 (3위와 4위에올라있으며, 그비율의합은 26.7%) 을차지하고있다. 1월에순위에진입하여 2월에 6 위까지올랐던오토런 (Autorun) 웜은 3월에 Top10순위에서사라졌으나 1분기전체통계에서다시그위상을볼수있다. 이외 1월까지 Top10순위를차지하다가 Top10순위에서사라졌던컨피커 (Conficker) 웜도당당히 8위를차지하였다. 가짜백신프로그램인페이크안티바이러스 (FakeAV) 는 9위에서한단계올라 8위로상승했으며, 또다른변종가짜백신프로그램인페이크안티바이러스 (Win-Trojan/FakeAV, Win-Downloader/Rogue.XPPoliceAntivirus, Win-Downloader/Rogue.FakeAV) 도여러변형들이함께순위에속하였다. 가짜백신프로그램은사용자가설치및검사하지않았음에도허위로진단하여마치시스템에많은악성코드를진단한것처럼보여주어온라인결제를유도하는금전적인목적을가지고있다. 아래 [ 그림 4-2] 는 2009년 1분기전체악성코드유형별피해신고건수를나타내고있는그래프이다. 트로이목마프로그램은 73% 로다른악성코드보다월등히많은비율을차지하고있으며, 드롭퍼와웜이각각 12% 와 9% 를차지하고있으며, 그뒤를이어스크립트 5%, 유해가능프로그램이 1% 를차지하고있다. 비율에거의변동없이바이러스는 0.1% 로극히낮은비율을유지하고있다. 44 9% 1% 12% 5% 73% 트로이목마스크립트드로퍼웜유해가능프로그램바이러스 [ 그림 4-2] 2009 년 1 분기악성코드유형별피해신고현황

45 바이러스유해가능프로그램웜드로퍼스크립트트로이목마 1월 2월 3월 0.2% 0.60% 0.10% 1.7% 1.60% 3.10% 11.8% 7.70% 8.80% 9.5% 11.80% 9.00% 4.1% 4.70% 3.50% 72.7% 72.60% 76.60% [ 그림 4-3] 2009 년 1 분기악성코드유형별피해신고비율전월비교 45 위의 [ 그림 4-3] 은 1분기접수된악성코드유형별피해신고를비교하여나타낸것이다. 트로이목마의경우 1월 2월에비율차이없다가 3월에 3.9% 가늘어났으며, 웜은 1월부터소폭으로계속감소하는추세이다. 드롭퍼는 2월에소폭상승하였다가 3월에다시소폭떨어져 1월의비율을유지하였다. 스크립트, 유해가능프로그램과바이러스는약간의수치차이는있겠으나전월과많은차이가없었다 년 2009 년 0 1 월 2 월 3 월 [ 그림 4-4] 년 1 분기대비피해신고건수비교 [ 그림 4-4] 는작년 2 월및올해 1 월은각각피해신고건수가상대적으로주춤했는데이유 는중국의춘절인작년 2 월올해 1 월에는악성코드제작자들도고향을찾아잠시휴식을취 했기때문이라고판단된다. 그이후로다시상승하는것을볼수있다.

46 (2) 1 분기신종및변형악성코드주요이슈 ( 가 ) 신종및변형악성코드 1 분기동향 1분기악성코드의주요이슈는 취약점 이란키워드로정의된다고하겠다. 작년에알려진서버서비스취약점 (MS08-067) 을악용한컨피커 (Conficker) 웜과변형이 1분기내내피해를주었고백신프로그램업체와같은보안업계를괴롭혔다. 또한해당취약점을이용한다른악성코드도국내에서피해를일으키기도하였다. 이외에도취약점관련해서 PDF 및엑셀, 파워포인트관련제로데이취약점등이알려졌다. 이와같은문서파일에대한취약점은곧잘 spear phishing 스피어피싱 로이용된다. 문서파일에대한제로데이공격이늘어나는원인으로는많은사용자들이윈도우와같은 OS 및웹브라우저에대한취약점만을알고대응하는경우가많다. 많은사용자들이사용하며, 많은공격을받고있는 MS 오피스계열의경우불법사용자의경우최신보안패치를받을수없을뿐더러 문서파일에악성코드가묻어있을까? 라는의구심조차하지않기때문에많은사용자들이의심없이메일및웹링크된문서파일을오픈하고는한다. 악성코드제작자들은이런점을노리고취약점을찾고이를응용한악성코드 ( 악의적인문서 ) 를제작하는것이다. 트로이목마중중국발관련악성코드중상당수를차지하고있는온라인게임의사용자계정정보를탈취하는유형은작년동기와진단정책의차이로 1:1 로비교하기에는무리가있지만굳이비교를해보면 17% 정도감소가있었다. 2008년 12월안철수연구소는진단정책의일환으로해당악성코드가많이사용하는특정실행압축에대해서진단하기로한후부터해당악성코드는수는조금씩낮게 1분기내보고가되었다. 해당유형의악성코드의경우진단을회피할목적으로오히려실행압축을하지않거나또는안티에뮬레이션코드가포함된형태로양분되는경향을보여주고있다. 46 바이러스유형의경우바이럿 (Win32/Virut) 바이러스변형과카슈 (Win32/Kashu.B) 바이러스변형이보고되었다. 이중바이럿 (Win32/Virut) 바이러스변형은 2월에는자신의코드를대폭변경하고이후지속적으로변형이출몰하여많은피해를입혔다. 웜유형의경우위에서언급한컨피커 (Win32/Conficker.worm) 의영향으로전체적으로는수치가증가했지만이웜을제외했을경우별다른특이점은없다. 다만월덱 (Win32/Waledac.worm) 이라고명명된악성코드가주요사회및정치적인이슈등을이용하여자신을전파시키는데사용하였다. 해당악성코드는 2008년까지맹위를떨치던젤라틴 (Win32/Zhelatin.worm) 유형과전파방법과코드등이비슷하여해당악성코드제작자 ( 들 ) 가새로운형태로그들만의봇넷 (Botnet) 을운영하고있을것으로유추해본다. 이외에도 DNS 를조작하여가짜백신의설치를유도하거나이러한자신을진단, 치료하기 어렵도록하는자기보호가고도화된악성코드들도눈에띄게증가하였다. 특히일부커널 스팸메일러의경우자신을종료하지못하도록시스템프로세스에커널쓰레드를만들어두

47 고동작하는등점점고도화되는자기보호기법이사용되고있음을알수가있었다. 또한국 내사용자들을노리는메신저관련악성코드변형들도자주출몰하여피해도컸다. 다음은 2009 년 1 분기신종및변형에대한악성코드유형별분포도이다. 파읷 0.2% 스크립트 4.5% 웜 9.5% 유해가능 1.0% 문서 ( 취약점, 매 크로등 ) 0.7% 트로이목마드롭퍼스크립트 드롭퍼 11.4% 웜 파읷 트로이목마 유해가능 72.6% 문서 ( 취약점, 매크로등 ) 47 [ 그림 4-5] 2009 년 1 분기신종및변형악성코드분포 여전히트로이목마유형이가장많은비율을보이고있다. 웜유형의경우 2008 년전체를 통틀어 5% 비율을차지하고있는반면에올해 1 분기는무려 9.5% 이다. 이는컨피커 (Conficker) 웜변형의폭발적인증가에기인한다. 올해 ( 그전까지는트로이목마및드롭퍼유형으로 ) 처음악성코드유형에추가한취약점이존재하는문서파일에대한악성코드비율은 1% 도안되지만이러한악성코드가일반사용자들보다는스피어피싱형태로특정인및단체를노리고유포되므로감염되었을경우그로인한피해및신뢰도하락은상상을초월하므로비율이작다고간과해서는안된다. 다음은작년동기와비교한신종및변형악성코드수를비교한것이다.

