ASEC REPORT VOL 안랩월간보안보고서 2012년 12월의보안동향 2012년보안동향분석

Similar documents
< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A

ASEC REPORT VOL

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

Security Trend ASEC Report VOL.56 August, 2014

*2008년1월호진짜

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

ActFax 4.31 Local Privilege Escalation Exploit

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-

Windows 8에서 BioStar 1 설치하기

ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

Security Trend ASEC REPORT VOL.68 August, 2015

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A

ASEC REPORT VOL 안랩월간보안보고서 이달의보안동향모바일악성코드이슈

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

Security Trend ASEC Report VOL.52 April, 2014

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

#WI DNS DDoS 공격악성코드분석

ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

System Recovery 사용자 매뉴얼

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

Security Trend ASEC REPORT VOL.70 October, 2015

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구

ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며

ASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

ASEC REPORT VOL.69 September, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res

Ⅰ. 이달의보안동향 1. 악성코드동향 2009년 10월 ASEC 리포트부터는기존의고객신고에기반한통계치의한계를넘어, 현상황을정확하게반영하고자, AhnLab에서독자개발한 AMP 1 을이용하여산출한통계데이터를사용하도록개선하였다. 아래표는악성코드의주요동향을파악하기위하여, 악성

유포지탐지동향

Install stm32cubemx and st-link utility


Security Trend ASEC Report VOL.63 March, 2015

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

untitled

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

월간 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜

Security Trend ASEC Report VOL.55 July, 2014

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

TGDPX white paper

<4D F736F F D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

Security Trend ASEC REPORT VOL.67 July, 2015

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

*****

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구

PowerPoint Template

I. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다 년 12 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1]

Studuino소프트웨어 설치

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

SBR-100S User Manual

Microsoft Word - src.doc

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Security Trend ASEC Report VOL.51 March, 2014

목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

AhnLab_template

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

C스토어 사용자 매뉴얼

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

Transcription:

ASEC REPORT VOL.36 2013.01 안랩월간보안보고서 2012년 12월의보안동향 2012년보안동향분석

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. I. 2012년 12월의보안동향악성코드동향 01. 악성코드통계 03-12월악성코드, 전월대비 3만 8천여건감소 - 악성코드대표진단명감염보고최다 20-12월최다신종악성코드 Win-Trojan/Onlinegamehack.104448.BM - 12월악성코드유형트로이목마가최다 - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 02. 악성코드이슈 07 - 온라인뱅킹트로이목마 Banki(1) - 온라인뱅킹트로이목마 Banki(2) - 패스워드를노리는악성코드 - 악성코드의 3단콤보공격 - 온라인게임핵변종악성코드 - 특정후보의정책관련한글문서위장악성코드 - 부킹닷컴을사칭한악성코드 - 과다트래픽을발생시키는악성코드 - 상품권번호탈취하는온라인게임핵악성코드 - Xerox WorkCentre를사칭한악성메일 - Facebook을사칭한악성 e-mail 주의 03. 모바일악성코드이슈 18 - 국내스마트폰사용자를노린 Win-Android/Chest 악성코드 - PUP 앱의폭발적인증가보안동향 01. 보안통계 21-12월마이크로소프트보안업데이트현황 02. 보안이슈 22 - Stuxnet 기술을이용하는 MySQL 취약점 - 지속적으로보고되는인터넷익스플로러 use-after-free 취약점웹보안동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 02. 웹보안이슈 27-2012년 12월침해사이트현황 - 침해사이트를통해서유포된악성코드최다 10건 - 소셜커머스사이트해킹과악성코드유포 - Win32/Induc에감염된 Banki - 삽입된악성링크의지능화 II. 2012년보안동향분석악성코드동향 01. 악성코드통계 29-2012년악성코드, 1억3353만1120 건 - 악성코드대표진단명감염보고최다 20-2012년악성코드유형 트로이목마 가최다 02. 모바일악성코드이슈 32 - 월간모바일악성코드접수량 - 모바일악성코드유형 - 모바일악성코드진단명감염보고최다 10 보안동향 01. 보안통계 33-2012년 4분기마이크로소프트보안업데이트현황웹보안동향 01. 웹보안통계 34 - 웹사이트악성코드동향 02. 웹보안이슈 37 01. 웹보안통계 24 - 웹사이트악성코드동향

I. 2012 년 12 월의보안동향 3 01 악성코드동향 악성코드통계 12월악성코드, 전월대비 3 만 8천여건감소 ASEC이집계한바에따르면, 2012 년 12월에감염이보고된악성코드는 15,000,000 10,000,000 8,059,522 18.3% +1,917,307 9,938,154 9,976,829 23.8% 0.4% -38,675 전체 993만 8154건인것으로나타났다. 이는전월 997만 6829건에비해 5,000,000 3만 8675건이감소한수치다 ([ 그림 1-1]). 이중에서가장많이보고된악성코드는 ASD.PREVENTION이었으며, Malware/Win32.suspicious와 Trojan/Win32.onlinegames이다음으로많았다. 또한총 7건의악성코드가최다 20건목록에새로이름을올렸다 ([ 표 1-1]). 0 10 11 12 그림 1-1 월별악성코드감염보고건수변화추이 순위 등락 악성코드명 건수 비율 1 ASD.PREVENTION 779,165 20.3 % 2 Malware/Win32.suspicious 653,639 17.0 % 3 9 Trojan/Win32.onlinegames 250,631 6.5 % 4 1 Textimage/Autorun 226,212 5.9 % 5 1 Trojan/Win32.Gen 224,258 5.8 % 6 NEW Win-Trojan/Onlinegamehack.104448.BM 216,167 5.6 % 7 1 Trojan/Win32.adh 209,383 5.4 % 8 NEW Win-Trojan/Onlinegamehack138.Gen 165,725 4.3 % 9 6 JS/Agent 135,043 3.5 % 10 10 Trojan/Win32.agent 113,208 2.9 % 11 6 Adware/Win32.winagir 111,984 2.9 % 12 NEW Trojan/Win32.onlinegamehack 111,660 2.9 % 13 2 Malware/Win32.generic 110,498 2.9 % 14 1 Adware/Win32.korad 91,816 2.4 % 15 1 RIPPER 89,680 2.3 % 16 NEW Trojan/Win32.alyak 86,710 2.3 % 17 NEW Dropper/Win32.onlinegamehack 80,721 2.1 % 18 NEW Downloader/Win32.banload 68,677 1.8 % 19 NEW Win-Spyware/Pbbot.2000384 63,899 1.7 % 20 1 Als/Bursted 59,206 1.5 % TOTAL 3,848,282 100.0 % 표 1-1 2012년 12월악성코드최다 20건 ( 감염보고, 악성코드명기준 )

4 악성코드대표진단명감염보고최다 20 [ 표 1-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20건을추린것이다. 2012 년 12월에는 Trojan/Win32가총 156 만 2549건으로가장빈번히보고된것으로조사됐다. ASD.PREVENTION 이 77만 9165건, Malware/Win32가 77만 6471건으로그뒤를이었다. 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 1,562,549 22.3 % 2 ASD 779,165 11.1 % 3 Malware/Win32 776,471 11.1 % 4 Win-Trojan/Agent 639,347 9.1 % 5 3 Win-Trojan/Onlinegamehack 534,993 7.6 % 6 1 Adware/Win32 327,058 4.7 % 7 1 Win-Trojan/Downloader 294,315 4.2 % 8 1 Downloader/Win32 232,455 3.3 % 9 1 Textimage/Autorun 226,238 3.2 % 10 2 Win-Trojan/Korad 221,647 3.2 % 11 Win-Adware/Korad 203,693 2.9 % 12 3 Win-Trojan/Urelas 180,895 2.6 % 13 NEW Win-Trojan/Onlinegamehack138 165,725 2.4 % 14 NEW Dropper/Win32 149,718 2.1 % 15 4 JS/Agent 135,700 1.9 % 16 NEW Win-Dropper/Korad 131,825 1.9 % 17 1 Win32/Virut 131,177 1.9 % 18 4 Win32/Conficker 121,943 1.7 % 19 10 Win-Trojan/Avkiller 104,574 1.5 % 20 3 Win32/Kido 91,491 1.3 % TOTAL 7,010,979 100.0 % 표 1-2 악성코드대표진단명최다 20건 12월최다신종악성코드 Win-Trojan/ Onlinegamehack.104448.BM [ 표 1-3] 은 11월에신규로접수된악성코드중감염보고가가장많았던 20건을꼽은것이다. 12월의신종악성코드는 Win- Trojan/Onlinegamehack.104448. BM이 21만 6167건으로전체의 29.2% 를차지했으며, Win-Spyware/ PbBot.2000384가 6만 3899건이보고돼 8.6% 를차지했다. 순위 악성코드명 건수 비율 1 Win-Trojan/Onlinegamehack.104448.BM 216,167 29.2 % 2 Win-Spyware/PbBot.2000384 63,899 8.6 % 3 Win-Adware/KorAd.98304.C 41,266 5.6 % 4 Win-Trojan/Agent.114688.VM 31,676 4.3 % 5 Win-Trojan/Korad.96768.B 31,256 4.2 % 6 Win-Trojan/Agent.110592.ZK 30,678 4.2 % 7 Win-Trojan/Agent.2038784.B 30,660 4.1 % 8 Win-Spyware/PdBot.2450432 29,959 4.1 % 9 Win-Trojan/Onlinegamehack.134938 28,856 3.9 % 10 Win-Trojan/Korad.101376.B 27,552 3.7 % 11 Win-Trojan/Downloader.262144.MN 26,994 3.7 % 12 Win-Trojan/Strictor.483200 25,590 3.5 % 13 Win-Adware/Korad.218112 25,096 3.4 % 14 Win-Trojan/Navattle.204232 23,173 3.1 % 15 Win-Trojan/Korad.101376.C 22,218 3.0 % 16 Dropper/Win32.OnlineGameHack.303104 18,989 2.6 % 17 Dropper/Onlinegamehack.131398 17,032 2.3 % 18 Win-Trojan/Startpage.298528 16,591 2.2 % 19 Win-Adware/KorAd.10752 16,149 2.2 % 20 Win-Adware/KorAd.1809920 15,253 2.1 % TOTAL 777,830 100.0 % 표 1-3 11월신종악성코드최다 20건