48 년 2009 년 월 2 월 3 월 [ 그림 4-6] 2008, 2009 년 1 분기신종및변형악성코드발견수 위 [ 그림 4-6] 에서도알수있듯이 2009년은전년동기대비무려 69% 정도의증가율을보이고있다. 중국발악성코드유입으로영향을많이받는국내의경우올해 2월, 특이하게전년동월과비교해서더많은수가발견된것으로나타났다. 보통중국의최대명절인춘절이포함되어있는 1월또는 2월의경우악성코드전월보다적은수가보고되었지만올해는달랐다. 이와같은정확한원인은알수가없지만시기상으로올해춘절의경우양력으로는 1월 25일부터 31일까지였기때문에 2월의경우해당되지않아악성코드가이런시기적인요인에영향을받지않았을수있다. 48 다음은안철수연구소가정리한 1 분기악성코드관련주요이슈이다. ( 나 ) 컨피커 (Conficker) 웜변형의폭발적증가와피해그리고아류작출현 MS 취약점을이용한컨피커 (Conficker) 웜변형이새롭게발견, 보고되었다. 특히 자신을전파하는방법이다양해졌다. 다음과같다. - 이동식저장디스크를이용한전파방법 - 취약한관리목적공유폴더를이용한전파방법 - MS 취약점을이용한전파방법 [ 참고 4-1] Win32/Conficker.worm 전파방법 또한악성코드자신의코드가매번다른형태가발견되었고진단과치료를어렵게하기위

49 해서자신을원격파일핸들로특정프로세스에오픈해두었고나아가 NTFS 파일시스템인 경우파일의보안속성을설정하여관리자권한이라도액세스권한을빼앗아버렸다. 또한 DNS 쿼리관련함수를조작하여백신프로그램업체와같은특정도메인에대한접근을차단하기도하였다. 또다른변형의경우실행중인프로세스에서문자열을비교하여백신프로그램및윈도우보안패치와관련이있는경우프로세스를종료하는증상도추가되었다. 컨피커 (Conficker) 웜의경우근래들어보기드문윈도우취약점을이용하는매우악의적인형태의악성코드로기억될것으로보인다. MS 취약점을이용해서전파되는또다른악성코드도보고되었는데그것은일명 2090바이러스라고알려졌다. 안철수연구소는에임봇 (Win32/AimBot.worm) 으로명명진단 / 치료를하고있다. 악성코드가실행되면시스템날짜를 2090년으로변경하기때문에이악성코드가일반사용자에게는 2090바이러스라고먼저알려졌다. 49 악성코드는자신을윈도우부팅시마다실행되도록하기위해서특정레지스트리키값을이용하는데이때버그로추정되는현상으로윈도우로그인진입시무한재부팅현상을일으킬수있다. 또한일부시스템에서는악성코드에서생성되는드라이버로인하여 BSOD 를발생하는등여러가지 Side-effect로인하여더욱유명세를치뤘다. ( 다 ) 월덱 (Waledac) 과사회적인이슈들 월덱 (Win32/Waledac.worm) 은이스라엘의가자지구침공및발렌타인데이, 오바마당선 그리고테러와관련한뉴스등잘알려진사회적이슈를이용하여메일로유포되었다. 보통 감염방식은메일내특정링크를통하여사용자를특정웹페이지로유도한다. 해당웹페이지에접속을하면페이지의내용에맞는특정실행파일의다운로드활성창이나타난다. 파일을실행한경우변형에따라서특이하게로컬드라이브에는자신의복사본을생성하지않는다. 또한내부적 (SSL 이용 ) 으로는특정웹서버로접속하려고시도하며악성코드바이너리내부에는 RSA 인증관련블록이존재하는것으로추정하건데이러한내용들은여타의 P2P 웜처럼감염된다른시스템과암호화된통신을위해서사용되어질것으로도보인다. 월덱 (Win32/Waledac.worm) 은젤라틴 (Win32/Zhelatin.worm) 처럼사회적인이슈를가지고자신을전파하는데이용하는면에서는유사하지만실행후증상이나자신의암호화된코드를풀어내기위한방법은젤라틴 (Zhelatin) 과비교하면다른형태를가지고있다. 그러나이악성코드역시조직적으로만들어지고유포되는것으로보여젤라틴 (Zhelatin) 처럼올한해

50 많은변형이만들어져피해를줄가능성이높아보인다. ( 라 ) 바이럿 (Win32/Virut) 바이러스변형발견및보고 1분기바이러스이슈중당연바이럿 (Win32/Virut) 바이러스변형을빼놓을수가없다. 안철수연구소는새로운변형을 Win32/Virut.E, F 형으로각각명명하고, 진단, 치료를하고있다. 이바이러스의변형의기준은 EPO (Entry-Point Obscuring - 시작실행시점불명확화 ) 형태인경우에는 C, E 형으로분류하고 Entry Point 내특정크기만큼바이러스코드로덮어쓴형태를 D, F 형으로분류하고있다. 이번에발견된 E, F 형경우기존의진단방식을회피하고있는형태로기본적인형태는달라지지않았다. 해당바이러스는치료를위해서는메모리치료가반드시선행되어야한다. E, F 형발견이후에도진단을회피하는변형이계속발견되었다. ( 마 ) 취약점을이용하는악성코드들 ( 제로데이공격포함 ) 이번분기내역시취약점을이용하여자신을실행하는악성코드유형이많이발견및보고되었다. 대표적으로 IE7 취약점 (MS09-002) 을이용하는악성코드가발견, 보고되었다. 해당취약점을이용한악성코드는 HTML/Exploit-XMLhttpd로진단하고있다. 일반적으로메일및메시저의웹링크나문서내링크를첨부하는형태로악의적인웹사이트로유도를할수가있다. 50 어도비 PDF 문서에서제로데이취약점이발견, 보고도되었다. 어도비리더와어도비아크로뱃 9.0 및이하모든버전에서 JBIG2 이미지스트림을로딩하는도중버퍼오버플로우를발생한다고알려져있다. 그리고많은사용자들이사용하는 MS 오피스엑셀및파워포인트에서도제로데이취약점이알려졌고이를이용한악성코드가출현하여주의가요구되었다.

51 2. 스파이웨어 1 분기이슈 (1) 스파이웨어 1 분기동향 년 2009 년 0 1 월 2 월 3 월 [ 그림 4-7] 2009 년 1/4 분기스파이웨어피해및신종발견건수 51 [ 그림 4-7] 은 2009년 1월 ~ 3월동안의스파이웨어피해신고건수및신종및변형스파이웨어발견건수를표시하는그래프이다. 스파이웨어피해신고건수는증가해 2009년 2월까지는증가했으나 3월에는크게감소했다. 신종및변형스파이웨어발견건수역시동일한양상을보이고있다. 스파이웨어피해신고건수는 2월에 1500건으로증가추세를보이다 3 월 795건으로주춤하고있다. 이것은 2008년같은시기 (1월 2083건, 2월 1061건, 3월 910건 ) 보다피해건수가다소줄어든것이다. 순위 대표진단명 건수 비율 1 Win-Downloader/Rogue.FakeAV % 2 Win-Spyware/Crypter % 3 Win-Downloader/Rogue.XPPoliceAntivirus % 4 Win-Downloader/Zlob % 5 Win-Adware/IEShow 211 8% 6 Win-Spyware/PWS.OnlineGame 128 5% 7 Win-Downloader/Rogue.FakeAV % 8 Win-Downloader/Rogue.SystemSecurity 62 2% 9 Win-Dropper/PWS.OnlineGame 54 2% 10 Win-Spyware/Zlob 51 2% 합계 % [ 표 4-3] 2009년 1/4분기스파이웨어피해 TOP10 ( 대표진단명 )

52 [ 표 4-3] 은변형을고려하지않은대표진단명으로집계한스파이웨어피해 Top 10이다. 외산가짜백신을설치하는페이크안티바이러스 (Win-Downloader/Rogue.FakeAV) 가가장많은피해를입히고있으며, 2008년중반부터급격하게많은변형을배출해낸엑스피안티바이러스 (Win-Downloader/Rogue.XPAntivirus2008) 의변형인엑스피폴리스안티바이러스 (Win-Downloader/Rogue.XPPoliceAntivirus) 와시스템시큐리티 (Win-Downloader/Rogue.SystemSecutiry) 도피해순위 Top 10에포함되어외산가짜백신이지속적으로피해를입히고있음을알수있다. 피해 Top 10의 5위아이쇼우 (Win-Adware/IEShow) 는피해순위 Top 10에포함된유일한국산스파이웨어다. 아이쇼우는지난 2008년 12월최초보고된이후매우빠르게변형을배포해지난 2월피해신고및신종및변형스파이웨어발견건수를증가의원인이되었다. (2) 국내, 국외스파이웨어발견현황 구분 국내 국외 1월 월 월 계 [ 표 4-4] 2009 년 1/4 분기국내및해외신종및변형스파이웨어발견건수 52 [ 표 4-4] 는 2009년 1/4분기국내, 국외신종및변형스파이웨어발견비율을보여준다. 국내제작스파이웨어의피해는 2월에가장높은수치를기록하였으며 1월과 3월에는유사한수치를보여준다. 국내제작스파이웨어의경우대부분고전오락프로그램이나웹하드등의번들형식으로설치가되며설치과정에서사용자의동의를받고있기때문에 V3나스파이제로에진단추가되지않아피해건수가감소하는추세가유지되고있었다. 그러나, 지난 2월에는사용자의동의를받고설치된프로그램의업데이트프로그램을통해다운로드되어다른프로그램의운영을방해하는스파이웨어의변형이다수발견되어피해건수가 50% 이상급격히증가했다. 외산가짜백신설치를유도하는것으로잘알려진즐롭 (Win-Spyware/Zlob, Win- Downloader/Zlob), 크립터 (Win-Spyware/Crypter), 다운로더페이크AV(Win-Download- er/fakeav) 에의한피해신고가 2009년에도꾸준히접수되어 1/4분기해외신종및변형은모두 1812건으로확인되었다. 가짜백신설치를유도하는이러한외산스파이웨어류의경우지속적으로변형을생산해내고있으며변형배포주기또한점점빨라지고있어외산스파이웨어류의신종및변형은꾸준히증가할것으로보인다.

53 (3) 가짜백신배포방법의다양화 2009년 1/4분기에는국산가짜백신에의한피해신고가크게감소한반면외산가짜백신과이를설치하는여러가지스파이웨어의피해신고가크게증가했다. 외산가짜백신의경우음란사이트나불법소프트웨어사용을위해필요한키생성프로그램을가장해설치를유도하거나유명사이트를변조해사이트방문시 OS의취약점을이용해설치가되도록하는것이대부분이었다. 그러나최근에는메일의첨부파일로전파되는 e-card와같은악성코드에의해서도설치가되고있다. 또유튜브와같은동영상사이트에서튜토리얼을제공해해당사이트를직접방문하게하거나토렌트 (torrent) 공유파일을이용해설치를유도하고있다. 가짜백신을통해수익을추구하기위해서는최대한많은 PC에설치가되어야하기때문에가짜백신은더욱다양한방법으로변형배포를할것으로예상된다. 53 [ 그림 4-8] 가짜백신을배포하는방법 (4) 국내제작스파이웨어의배포의지능화 2007년말정부에서발표한새로운스파이웨어기준에의해사용자동의없이 ActiveX로설치되는프로그램에대한기준이강화되어국내스파이웨어의피해가점차줄어들고있다. 그러나다수의리워드 ( 적립금제공 ) 프로그램, 키워드광고프로그램들이설치과정에서사용자의동의를받고있지만사용자는동의사실을모른채설치되어사용자의불편을야기하는경우가많이증가하고있다. 일부리워드프로그램의경우자신이허용하는프로그램만을실행할수있도록하는기능이포함되어있어인터넷뱅킹이나특정기업에서사용하는내부프로그램의사용이불가능한사례도보고되었다.

54 [ 그림 4-9] 리워드프로그램이설치하는허용가능프로그램리스트파일 file0=2in5qef5wllyufpaythqwllyufpacgjqwllyufpayejawvhqwlpkafpzwfbawmw= >> ithinkakfrdma.dll file3=kwdikoiykaeoifpzwfbawmxzckhoebja8eg= >> WindowsLiveLogin.dll file9=cvpzwfbawmwwmihgirja4gjyaa== >> SearchPot.dll file14=kwagiieombja8eg= >> WiseBar.dll file12=qvdampaiqrgy8diwmojawvhqwlpkafpzwfbawmw= >> GoogleToolbar.dll 54 [ 그림 4-10] 리스트파일에인코딩되어저장된허용가능프로그램목록 이런프로그램들은 2008년고전오락사이트의게임과함께설치가되었으며, 2009년에는웹하드프로그램의번들로도많이설치가되고있다. 2007년무조건배포에서시작한국산스파이웨어는이제번들이라는이름으로새롭게배포되고있다. 번들형식으로프로그램을배포하는경우는설치시사용자의동의를받기때문에백신프로그램에서진단이어렵기때문에무료프로그램을설치할경우 번들프로그램이포함되어있는가, 번들프로그램의기능은무엇인가 를먼저확인한후프로그램을설치해야한다.

55 3. 시큐리티 1 분기이슈 (1) 2009 년 1 분기마이크로소프트보안업데이트현황 2009년 1분기마이크로소프트사로부터발표된보안업데이트는총 8건으로각각긴급 (Critical) 4건, 중요 (Important) 4건으로구성되어있다. 작년에비해올해초에는보안업데이트수가아직까지많지않으며, 발표된취약점들또한대부분공격코드가공개되지않고비교적공격에활용되기어려운취약점들이다. 따라서, 인터넷익스플로러취약점을제외하고는실제로공격에악용된사례를발견하기는쉽지않다. 55 [ 그림 4-11] 2008 년 1 분기보안업데이트현황 (2) 컨피커 (Conficker) 웜의지속적확산 2008년 10월말첫보고이후, 2009년초를떠들썩하게했던컨피커 (Conficker) 웜의명성은아직도여전하다. 초기변형인 A, B형에이어가장최근에는 4월 1일만우절을기점으로동적생성 5만개의도메인을통해악성코드를확산시킬것으로예상되었던변형 C, D형까지발견되었다. 많은보안전문가들및업체들의우려와는달리아직까지는변형으로인한큰피해사항이보고된바가없다. 컨피커 (Conficker) 웜은초기 MS 서버서비스취약점을이용하여확산하는것으로알려져있었기때문에전문가들은사용자들에게시스템에해당패치를적용하도록권고하는것에주력하였다. 그러나, 이외에도네트워크공유폴더와 USB 자동실행 (Autorun) 을통한

56 확산으로인하여지난 1, 2월국내에서도지속적으로많은피해사례를야기하였다. 컨피커 (Conficker) 웜은이외에도안티바이러스제품종료, 특정프로세스의종료, 운영체제의방화벽기능해제, DNS 정보조작등의자기보호기능을가지고있다. 이러한다양한확산방법과자기보호기능등은컨피커 (Conficker) 웜을대처하는많은보안전문가들및업체들을매우당혹스럽게만들었다. 아직까지도컨피커 (Conficker) 웜으로부터공격은완전히사라지지않았기때문에사용자및관리자들은최신보안업데이트적용, 취약한네트워크공유해제및각종보안제품의최신버전유지등을통해웜으로부터의위협을최소화해야할것이다. (3) MS 제품에이어 Adobe 제품을노리는공격 마이크로소프트사의오피스제품군과더불어최근가장대중적인활용도가높은제품으로어도비 (Adobe) 사의 Acrobat Reader 를들수있다. 이처럼대중적인인기는공격자들에게는위협을확산시킬수있는아주좋은매개체가될수있다는것을의미하기도한다. 지난달 PDF 파일속 JBIG2 Stream 관련버퍼오버플로우취약점으로인한제로데이 (0- day) 공격이큰피해를입힌것으로보고되었고, 최근또다른취약점보고로인하여 Adobe사로부터 3월보안업데이트가발표되기도하였다. 이외에도과거다음과같은대표적인 Acrobat Reader 관련취약점들이있었고최근해당취약점들을이용하는악성 PDF 파일을배포하는 URL들이다수발견되고있다 Adobe Acrobat Reader util.printf() JavaScript Function Stack Overflow Exploit(CVE ) - Adobe Multiple Products JavaScript collect info Method Buffer Overflow(CVE ) 과거하나의취약점을공략하도록제작되었던것과달리최근에발견된악의적인 PDF파일들은다음과같이각버전에따라적절한취약점이실행되도록다수의취약점 (uitl.printf 와 Collab.collect Info 취약점 ) 을한꺼번에탑재하는형태로제작되었다. 파일속스크립트는압축을해제하면바로확인할수있는스크립트구조를갖는경우도있지만, 압축을해제후진단하는진단엔진들이개발되면서이를우회하기위해또다시스크립트난독화 (Obfuscate) 방법을사용하는경우가많아졌다. 아직까지가장최근에보고된 geticon() 취약점이탑재된악성 PDF파일은보고되지않았으나, 과거의취약점들처럼해당취약점또한악성 PDF파일이곧탑재될것으로예상된다 (4) 인터넷익스플로러 (IE) 7 을노리는공격