5 12월악성코드유형트로이목마가최다 [ 그림 1-2] 는 2012년 12월 1개월간안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결과다. 트로이목마 (Trojan) 가 43.2% 로가장높은비율을나타냈고, 스크립트 (Script) 가 8.8%, 웜 (Worm) 이 6.3% 로집계됐다. 그림 1-2 악성코드유형별비율 악성코드유형별감염보고전월비교 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 트로이목마, 드롭퍼, 스파이웨어, 다운로더가전월에비해증가세를보였으며웜, 스크립트, 애드웨어는감소했다. 바이러스, 애프케어계열들은전월수준을유지했다. 그림 1-3 2012 년 11 월 vs. 12 월악성코드유형별비율

6 신종악성코드유형별분포 12월의신종악성코드를유형별로살펴보면트로이목마가 70% 로가장많았고, 애드웨어와스파이웨어가각각 8%, 드롭퍼가 6% 로집계됐다. 그림 1-4 신종악성코드유형별분포

7 02 악성코드동향 악성코드이슈 온라인뱅킹트로이목마 Banki(1) Boland사에서개발한프로그래밍언어인 Delphi에는일부버전 (Delphi4 ~ 7) 에서사용하는 Sysconst 라이브러리가있다. Win32/Induc 바이러스는이라이브러리를감염시킨후컴파일과정에서생성되는 EXE, DLL 등에바이러스코드를삽입한다. Win32/Induc은 2009년 8월경에발견됐다. 그당시국내에서제작및배포되고있었던 Delphi 기반의프로그램들도해당바이러스에감염된사례가다수있었다. 그러나불행중다행은위에서언급한것처럼 Win32/Induc은 Delphi소스에자신의코드를삽입하는기능만있을뿐감염된소스가컴파일되어생성된 EXE, DLL을일반 PC에서실행해도아무런피해를주지않았다. 만약 Win32/Induc이 Win32/Virut와동일한기능 ( 파일감염, IRC채널접속, 보안사이트접속방해등 ) 을가지고있었다면다수의일반 PC들에서피해가발생했을것이다. * Win32/Induc 바이러스조치가이드 : http://www.ahnlab.com/kr/site/securitycenter/asec/asecissueview. 2. UCC동영상사이트 : http://ucc.******.co.kr/adsi/cp.js cp.js파일에저장된코드는아래와같으며특정게임사이트에서또다른악성스크립트를다운로드하도록돼있다. 그림 1-6 악성스크립트를다운로드하는코드 adsi.html 역시동일한사이트에서 index.html파일을다운로드하며, 해당스크립트는아래그림처럼공다팩 (Gongda Pack) 으로난독화돼있다. 그림 1-7 Gongda Pack으로난독화된 index.html do?webasecissuevo.seq=57 하지만 2012년 12월말경, Delphi로제작된 Win32/Induc에감염된온라인뱅킹트로이목마가국내웹하드사이트해킹을통해유포된사례가발견됐다. 1. 웹하드사이트 : http://www.****hard.co.kr/common/js/action2.js action2.js파일의내부에는아래와같이자바스크립트코드가삽입돼있었고국내 UCC 동영상관련사이트로부터 cp.js파일을다운로드하도록돼있었다. 3. UCC동영상사이트 : http://ucc.******.co.kr/adsi/index.html 위 [ 그림 1-7] 에서처럼 index.html은 Gongda Pack 툴킷으로난독화되어있다. 국내의해킹된사이트를통해서유포된악성스크립트의대부분이해당툴킷을통해서난독화돼있다. ( 아래는 index.html이 Gongda Pack으로난독화돼있음을알수있는부분이다.) 그림 1-8 Gongda Pack 난독화표기 그림 1-5 cp.js 파일을다운로드하는 action2.js 코드 난독화된 index.html파일을풀어보면아래처럼우리가흔히사용하는 Java와 Internet Explorer에존재하는취약점을이용해실행파일을다운로드함을알수있다.

8 이를근거로판단해볼때악성코드제작자는악성코드제작시인터넷에공개된 Win32/Induc가포함된 Delphi소스를사용한것으로추정된다. <V3 제품군의진단명 > Win-Trojan/Prosti.132540 (2012.12.18.00) Trojan/Win32.Banki (2012.12.19.00) 온라인뱅킹트로이목마 Banki(2) 그림 1-9 난독화해제된 index.html [ 그림 1-9] 와같이 qq.exe를다운로드및실행하기위해서사용한취약점은아래 JAVA 5개, Internet Explorer 1개등총 6개를사용한다. - Java : CVE-2010-0886, CVE-2011-3544, CVE-2012-0507, CVE-2012-4681, CVE-2012-5076 IE : CVE-2012-1889 위취약점이존재할경우, 다운로드되는 qq.exe의내부코드를살펴보면 Delphi로제작됐으며, 아래그림처럼 Win32/Induc 바이러스코드가존재함을확인할수있다. 국내인터넷뱅킹사용자를타깃으로한악성코드 (Banki) 에서는특정시스템날짜가되면윈도우시스템파일을삭제하는기능이추가로발견됐다. 과거에발견된 Banki 정보는아래의주소에서확인이가능하다. - http://asec.ahnlab.com/search/banki 이번에발견된 Banki 변종은 Induc 바이러스에감염된악성코드로, http://210.***.**.32:2323/qq.exe 를통해유포되는것으로확인됐다. ( 유포과정은온라인뱅킹트로이목마 Banki(1) 참조.) 위파일이실행돼악성코드에감염될경우아래의경로에파일이생성된다. - C:\Windows\system32\muis\tempblogs.\tempblogs..\ 1216, Winlogones.exe, csrsses.exe 00003604 00403604 0 SOFTWARE\Borland\Delphi\RTL 00005568 00405568 0 Software\Borland\Locales 00005584 00405584 0 Software\Borland\Delphi\Locales 그림 1-12 악성코드에감염돼생성된파일 감염된뒤에는아래 [ 그림 1-13] 과같이레지스트리에서비스로등록되어, 부팅시실행된다. 그림 1-10 Win32/Induc 바이러스코드가포함된 qq.exe qq.exe에의해서다운로드되는 2.mp3파일도마찬가지로 [ 그림 1-11] 과같이 Win32/Induc 바이러스가존재한다. 그림 1-11 qq.exe 에의해서다운로드되는 2.mp3 그림 1-13 서비스등록