57 작년까지많은인터넷익스플로러취약점들이중국발웹공격에이용되었으나올해에는인터넷익스플로러취약점을이용한공격은비교적잠잠한것으로보인다. 그러나, 작년말발표된 MS 인터넷익스플로러 7 제로데이 (0-day) 취약점에이어올해발표된 MS Cloned Object 취약점또한인터넷익스플로러 7 에서발견되었다. 그수는많지않으나최근신고되는악성 URL 배포사이트를살펴보면, 해당인터넷익스플로러 7 취약점들은초기에공개된공격코드 (PoC) 와큰변형없이스크립트난독화만을적용하여배포하는것으로보인다. 따라서, 초기해당취약점진단엔진을배포한다수의보안제품의최신버전을유지하는것만으로또다른확산가능성은없을것으로예상된다. 최근마이크로소프트사로부터인터넷익스플로러 8가발표되었으나아직까지는사용자대부분이낮은버전을사용할것으로예상되기때문에근본적으로해당취약점에대한마이크로소프트사의보안업데이트를적용하는것이우선되어야할것이다. 57

58 4. 중국 1 분기악성코드동향 2009 년의첫분기중국의악성코드동향은단 3 종류를제외하고는모두새로운악성코드가 순위에포함될정도로큰폭의변화를가져왔다. 어떠한변화를가져왔는지안철수연구소의 중국시큐리티대응센터 (ASEC) 의악성코드동향을살펴보도록하자. 순위 순위변화 AhnLab V3 진단명 비율 1 New Win-Trojan/Vundo 20.98% 2 1 Win-Trojan/Obfuscated 15.77% 3 2 Win-Trojan/Downloader 7.92% 4 New Win-Trojan/Agent 7.44% 5 New Win-Trojan/Swizzor 2.96% 6 New Dropper/Agent 2.44% 7 New Win-Trojan/Dialer 2.04% 8 New Win-Trojan/Xema 2.00% 9 7 Win-Trojan/OnlineGameHack 1.88% 10 New Win-Trojan/Banker 1.72% 58 [ 표 4-5] 2009 년 1 분기 AhnLab China 악성코드 TOP 10 [ 표 4-5] 은 2009년 1분기동안안철수연구소의중국시큐리티대응센터 (ASEC) 으로접수된악성코드 TOP 10이다. 이표를보면먼저 2008년 4분기전체악성코드분포에서 75.09% 를차지하면서절대적인분포를확보하고있던 Obfuscated 트로이목마가 60% 가량의분포를손실해이번 2009년 1분기에는 15.77% 로 2위로한계단순위하락하였다. Obfuscated 트로이목마가 2위로하락한자리에는 Vundo 트로이목마가 20.98% 의분포를가지면서이번분기에처음으로순위에진입함과동시에 1위를차지하였다. Vundo 트로이목마는인터넷익스플로러에 BHO(Browser Helper Object) 등록되어광고성웹페이지로연결시켜주는기능을수행하는트로이목마이다. 이외에도 Vundo 트로이목마를포함한총 7 개의악성코드가이번 1분기에새롭게순위에포함이되었다. 전반적으로새로운악성코드가 TOP 10에진입함에도불구하고 Downloader 트로이목마는유일하게지난 4분기에이어상승세로보이고있다. 이러한점은중국내에서단순하게웹사이트에서다른악성코드를다운로드하는기능을가진악성코드또는악성코드중에서다른악성코드를다시인터넷을통해다운로드하는기능을가진악성코드가증가세에있는것으로분석할수가있다. 그러나한국에서도아직까지비교적높은감염신고가따르는 OnlineGameHack 트로이목마가 7계단이나하락한 9위를차지하였다는점은온라인게임관

59 련악성코드제작의감소인지아니면일시적인현상으로인한것인지는다음 2분기의동향을연계하여분석해볼필요가있을것이다. 그리고이번 1분기의또다른특이사항으로는지난 4분기의경우 Obfuscated 트로이목마가전체에서 75.09% 의분포를차지하면서절대다수를가져갔으나이번 2009년 1분기에는악성코드 TOP 10의전체분포가 53.86% 를차지하고있다. 일시적으로특정악성코드에대한편중이사라진것인지아니면다양한악성코드의분포가시작될전망인지는다음 2분기에서도계속지켜보아야할것이다. 59

60 5. 일본 1 분기악성코드동향 2009년 1분기일본에서는 2008년 3분기부터확산되기시작한오토런 (Autorun) 악성코드로인한피해가여전히많이발생하였다. 윈도우실행파일을감염시키는바이럿Virut) 변형과윈도우 OS의취약점을이용하여전파되는컨피커 (Conficker) 웜도많은피해를유발한것으로보인다. 아래의 [ 그림 4-12] 은일본트랜드마이크로사에서발표하는월간보고서의내용중오토런 악성코드의월별피해현황을집계한것이다 년 9 월이후급격하게증가한오토런악 성코드가여전히많은피해를주고있는것을알수있다. 60 [ 그림 4-12] 오토런악성코드의감염피해현황 ( 자료출처 : 일본트랜드마이크로사 1) 오토런악성코드가최초발견하기시작한것은오래전의일이지만과거에는 USB 메모리나외장 HDD와같은외부저장매체의사용자가많지않은관계로이를이용하는악성코드또한많지않았다. 그러나최근에는저장매체가가지고있는편의성때문에 PC를사용하는대부분의사용자들에게서널리이용되고있고이를이용한악성코드또한급격하게증가하고있는추세이다. 올해에들어직접적인피해수치가점점줄어들고는있지만최근제작되는악성코드들의추세가대부분기본적으로오토런기능을가지고있고볼때이러한유형의악성코드들은올해도많은피해를입힐것으로예상된다. 아래의 [ 그림 4-13] 은닥터웹에서발간한 2009년 2월월간보고서중악성코드감염피해관련내용이다. 바이럿의피해가많은것을볼수있다. 이러한통계보고는 IPA 등다른보안업체들의정기보고서에서도비슷한양상을보이고있다. 악성코드자체에확산기능이없이단순하게실행파일을감염시키는악성코드임에도불구하고이와같이많은피해를유발시키는것은해당악성코드의강력한면모를가늠하게한다. 1

61 [ 그림 4-13] 2009 년 2 월악성코드피해현황 ( 자료출처 : 닥터웹 1 ) 61 바이럿의경우처음발견된이후몇년의시간이지났음에도불구하고현재까지다양한변형이제작되어많은감염피해가발생하고있는데금년 2월부터는변형의수가이전에비해많이증가하고있고보안프로그램에서쉽게치료를하지못하도록기능이복잡화되면서일본의 PC사용자들의피해도증가하고있는것으로보인다. 컨피커 (Conficker) 웜은 2008년 12월발견된네트워크를이용해전파되는웜이다. 컨피커 (Conficker) 웜이최초로발견된이후현재까지다양한변형이제작되어배포되고이로인해전세계적으로많은피해가발생하고있는것으로보고되고있으며이러한상황은일본도크게비슷한것으로보인다. [ 그림 4-14] TCP 445 포트트래픽현황 1

62 [ 그림 4-14] 은일본의 IPA에서발간한네트워크모니터링통계중 TCP 445포트를이용한트래픽정보이다. 2009년 1월부터해당포트를이용한트래픽이점점늘어나고있고 2월중순이후급격하게늘어난것을볼수있다. IPA의보고서에는트래픽증가에대한정확한원인이파악되지않은상태라고하지만최근발생한컨피커 (Conficker) 웜변형이공격을위해 445 포트를이용한대량의트래픽을유발시키는것으로미루어보아해당악성코드가영향을미쳤을가능성이높다고봐야할것이다. 일본 IPA 에서발표한악성코드피해통계에의하면 2009 년 1 분기에가장많은감염피해를 유발한악성코드는넷스카이 (Win32/Netsky.worm) 웜인것으로밝혀졌다. 아래의 [ 그림 4-15] 는 2009 년 1 분기에발생한악성코드피해통계를집계한것이다. 62 [ 그림 4-15] 2009 년 1 분기악성코드피해통계 ( 자료출처 : 일본 IPA 1 ) [ 그림 4-15] 에서볼수있는것처럼넷스카이웜이다른악성코드들에비해현저하게많은감염피해를발생시키고있는것을알수있다. 넷스카이웜이외에도여러이메일웜들로인한피해가많이나타나고있는것을볼수있는데이러한현상은이전과크게다르지않다. 이메일웜이외에는오토런류의악성코드와바이럿, 그리고컨피커 (W32/Downad) 웜에의한피해가다수발생한것을볼수있다. 아래의 [ 표 4-6] 은일본트랜드마이크로사에서발표한월별악성코드피해통계이다 년 1 월 2009 년 2 월 2009 년 3 월 악성코드명 피해량 악성코드명 피해량 악성코드명 피해량 MAL_OTORUN 484 MAL_OTORUN 484 MAL_OTORUN 354 WORM_DOWNAD 251 WORM_DOWNAD 170 WORM_DOWNAD 129 BKDR_AGENT 67 TSPY_ONLINEG 106 TROJ_VUNDO 66 BKDR_TDSS 48 TROJ_VUNDO 78 JS_IFRAME

63 MAL_HIFRM 44 MAL_HIFRM 77 TSPY_ONLINEG 61 TROJ_DLOADER 43 BKDR_AGENT 66 BKDR_AGENT 47 TROJ_VUNDO 40 JS_IFRAME 48 BKDR_TDSS 45 JS_IFRAME 38 TROJ_GAMETHIEF 22 MAL_HIFRM 38 TSPY_ONLINEG 36 TROJ_DLOADER 21 WORM_AUTORUN 35 WORM_AUTORUN 28 WORM_AUTORUN 18 TROJ_FAKEAV 19 [ 표 4-6] 일본트랜드마이크로월별감염피해통계 ( 자료출처 : 일본트랜드마이크로 1 ) 오토런과컨피커웜의감염피해가다른악성코드에비해현저하게높은것을볼수있다. 오토런악성코드의감염피해수치는전월에비해하락한상태이나컨피커웜의경우 1월과 2월에급격하게증가한것을볼수있는데네트워크트래픽을다량으로유발하는악성코드의특성상실제로일본에서많은피해를유발했을것으로생각된다. 이외에주목할만한점은스파이웨어의일종인티디에스에스 (BKDR_TDSS) 의피해가많이발생한것을들수있다. 해당악성코드는인터넷에동영상코덱과같은프로그램으로위장한즐럽 (Win-Spyware/Zlob) 변형에의해설치되는스파이웨어로써설치된악성코드를보호하는루트킷이함께설치되어보안제품에서정상적인치료를불가능하게하는기능을가지고있어감염시피해가지속되는경우가많으므로주의가필요하다

64 6. 세계 1 분기악성코드동향 판다시큐리티에따르면 2008년매일 2만 2천개의새로운악성코드가발견되었다고한다 년 1분기가지난현재매일 2만개 ~ 3만개의신종악성코드가발견되고있는것으로추정하고있다. 하지만, 연말에이수치가어떻게변할지모른다. 여전히악성코드제작자들은특정지역에단기적으로여러변형을끝없이뿌리는전략을취하고있어다소지루한상황이다. 여러백신업체발표자료를통해 2009년 1분기세계동향을정리해보겠다. 2009년은컨피커 (Conficker) 웜의공습으로시작되었다. 컨피커 (Conficker) 웜은 2008년11 월윈도우취약점 (MS08-067) 을이용해전파되어짧은시간에세계로전파되었다. 판다시큐리티에따르면 200만대의검사된시스템중 6% 인 11만 5천대가컨피커에감염되어있었다고한다. 2 IBM 인터넷시큐리티시스템 (Internet Security Systems) 사업부는 4월 2일 24시간동안 2백만개의컴퓨터를스캔한결과모니터한 IP 주소들의 4 % 가컨피커 (Conficker) 웜에감염되었음을확인했다고한다. 3 컨피커 (Conficker) 웜은몇년간세계적으로널리퍼진악성코드가드문상황에서전세계적인감염이발생할수있음을보여줬다. 루마니아비트디펜더의통계에따르면 1위는오토런웜 (Trojan.Autorun.AFY) 이며브론톡웜변형 (Win32.Brontok.AO@mm, Win32.Brontok.Q@mm) 이 2위, 6위, 9위, 10위를차지하고있다. 브론톡웜변형이이렇게높은순위에있는것은다소의아하며루마니아에서브론톡웜감염이많은지는확인하지못했다. 64 러시아카스퍼스키랩에따르면 1위는컨피커 (Conficker) 웜 (Net-Worm.Win32.Kido.ih) 이차지했다. 카스퍼스키랩의통계는 카스퍼스키2009 제품에서실제감염통계를수집한결과이다. 상위권에존재하는악성코드는 AutoIt으로작성된웜 (3위, 13위, 16 위, 20위 ) 등이포함되어있다. 스페인판다시큐리티자료에따르면 1 위는 Spyware/Virtumonde 이며 3 위, 4 위, 6 위가모두 애드웨어이다. 대만트렌드사의통계에따르면악성코드순위에는 USB 플래쉬메모리등으로전파되는오 토런웜 (Autorun worm) 이주요순위를차지하고있다. 대륙별, 국가별로도 USB 플래쉬메모 리를통해전파되는악성코드가순위에있었다

65 스페인판다시큐리티 2009년 1분기동향자료에따르면 1 악성코드중트로이목마가 73.82% 를차지하고있으며스파이웨어가 13.15%, 애드웨어가 8.83% 를차지하고있다. 이들을모두합치면 95.8% 가자체전파기능이없는형태이다. 하지만, 카스퍼스키랩의통계에는자체전파기능이있는악성코드가 50% 로다소높다. 2 [ 그림 4-16] 판다시큐리티에서밝힌악성코드유형 ( 출처 : 판다시큐리티 ) 65 영국의메시지랩에따르면 개메일중 1 개가악성코드라고한다 개메일중 1 개가피싱메일로피싱보다더메일을이용한악성코드전파방법이적음을알수있다. [ 그림 4-17] 메일을통한악성코드배포의감소 ( 출처 : 메시지랩 ) 하지만, 악의적인웹사이트는매일 2,797 개가차단되어 197.2% 라는증가를보이고있어웹 사이트를통한악성코드전파가일반화되었음을알수있다

66 전체적으로보면 2009년 1분기는보기드물게컨피커 (Conficker) 웜이세계적으로확산되었으며메일을통한악성코드전파는갈수록줄어들고웹사이트해킹후웹브라우저취약점을이용하는코드를삽입해악성코드를배포하는방식과 USB 플래쉬메모리디스크같은이동형저장매체를통한악성코드가극성을부렸다. 66

67 ASEC REPORT 작성을위하여다음과같은분들께서수고하셨습니다 년 3 월호 편집장선임연구원허종오 집필진 선임연구원 김소헌 선임연구원 정진성 선임연구원 차민석 선임연구원 조성준 선임연구원 심선영 주임연구원 장영준 주임연구원 강동현 주임연구원 이재호 주임연구원 김민성 주임연구원 주설우 67 감수상무조시행 참여연구원 ASEC 연구원분들 SiteGuard 연구원분들

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코 월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.

More information

*2008년1월호진짜

*2008년1월호진짜 3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가

More information

ASEC Report

ASEC Report 1. 악성코드 AimBot 웜의출현과 Virut 바이러스변형기승... 2 2. 스파이웨어 스파이웨어배포방식의지능화... 5 3. 시큐리티 다양한취약점을이용한공격증가... 8 4. 네트워크모니터링현황 MS08-067 취약점을이용한공격증가... 12 5. 중국보안이슈 가짜경품웹사이트사기단검거... 14 주요백싞프로그램의오진사례와원읶... 17 1. 악성코드 Autorun

More information

#WI DNS DDoS 공격악성코드분석

#WI DNS DDoS 공격악성코드분석 #WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음

More information

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1- Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다. 2010 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 2월의악성코드감염보고는 Win32/Induc이

More information

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770> 웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.

More information

ASEC Report

ASEC Report ASEC Report 12 월 ASEC Report 2009. 1. I. 이달의보안이슈... 2 (1) 악성코드 IE 제로데이취약점과쿠폰을가장한악성코드... 2 (2) 스파이웨어 애드웨어의새로운시도... 5 (3) 시큐리티 MS08-078 IE XML 제로데이취약점... 9 (4) 네트워크모니터링현황 MS08-067 취약점공격트래픽... 12 (5) 중국보안이슈

More information

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황

More information

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황

More information

ASEC Report

ASEC Report 1. 악성코드 파워포읶트제로데이관련취약점과또다른 Conficker 웜변형... 2 2. 스파이웨어 Zlob 방식으로배포되는국내애드웨어... 6 3. 시큐리티 PPT 0 day 취약점 (CVE-2009-0556)... 12 4. 중국보안이슈 중국의정보보안관련법... 16 Ineternet Explorer 8.0 의편리함과보안위협... 18 1. 악성코드...