9 실행된환경에따라다르게나타날수있지만, 악성프로세스 winlogones.exe 는정상프로세스인 winlogon.exe 에자신을인젝션하여프로세스목록에 winlogones.exe 가보이지않게한다. 동시에또다른악성프로세스인 csrsses.exe 도계산기프로세스이름인 calc.exe 에자신을인젝션하여실행한다. 그림 1-17 시스템파괴후재부팅시화면 <V3 제품군의진단명 > Trojan/Win32.Banki (2012.12.19.00) 그림 1-14 정상적인프로세스만동작하는것으로위장 다운로드주소 www.zhu*****.com/temp/q/1.mp3 www.zhu*****.com/temp/q/q.mp3 www.zhu*****.com/temp/q/2.mp3 www.zhu*****.com/temp/q/3930.mp3 www.zhu*****.com:2323/count.txt 표 1-4 다운로드파일 생성된파일명 ChilkatCert.dll qserver.exe iexplores.exe termsrv.dll count.txt 패스워드를노리는악성코드조직내에서도큐사인서비스를이용중이라면각별한주의가필요할것으로보인다. 글로벌전자서명표준업체로알려진도큐사인으로위장한메일을통해악성코드가유포되고있기때문이다. 확인된메일은도큐사인을통해전자서명된문서인것처럼속이고일본특정기업과학교직원을대상으로발송됐다. 다운로드받은파일은아래의경로에생성된다. - C:\Windows\system32\muis\tempblogs.\tempblogs..\ 이번변종의가장큰특징은특정날짜 (2013년 1월 16일 ) 가되면시스템파괴기능이동작하도록제작돼있다는점이다. 해당날짜가되면아래와같은배치파일을 c:\ 에생성하며실행된다. 그림 1-18 도큐사인으로위장한메일원본 그림 1-15 system32 폴더에복사된악성코드 첨부된파일의압축을해제하면 알려진파일형식의파일확장명숨기기 옵션에따라아래 [ 그림 1-19] 와같이 PDF 파일로보이지만, 해당파일은확장자가 EXE인실행파일 (Employment 2013.pdf.exe) 이다. 배치파일에의해 ALG(Application Layer Gate) 서비스를중지하고 hal. dll 파일과 System32 내의파일을삭제하게되는것이다. 배치파일이실행되면아래와같은메시지가나타난다. 그림 1-19 압축해제된파일 그림 1-16 시스템파괴기능동작 만약시스템을재부팅하면아래와같은메시지가나타나며, 정상적인부팅이불가능하다. Employment 2013.pdf.exe 파일을실행하면아래 URL에접속을시도한다. - hxxp://89.***.**.40:8080/ponyb/gate.php - hxxp://6.loveis**the***.com/ponyb/gate.php - hxxp://4.pro******.com/ponyb/gate.php - hxxp://4.pro****vst.com/ponyb/gate.php - hxxp://wolfgang.br****.de/dfj.exe

10 - hxxp://kredi*****emitkredit******.de/7mt.exe - hxxp://1s*****.com/wtq.exe 분석당시위 URL 중에서 hxxp://1s*****.com/wtq.exe URL만접속이가능하고나머지 URL은 403, 404 에러가발생해접속이되지않았다. 다운로드받은 WtQ.exe 파일은 %TEMP% 폴더에자기복제본을 753656.exe ( 랜덤숫자 ) 파일로생성하고실행된다. 753656.exe 파일은자기복제본을랜덤한파일이름으로생성하고레지스트리값에등록하여부팅시자동실행이되도록한다. 단해당파일은 Anti_VM 기능이있어 VMWARE 환경에서는정상적으로동작하지않는다. [ 파일생성 ] %ALLUSERSPROFILE%\Application Data\E046B129AF1F64AA00 00E045D0E96A36\E046B129AF1F64AA0000E045D0E96A36.exe [ 레지스트리등록 ] [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce] "E046B129AF1F64AA0000E045D0E96A36"="C:\Documents and Settings\\All Users\Application Data\E046B129AF1F64AA0000E 045D0E96A36\E046B129AF1F64AA0000E045D0E96A36.exe" <V3 제품군의진단명 > Win-Trojan/Fareit.147456.B (2012.12.07.00) Trojan/Win32.Tepfer (2012.12.06.04) 악성코드의 3단콤보공격국내사이트가해킹돼악성코드가유포되는경우는흔히발생한다. 하지만이번처럼악성코드가복잡다단한구조로유포되는경우는흔치않다. 이번에발견된사례는과거와비교했을때아래와같은특징을가지고있다. - [1] 다단계유포방식 - [2] 악성코드의콤보공격 [1] 다단계유포방식일반적으로해킹된웹사이트를통해악성코드가유포될때에는 [ 웹사이트해킹 1~2개의경유지 ( 악성스크립트포함 ) 악성코드유포지 ] 등의구성을보이지만, 이번에발견된경우는 [ 그림 1-21] 처럼유포단계에서여러사이트를거치게돼있었다. E046B129AF1F64AA0000E045D0E96A36.exe 파일은 [ 그림 1-20] 과같이시스템사용을제한하고악성코드치료를위해사용자결제를유도하는허위백신이다. 그림 1-21 악성코드유포구조 [2] 악성코드의 3단콤보공격위 [ 그림 1-21] 과같이만약 PC가악성코드에감염되면 tsf.css, eexplorel.exe가실행되며해당파일들로인해서추가로다수의파일이생성되고외부로부터다른악성코드를다운로드한다. 그림 1-20 System Progressive Protection 허위백신 Employment 2013.pdf.exe 파일은아래와같은정보를수집한다. - 윈도우 Protected Storage cache에저장된패스워드정보 - 이메일클라이언트프로그램의메일서버정보 (POP3 및 IMAP 서버정보, 사용자계정, 패스워드 ) - FTP 클라이언트프로그램레지스트리값에저장된 FTP 정보 ( 호스트, 사용자계정, 패스워드 ) (1) tsf.css tsf.css는 Dropper로, 다수의악성파일을생성하며주요기능은아래와같다. A. 특정윈도우시스템파일 (wshtcpip.dll) 을악성 DLL로교체 B. 백신무력화기능 C. 온라인게임사용자의계정정보탈취 ( 유명온라인게임다수 ) (2) eexplorel.exe

11 A. DLL생성 : %windir%\xinstall1508100.dll %programfiles%\xrrx\bmmoegeqq.dll B. 서비스로실행 : Oopvnv Xkwmmvangt Fed C. 키보드입력데이터키로깅 : xhjmjj.dat D. RASPHONE.PBK에서 DialParamsUID, PhoneNumber, Device 정보추출 E. 감염된 PC의파일목록추출 F. C&C서버접속시도 : asd.jin*****yu.com(110.***.235.***, 4346) <V3 제품군의진단명 > Trojan/Win32.Xema (2012.12.09.00) Trojan/Win32.OnlineGameHack (2012.12.10.00) Trojan/Win32.Agent (2012.12.09.00) 온라인게임핵변종악성코드온라인게임핵악성코드의변종버전이유포되고있어사용자들의주의가요구된다. 이미여러차례발생해많은감염피해를일으킨온라인게임핵악성코드는현재까지도그수가줄지않고있다. 이는국내게임산업의발전으로게임관련거래가활성화돼있는데기인하는것으로풀이된다. 악성코드유포자들이많은수익을올릴수있는적절한환경이유지되고있다는얘기다. 먼저윈도우 XP 시스템에서감염되던게임핵악성코드가윈도우 Vista, 7 버전도감염시킨예는올해초발행된 ASEC 블로그에서확인할수있다. - http://asec.ahnlab.com/780 이후한동안 Windows Vista, 7 시스템의감염형태는동일하게지속됐다. 그러나최근감염형태가변경된것이확인됐다. 해당게임핵악성코드의 Dropper를통해확인한결과, 윈도우 XP시스템에서는기존과같이윈도우시스템파일인 ws2help.dll을동일하게변경했다. - C:\WINDOWS\system32\drivers\etc\hosts - C:\DOCUME~1\{ 사용자계정 }\LOCALS~1\Temp\ ruyuhe851.exe - C:\WINDOWS\system32\drivers\kfuck3.sys - C:\WINDOWS\system32\ws2helpXP.dll - C:\WINDOWS\system32\ws2help.dll.MX2.tmp - C:\WINDOWS\IRIMGV3.bmp - C:\WINDOWS\system32\ws2help.dll - C:\WINDOWS\system32\drivers\etc\hosts - C:\Windows\system32\drivers\etc\hosts - C:\Users\{ 사용자계정 }\AppData\Local\Temp\ ruyuhe851.exe - C:\Users\{ 사용자계정 }\AppData\Local\Temp\ 726781.txt - C:\Users\{ 사용자계정 }\AppData\Local\Temp\7 26781.bat 아래의두파일은윈도우OS 버전에따라다른형태로감염되지만, 파일자체는동일하다. - C:\WINDOWS\system32\ws2help.dll (Windows XP, 교체된악성파일 ) - C:\Users\{ 사용자계정 }\AppData\Local\Temp\726781.txt (Windows 7) 윈도우 Vista 이상의시스템에서는 XP와같이윈도우시스템파일을교체하거나변경하지않고 dll 파일을생성하여로드하는형태가그대로유지됐다. 다만악성코드의탐지를우회하기위해일부파일생성경로와파일명이변경됐다. - 기존 : C:\Windows\System32\himym.dll - 최근 : C:\Users\{ 사용자계정 }\AppData\Local\Temp\{ 임의의숫자 }.txt 또한시스템이다시시작할때자동실행하도록아래와같이레지스트리에등록한다. - HKCU\Software\Microsoft\Windows\CurrentVersion\ Run\Configuring "rundll32.exe C:\Users\kimgooon\AppData\ Local\Temp\726781.txt,M" 앞서동일하게생성된 hosts 파일의경우, V3 제품의일부진단을우회하기위해특정도메인에대한 hosts 정보를변경한다. 그림 1-22 변경된 hosts 파일의내용국내백신제품의동작을방해하는기능을수행하기도한다. 그러나윈도우 7 시스템이감염되면아래와같은감염형태가확인된다. 그림 1-23 백신동작을방해하기위한리스트