More information

ASEC Report

ASEC Report 1. 악성코드 사회적이슈를이용한악성코드... 2 2. 스파이웨어 정상적읶컴퓨터사용을방해하는스파이웨어... 5 3. 시큐리티 TV는사랑을싣고 ~, 메읷은취약점을싣고 ~... 7 4. 네트워크모니터링현황... 11 5. 중국보안이슈... 13 TrueFind 성공기... 19 1. 악성코드통계... 25 2. 스파이웨어통계... 34 3. 시큐리티통계... 37

More information

ASEC Report

ASEC Report 1. 악성코드 콘피커웜변형출현으로인한피해증가... 2 2. 스파이웨어 스파이웨어크립터와가짜백신... 6 3. 시큐리티 콘피커웜의전파방법과대처법... 9 4. 네트워크모니터링현황 콘피커웜의확산... 13 5. 중국보안이슈 2008년악성코드동향... 16 콘피커웜 Technical Report... 20 1. 악성코드 OnlineGameHack의활동뚜렷... 29

More information

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar

More information

<4D F736F F F696E74202D20C0FCBCBAC7D0202D20B1E2BEF720C1A4BAB820BAB8C8A3B8A620C0A7C7D120BEC7BCBAC4DAB5E520B4EBC0C0205BC8A3C8AF20B8F0B5E55D>

<4D F736F F F696E74202D20C0FCBCBAC7D0202D20B1E2BEF720C1A4BAB820BAB8C8A3B8A620C0A7C7D120BEC7BCBAC4DAB5E520B4EBC0C0205BC8A3C8AF20B8F0B5E55D> 기업정보보호를위한악성코드대응 2009.10.27 27 안철수연구소소프트웨어연구실전성학실장 목 차 1. 악성코드위협의변화 2. 악성코드의보안위협사례 3. 악성코드의주요감염경로 4. 기업의악성코드대응방안 1. 악성코드 위협의 변화 범죄화 금전적 목적/조직적 Targeted 공격 쉽고 빠른 변형 제작 Zero Day 공격 Zero-Day 금전적인 목적 빠른 감염

More information

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황

More information

ASEC Report

ASEC Report ASEC Report 10 월 ASEC Report 2008. 11. I. ASEC Monthly Trend & Issue... 2 (1) 악성코드 MS08-067 윈도우보안취약점을악용하는악성코드... 2 (2) 스파이웨어 스팸메일러피해증가... 5 (3) 시큐리티 원격공격이가능한 MS08-067... 9 (4) 네트워크모니터링현황 TCP 445 포트공격시도...

More information

ASEC Report

ASEC Report 1. 악성코드 Geno 혹은 Gumblar 악성코드이슈... 2 2. 스파이웨어 리워드프로그램제작자의기소및 Clicker 이슈... 5 3. 시큐리티 IIS의 WebDAV 취약점주의요망... 9 4. 중국보안이슈 사이버머니갈취범징역형및취약한 PDF 생성기... 12 구름속백신?! 안랩스마트디펜스... 15 1. 악성코드... 24 2. 스파이웨어... 33

More information

Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res

Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. AhnLab Security Emergency response Center REPORT

More information

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환 취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple

More information

ASEC Report

ASEC Report 1. 악성코드 Win32/Induc 바이러스허위 UPS 메일관련악성코드... 2 2. 스파이웨어 카페에글을도배하는스파이웨어... 5 3. 시큐리티 7.7 DDoS 패킷분석... 9 4. 중국보안이슈 - 중국의범죄자양성교육... 14 Win32/Induc 바이러스가남긴과제... 16 1. 악성코드통계... 21 2. 스파이웨어통계... 28 3. 시큐리티통계...

More information

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다. 2011 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2011년 1월의악성코드감염보고는 TextImage/Autorun이

More information

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.

More information

<C0CCC8ADC1F82E687770>

<C0CCC8ADC1F82E687770> 분석보고서 09. 11. 06. 작성 악성봇분석과예방 (Analysis Malicious Bot & Protection) 작성자 : 영남대학교 @Xpert 이화진 ghkwls0308@ynu.ac.kr - 1 - - 목차 - 1. About 봇... 3 1) 봇의정의 2) 봇의특징 3) 봇의동작원리 2. 악성 IRC봇... 4 1) 정의 2) 동작원리 3) 증상

More information

Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염

Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염 Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염보고 Top 20 2010년 10월의 감염보고 건수는 Win-Trojan/Agent가 총 856,917건

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2 월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황

More information

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환 취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer

More information

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 년 11월의악성코드감염보고는 Win32/Induc이 1위를차지하고

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 년 11월의악성코드감염보고는 Win32/Induc이 1위를차지하고 Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2009년 11월의악성코드감염보고는 Win32/Induc이 1위를차지하고있으며, TextImage/Autorun 과 Win32/Virut.B 가각각 2위와 3위를차지하였다.

More information

유포지탐지동향

유포지탐지동향 월간악성코드은닉사이트탐지 동향보고서 (7 월 ) 2014. 08. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 3. 악성코드은닉사례분석

More information

5th-KOR-SANGFOR NGAF(CC)

5th-KOR-SANGFOR NGAF(CC) NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는

More information

Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res

Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL.21 211.1 안철수연구소월간보안보고서 이달의보안동향

More information

ActFax 4.31 Local Privilege Escalation Exploit

ActFax 4.31 Local Privilege Escalation Exploit NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고

More information

Security Trend ASEC Report VOL.56 August, 2014

Security Trend ASEC Report VOL.56 August, 2014 Security Trend ASEC Report VOL.56 August, 2014 ASEC Report VOL.56 August, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,

More information

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%

More information

07_alman.hwp

07_alman.hwp 1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다.

More information

Ⅰ. 이달의보안이슈 1. 악성코드 - Alureon 트로이목마 Win-Trojan/Alureon 트로이목마는이전부터알려진트로이목마로주로악의적인 DNS로변경하는악의적인기능을가지고있다. 이와함께생성되는 DLL 을통하여자신의변형이나안티바이러스종료그리고특정호스트로 DDOS 공

Ⅰ. 이달의보안이슈 1. 악성코드 - Alureon 트로이목마 Win-Trojan/Alureon 트로이목마는이전부터알려진트로이목마로주로악의적인 DNS로변경하는악의적인기능을가지고있다. 이와함께생성되는 DLL 을통하여자신의변형이나안티바이러스종료그리고특정호스트로 DDOS 공 Ⅰ. 이달의보안이슈 1. 악성코드 - Alureon 트로이목마 Win-Trojan/Alureon 트로이목마는이전부터알려진트로이목마로주로악의적인 DNS로변경하는악의적인기능을가지고있다. 이와함께생성되는 DLL 을통하여자신의변형이나안티바이러스종료그리고특정호스트로 DDOS 공격을수행하는트로이목마이다. 해당트로이목마는 9 월초국내일부고객들로부터발견, 보고되었으며치료가매우까다로운편에속하는악성코드이다

More information

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응 MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,

More information

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다. 2010 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 11월의악성코드감염보고는 TextImage/Autorun이

More information

ASEC Report

ASEC Report 1. 악성코드 DDoS 악성코드의공격으로인한사회적혼란... 2 2. 스파이웨어 V3를도용한가짜프로그램등장... 5 3. 시큐리티 7.7 DDoS 패킷분석... 12 4. 중국보안이슈 중국에서제작된제로데이 (Zero-Day) 취약점생성기... 17 현금자동입출금기와악성코드... 22 1. 악성코드통계... 25 2. 스파이웨어통계... 35 3. 시큐리티통계...