12 해당악성코드에감염돼 V3 제품이정상적으로동작하지않거나업데이트가되지않을경우아래의링크에서전용백신을다운로드해조치할수있다. - http://www.ahnlab.com/kr/site/download/vacc/vaccview. do?seq=105 전용백신으로조치한이후에는반드시시스템을재부팅해야하며, V3 최신엔진업데이트를통한진단및치료가필요하다. <V3 제품군의진단명 > Trojan/Win32.OnlineGameHack (2012.12.09.00) Win-Trojan/Onlinegamehack.104448.BM (2012.12.09.00) 따라서 SQL 데이터베이스를사용하고있는기업들은해당악성코드에감염되면데이터베이스를복구하기위해대규모의작업을중단하거나재정적손실을입을수있으므로각별히주의해야한다. <V3 제품군의진단명 > Trojan/Win32.Scar (2012.11.17.00) 특정후보의정책관련한글문서위장악성코드사회적인이슈를소재로한문서파일을가장한악성코드는꾸준히발견되고있다. 2012년우리나라의가장큰관심사는 18대대선이었다. 이러한사회적관심과맞물려특정대선후보의이름을거론한한글문서위장악성코드가확인됐다. 얼핏보면한글문서의아이콘을가지고있지만실제한글문서파일의아이콘과는선명도등에서차이가있으며, exe확장자인실행파일이다. 등을수행할것으로추정된다. 그림 1-25 한글문서를위장한악성코드의실행화면 해당파일을열면아래와같이정상문서실행과동시에악성코드도생성되어실행된다. [ 생성되는파일 ] - %Temp%\1.hwp - %Temp%hccutils.dll - %Temp%hccutils.dll.res - %Temp%hkcmd.exe 생성된 hkcmd.exe 파일은시스템시작시자동으로실행되도록서비스에등록된다. 해당악성파일은또 svchost서비스에로드되어특정 IP에접속을시도하는것으로확인됐다. [Network Monitor Information] svchost.exe TCP CONNECT 127.0.0.1 => 1**.**.**.13:80 <V3 제품군의진단명 > Win-Trojan/Agent.302373 (V3, 2012.12.12.00) 부킹닷컴을사칭한악성코드 전세계 25만 8520개의숙박업체에대한예약서비스를제공하는 Booking.com( 부킹닷컴 ) 을사칭한메일을통해악성코드가유포되고있어주의가필요하다. 그림 1-24 특정후보의이름이거론된한글문서를위장한악성코드 ( 위 ), 정상한글문서 ( 아래 ) 해당한글문서위장실행파일을실행하면아래와같이파일제목과관련된정상문서가출력되기때문에사용자들은감염사실을인지하기어렵다. 그림 1-26 부킹닷컴을사칭한악성코드첨부메일원본

13 해당악성코드는메일을통해유포된다. 악성메일의위협은앞서 WIL Vol. 12에서도한차례다룬바있다. 2012년 10월에는시스코사의위협발생경보를통해서도아래와같이허위호텔예약확인메일이공개된바있다. svchost.exe 파일이실행되면아래 [ 그림 1-28] 과같이 TCP 8000 포트를오픈해대기상태인것을확인할수있다. 그림 1-28 svchost.exe 의네트워크연결정보 <V3 제품군의진단명 > Win-Trojan/Jorik.38400.F (2012.12.19.00) 과다트래픽을발생시키는악성코드네트워크에과다한트래픽을유발하는악성코드가발견됐다. 해당악성코드에감염되면네트워크트래픽이폭발적으로증가하고감염된 PC의속도가눈에띄게느려지며인터넷이작동하지않는증상이발생할수있다. 특히사무실과같이 LAN으로구성된환경에서네트워크트래픽이과도하게발생하면, 네트워크에연결된모든 PC들의네트워크가마비되는증상이발생하기도한다. 그림 1-27 Cisco - Threat Outbreak Alerts: Fake Hotel Reservation Confirmation E-mail Messages 해당악성코드는사회공학적기법을이용해휴가시즌에주로메일을통해유포되는것으로보인다. 또예약내용을확인하기위해메일에첨부한파일을실행하도록유도하고있다. 메일에첨부된압축파일을해제하면 Booking Summary Details. pdf.exe 라는이름의파일이나온다. 이파일을실행하면아래와같이 svchost.exe라는이름의복제본을생성하고, 레지스트리값에등록해부팅시마다자동실행되도록한다. [ 파일생성 ] %ALLUSERSPROFILE%\svchost.exe [ 레지스트리등록 ] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="%ALLUSERSPROFILE%\svchost.exe" 해당악성코드에감염되면다음경로에자신을스스로복사하고, 시작프로그램과 WinLogon 프로세스에등록해부팅시에도자동으로실행되도록한다. 특히 Windows의시스템파일보호기능을무력화하는기능도포함돼있다. [ 파일복사경로 ] C:\Documents and Settings\ 사용자계정 \Application Data\ update.exe C:\Windows\Temp\service616f31.exe 그림 1-29 service616f31.exe 이름으로실행중인악성코드그림 1-30 시작프로그램에등록된악성코드해당악성코드는보안제품의탐지를피하기위해 Themida라는패킹툴로패킹돼있다. 또한가상환경에서는실행하지않도록돼있다. 악성코드감염대상에서가상환경의 PC를제외하기위한것이거나, 보