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉 월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2014. 03. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 15 3. 악성코드은닉사례분석

More information

08_spam.hwp

08_spam.hwp 1. 개요 최근국내외에서 E-card 발송을가장한스팸메일로인하여악성코드에감염되는피해가다수보고되었다. 악성코드는메일본문에악의적인 URL을삽입및클릭을유도하는방식으로스팸메일을발송한다. 사용자가스팸메일에포함되어있는악성URL을클릭할경우감염될수있으며, 감염후에는악성코드가감염PC내에저장되어있는메일주소들을추출하여해당주소로동일유형의스팸메일을발송하게된다. 또한, P2P를통한명령전달및추가악성코드다운로드등의악성행위가예상되므로사용자는

More information

Ⅰ. 이달의보안동향 1. 악성코드동향 2009년 10월 ASEC 리포트부터는기존의고객신고에기반한통계치의한계를넘어, 현상황을정확하게반영하고자, AhnLab에서독자개발한 AMP 1 을이용하여산출한통계데이터를사용하도록개선하였다. 아래표는악성코드의주요동향을파악하기위하여, 악성

Ⅰ. 이달의보안동향 1. 악성코드동향 2009년 10월 ASEC 리포트부터는기존의고객신고에기반한통계치의한계를넘어, 현상황을정확하게반영하고자, AhnLab에서독자개발한 AMP 1 을이용하여산출한통계데이터를사용하도록개선하였다. 아래표는악성코드의주요동향을파악하기위하여, 악성 Ⅰ. 이달의보안동향 1. 악성코드동향 2009년 10월 ASEC 리포트부터는기존의고객신고에기반한통계치의한계를넘어, 현상황을정확하게반영하고자, AhnLab에서독자개발한 AMP 1 을이용하여산출한통계데이터를사용하도록개선하였다. 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한, 악성코드대표진단명별감염보고 Top 20 이다. 악성코드통계 [ 표 1-2]

More information

Microsoft Word - ASEC Report doc

Microsoft Word - ASEC Report doc Manual 목 ASEC Report 11월 ASEC Report 2004. 12 I. 11 월악성코드피해 Top 10 3 II. 11 월국내신종악성코드발견동향 8 III. 11 월신규보안취약점 13 IV. 11 월일본피해동향 16 V. 11 월중국피해동향 20 안철수연구소의시큐리티대응센터 (Ahnlab Security E-response Center) 는악성코

More information

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770> 악성코드유포지 경유지의공격코드와보안취약점 1. 개요 본고에서는인터넷침해사고대응지원센터에서자체개발 적용하고있는악성코드은닉사이트탐지프로그램에서 2006년 1월부터 3월까지탐지한사이트중 50개를대상으로공격코드및관련소프트웨어취약점을분석한다. 먼저 ( 그림 1) 에서악성코드유포와경유지를구분하고, 2005년이후게재되었던 인터넷침해사고동향및분석월보 관련기사를해당부분에적어보았다.

More information

ìœ€íŁ´IP( _0219).xlsx

ìœ€íŁ´IP( _0219).xlsx 차단 IP 국적 공격유형 목적지포트 IPS 룰 180.97.215.45 중국 서비스취약점공격 TCP/5555 (0001)SYN Port Scan 222.186.42.248 중국 서비스취약점공격 TCP/80 (0001)SYN Port Scan 104.236.178.166 미국 웹해킹 TCP/80 (5010)HEAD / HTTP (Http server buffer

More information

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷 인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS

More information

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 12 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 년 12월의악성코드감염보고는 Win32/Induc과 TextIma

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 12 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 년 12월의악성코드감염보고는 Win32/Induc과 TextIma Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 12 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2009년 12월의악성코드감염보고는 Win32/Induc과 TextImage/Autorun이 1,2위를차지하고있으며, 신규로 Top 20에진입한악성코드는총 7건이다.

More information

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL.23 211.12 안철수연구소월간보안보고서 이달의보안동향

More information

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다 년 6 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다 년 6 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1 Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다. 2010 년 6 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 6월의악성코드감염보고는 TextImage/Autorun

More information

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1 악성코드은닉사이트탐지 동향보고서 17 년상반기 1 ` 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 4 2.1 악성코드유포지현황 4 - 유포지탐지현황 4 - 대량경유지가탐지된유포지 TOP10 5 - 악성코드취약점및취약한 S/W 악용현황 6 - 악성코드유형별비율 7 - 위협 IP 및도메인현황 8 2.2 악성코드경유지현황 9 - 경유지탐지 업종별비율

More information

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우. 소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423

More information

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A ASEC REPORT VOL.27 212.4 안랩월간보안보고서 212 년 3 월의보안동향 212 년 1 분기보안동향 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc.

More information

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

개인정보보호의  이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호- 개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro

More information

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상 Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는

More information

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

개인정보보호의  이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호- 개인정보보호의 이해및안전한관리 - 개인 PC 및스마트폰개인정보보호 - 2012. 12. 12 최윤형 ( 한국정보화진흥원 ) 1 안전한개인 PC 관리방법 목 차 2 안전한스마트폰관리방법 1. 안전한개인 PC 관리방법 정보통신기기의보안위협요인 웜, 바이러스, 악성코드, DDos 공격침입, 네트워크공격 휴대성, 이동성오픈플랫폼 3G, WiFi, Wibro 등 웜,

More information

(Microsoft Word - ASEC Report 2008\263\3428\277\371\310\243.doc)

(Microsoft Word - ASEC Report 2008\263\3428\277\371\310\243.doc) ASEC Report 8월 ASEC Report 2008. 9. I. ASEC 월간통계 2 (1) 8월악성코드통계 2 (2) 8월스파이웨어통계 11 (3) 8월시큐리티통계 13 II. ASEC Monthly Trend & Issue 15 (1) 악성코드 허위안티바이러스설치를위장한사기성스팸메일기승 15 (2) 스파이웨어 악성허위안티 - 스파이웨어 AntiVirusXP2008

More information

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다. 2010 년 3 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년

More information

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여

More information

고객 사례 | Enterprise Threat Protector | Akamai

고객 사례 | Enterprise Threat Protector | Akamai ENTERPRISE THREAT PROTECTOR 를사용하는이유 1 사례연구 : AKAMAI IT 부서 ENTERPRISE THREAT PROTECTOR 를사용하는이유 ENTERPRISE THREAT PROTECTOR 를사용하는이유 2 목차 Executive Summary 3 엔드포인트보호 4 고급탐지 7 ROI 8 ENTERPRISE THREAT PROTECTOR

More information

<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378> 목차 Part Ⅰ. 2 월의 악성코드 통계 1. 악성코드 통계... 2 (1) 감염 악성코드 Top 15... 2 (2) 카테고리별 악성코드 유형... 3 (3) 카테고리별 악성코드 비율 전월 비교... 3 (4) 월별 피해 신고 추이... 4 (5) 월별 악성코드 DB 등록 추이... 4 2. 악성코드 이슈 분석 악성코드 종합 선물셋트 Bredolab Worm...

More information

I. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다 년 12 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1]

I. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다 년 12 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] I. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다. 2010 년 12 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 12월의악성코드감염보고는 JS/Agent이 1위를차지하고있으며,

More information

TGDPX white paper

TGDPX white paper White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,

More information

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하 Security Trend ASEC REPORT VOL.79 July, 2016 ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정

More information

untitled

untitled Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임

More information

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Microsoft Word - windows server 2003 수동설치_non pro support_.doc Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction 해킹및침해대응 Lecture2 침해사고동향 보안위협의증대 APT 를기반으로하는기업 / 기관을대상으로하는공격이지속적으로발생 : ADD, MND, 한수원등 DDoS 공격의지속적인발생, 공격목적의변화 서비스거부해제를위한금품요구 사회혼란, 정치적목적 공공기관사칭피싱사이트증가 금융, 게임, 포털 검찰청, 경찰청, 금감원 추가적으로모바일형태의피싱사이트증가 주요인기키워드및사회이슈를활용한악성코드배포

More information

슬라이드 1

슬라이드 1 2010.10.14 조시행상무 (shcho@ahnlab.com) 연구소장 목 차 1. 상반기악성코드동향과보앆위협 2. 악성코드를이용핚 DDoS 공격사례 3. Cloud Service 를이용핚 ACCESS 대응젂략 1. 상반기악성코드동향과보안위협 1. 상반기악성코드동향과보앆위협 1) 악성코드로인핚보앆위협의발젂 느린감염호기심, 자기과시 빠른감염호기심, 자기과시

More information

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름 EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection

More information

Microsoft PowerPoint - 권장 사양

Microsoft PowerPoint - 권장 사양 Autodesk 제품컴퓨터사양 PRONETSOFT.CO 박경현 1 AutoCAD 시스템사양 시스템요구사양 32 비트 AutoCAD 2009 를위한시스템요구사항 Intel Pentium 4 프로세서 2.2GHz 이상, 또는 Intel 또는 AMD 듀얼 코어프로세서 16GH 1.6GHz 이상 Microsoft Windows Vista, Windows XP Home

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2013. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13

More information

Microsoft Word - ijungbo1_13_02

Microsoft Word - ijungbo1_13_02 [ 인터넷정보관리사필기 ] 기출문제 (11) 1 1. 지금부터인터넷정보관리사필기기출문제 (11) 를풀어보겠습니다. 2. 홈페이지제작할때유의할점으로가장거리가먼것은무엇일까요? 3. 정답은 ( 라 ) 입니다. 홈페이지제작시유의할점으로는로딩속도를고려하며, 사용자중심의인터페이스로제작하고, 이미지의크기는적당하게조절하여야한다. [ 인터넷정보관리사필기 ] 기출문제 (11)

More information

Windows 10 General Announcement v1.0-KO

Windows 10 General Announcement v1.0-KO Windows 10 Fuji Xerox 장비와의호환성 v1.0 7 July, 2015 머리말 Microsoft 는 Windows 10 이 Windows 자동업데이트기능을통해예약되어질수있다고 6 월 1 일발표했다. 고객들은 윈도우 10 공지알림을받기 를표시하는새로운아이콘을알아차릴수있습니다. Fuji Xerox 는 Microsoft 에서가장최신운영시스템인 Windows

More information

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for 메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)

More information

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,

More information

ASEC REPORT VOL

ASEC REPORT VOL ASEC REPORT VOL.46 2013.10 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴

More information

Microsoft Word - src.doc

Microsoft Word - src.doc IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...

More information

2006_8_14 (8_17 updated) ms06-040 ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

2006_8_14 (8_17 updated) ms06-040 ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp MS06-040 웜(wgareg.exe) 분석 1. 개요 2. 전파 방법 (그림) browser를 오픈 요청 (그림) srvsvc 에 대한 요청 (그림) Exploit 과정 (그림) 웜 전송 3. 감염 시 악성 기능 (그림) 감염 시 개인방화벽 OFF 예 4. 타 시스템 감염을 위한 공격력 5. 위험 요소 6. 사전 예방 방법 7. 감염 시 치료 방법

More information

(Microsoft Word - ASEC Report 2007\263\3429\277\371\310\243.doc)

(Microsoft Word - ASEC Report 2007\263\3429\277\371\310\243.doc) ASEC Report 9월 ASEC Report 2007. 10 I. ASEC 월간통계 2 (1) 9월악성코드통계 2 (2) 9월스파이웨어통계 11 (3) 9월시큐리티통계 14 II. ASEC Monthly Trend & Issue 16 (1) 악성코드 Win-Trojan/Eldo 16 (2) 스파이웨어 교묘해진스파이웨어의동의과정 19 (3) 시큐리티 데이터복원이슈

More information

SIGIL 완벽입문

SIGIL 완벽입문 누구나 만드는 전자책 SIGIL 을 이용해 전자책을 만들기 EPUB 전자책이 가지는 단점 EPUB이라는 포맷과 제일 많이 비교되는 포맷은 PDF라는 포맷 입니다. EPUB이 나오기 전까지 전 세계에서 가장 많이 사용되던 전자책 포맷이고, 아직도 많이 사 용되기 때문이기도 한며, 또한 PDF는 종이책 출력을 위해서도 사용되기 때문에 종이책 VS

More information

AhnLab_template

AhnLab_template 2012 년상반기 악성코드동향과전망 - APT 2012. 10. 10 조시행연구소장 Contents 01 APT 02 최근 APT 공격사례 03 APT 공격형태의특징 04 미래 APT 공격형태 05 APT 공격대응방안 01 APT(Advanced Persistent Threat) 1) 2012 년도악성코드동향리뷰 2012 년 1 분기악성코드유형별피해분포 2012

More information

F O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아

F O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아 F O C U S 3 홈페이지를통한악성코드유포및대응방안 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아악성코드유포가용이하다는점때문에해커는최대한많은접속자를악성코드에감염시켜금융정보를탈취하거나, APT공격의전단계로써정보수집을목적으로한다.

More information

PowerPoint Template

PowerPoint Template 설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet

More information

(Microsoft Word - ASEC Report 2007\263\3425\277\371\310\243.doc)

(Microsoft Word - ASEC Report 2007\263\3425\277\371\310\243.doc) ASEC Report 5월 ASEC Report 2007. 6 I. ASEC 월간통계 2 (1) 5월악성코드통계 2 (2) 5월스파이웨어통계 11 (3) 5월시큐리티통계 14 II. ASEC Monthly Trend & Issue 16 (1) 악성코드 Autorun.inf 파일의정체에대하여 16 (2) 스파이웨어 국산스파이웨어의증가 21 (3) 시큐리티 디지털환경에따른트렌드의변화

More information

목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 목차 Part Ⅰ 3 월의악성코드통계... 3 1. 악성코드통계... 3 (1) 감염악성코드 Top 15... 3 (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 5 2. 악성코드이슈분석 Trojan.Rootkit.LoaderA... 6 (1) 개요...

More information

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx #include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의

More information

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서 Security Trend ASEC REPORT VOL.82 October, 2016 ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,

More information

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL.24 212.1 안철수연구소월간보안보고서 이달의보안동향

More information

ASEC Annaul Report 2005_0117

ASEC Annaul Report 2005_0117 ASEC Report 2006. 1 안철수연구소의시큐리티대응센터 (AhnLab Security E-response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여바이러스와보안전문가들로구성되어 24시간운영되는보안대응전문조직입니다. ASEC Annual Report는안철수연구소의 ASEC에서고객에게보다다양한정보를제공하기위하여 2005년한해동안의바이러스,

More information

슬라이드 1

슬라이드 1 강력한성능! 인터넷 / 업무용데스크탑 PC NX-H Series Desktop PC NX1- H700/H800/H900 NX2- H700/H800/H900 NX1-H Series 사양 Series 제품설명 ( 모델명 ) NX1-H Series, 슬림타입 기본형모델중보급형모델고급형모델 NX1-H800:112SN NX1-H800:324SN NX1-H800:534MS

More information

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자 SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전

More information

Microsoft PowerPoint - chap01-C언어개요.pptx

Microsoft PowerPoint - chap01-C언어개요.pptx #include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을

More information

Studuino소프트웨어 설치

Studuino소프트웨어 설치 Studuino 프로그래밍환경 Studuino 소프트웨어설치 본자료는 Studuino 프로그래밍환경설치안내서입니다. Studuino 프로그래밍 환경의갱신에따라추가 / 수정될수있습니다. 목차 1. 소개... 1 2. Windows... 2 2.1. 프로그래밍환경설치... 2 2.1.1. 웹설치버전설치방법... 2 2.2. Studuino 프로그래밍환경실행...

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file

More information

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo 메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)

More information

월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호 안랩 온라인 보안 매거진 2016. 03 Patch Management System 월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호 법령 사항

More information

ASEC Report

ASEC Report ASEC Report 11 월 ASEC Report 2008. 12. I. ASEC Monthly Trend & Issue... 2 (1) 악성코드 윈도우시스템파일을바꿔치기하는악성코드... 2 (2) 스파이웨어 3929.cn으로홈페이지를고정하는스파이웨어... 4 (3) 시큐리티 PDF 취약점... 7 (4) 네트워크모니터링현황 MS08-067 공격트래픽...

More information

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL.22 2011.11 안철수연구소월간보안보고서 악성코드분석특집

More information

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 [ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 2011-08-04 SK 커뮤니케이션즈해킹주요내용 : 지난 7 월 26 일 ( 화 ) SK 커뮤니케이션즈가해킹으로인해일부고객의정보가유출된사실이확인되었고, 28 일 ( 목 ) 홈페이지팝업공지문 ( 개인정보유출 ) 과함께관련된언론보도자료가배포되었다. 이는 3500

More information

System Recovery 사용자 매뉴얼

System Recovery 사용자 매뉴얼 Samsung OS Recovery Solution 을이용하여간편하게 MagicInfo 의네트워크를설정하고시스템을백업및복원할수있습니다. 시스템시작시리모컨의 - 버튼이나키보드의 F3 키를연속해서누르면복구모드로진입한후 Samsung OS Recovery Solution 이실행됩니다. Samsung OS Recovery Solution 은키보드와리모컨을사용하여조작할수있습니다.

More information

목차 Part Ⅰ 7 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 7 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 목차 Part Ⅰ 7 월의악성코드통계... 3 1. 악성코드통계... 3 (1) 감염악성코드 Top 15... 3 (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 5 2. 악성코드이슈분석 국내인터넷뱅킹계정정보를노리는악성코드... 6 (1) 개요... 6

More information