14 안제품에반영하기위한테스트를방해하기위한것으로추정된다. 상품권번호탈취하는온라인게임핵악성코드 주말마다온라인게임핵류의악성코드가기승을부리는가운데, 최근게임계정정보외에도상품권번호가유출돼실제피해를입은사례가발견됐다. 이에사용자들의각별한주의가요구된다. 해당악성코드의 Dropper 실행시파일생성정보와네트워크정보는아래와같다. 네트워크연결로그를보면 PC의 MAC, OS, 사용하는 AV 정보들을전송하는것을확인할수있다. 그림 1-31 가상환경에서실행불가메시지출력 또한해당악성코드에감염되면 C&C 서버로보이는특정 IP로접속한다음, 공격대상 IP를향해과다한패킷을발송하여트래픽을발생시킨다. [C&C 서버로추정되는 IP] - 17*.2**.1**.**9:5882 그림 1-32 File Monitor Information 디도스 (DDoS 분산서비스공격거부 ) 공격을목적으로제작된것으로보이며, UDP Flooding, IP Fragment Flooding, TCP SYN Flooding, ICMP Flooding 등대부분의 Flooding 기법을사용하는것이특징이다. 해당악성코드는 DDoS 악성코드제작툴에의해만들어진것으로보인다. DDoS 악성코드제작툴은다양한 DDoS 공격기법을지원하고, 악성코드파일을 Themida로패킹하거나, 가상환경에서실행되지않도록방해하는기능을지원한다. 또한생성되는파일의이름을지정할수있는데초기값으로설정된파일이름이 update.exe로되어있는경우가많다. 악성코드는아래 URL에서배포된것으로확인되지만, 현재는접속되지않는다. 그림 1-33 Network Monitor Information 감염된상태에서북앤라이프닷컴 (booknlife.com) 사이트를테스트해보았다. [ 배포 URL] - http://1.2**.8*.**/bbs/openproxy/database/5596.exe 이러한악성코드에감염되면악성코드제작자가특정사이트에 DDoS 공격을할때사용하는좀비PC가될수있다. 이를사전에예방하기위한방법은다음과같다. 첫째 Windows 운영체제의최신서비스팩과보안업데이트를설치한다. 둘째 Internet Explorer, Flash Player, Acrobat Reader, Java 등의프로그램들을꾸준히업데이트해최신버전을유지한다. 그림 1-34 북앤라이프닷컴로그인화면 [ 그림 1-34] 은북앤라이프닷컴사이트의로그인화면이다. 로그인을하게되면아래와같은패킷이확인된다. 셋째 V3 를최신엔진으로업데이트하고, 실시간감시를사용한다. 넷째정기적인정밀검사를통해 PC 에감염된악성코드가있는지확인하는습 관을가진다. <V3 제품군의진단명 > Win-Trojan/Jorik.569344.B (2012.12.19.00) 그림 1-35 로그인시, 패킷덤프

15 [ 그림1-35] 는패킷을캡쳐한화면으로 GET 방식으로 2xx.2xx.xxx.xxx IP로 ID와 Password 가전송되는것을확인할수있다. <V3 제품군의진단명 > Win-Trojan/Onlinegamehack.205331.B (2012.12.25.00) Trojan/Win32.OnlineGameHack (2012.12.27.03) 광명성 3 호발사성공 PC 위험경보 그림 1-36 북앤라이프닷컴상품권입력화면 그림 1-37 상품권번호입력시, 패킷덤프 사회적이슈를악용해악성코드를유포하는형태는악성코드제작자들이즐겨쓰는방법중에하나다. 이번에발견된악성코드역시이러한사회공학적기법을이용해악성코드를유포했다. 우리가흔히사용하는문서파일 ( 워드, 엑셀, 파워포인트등 ) 에악의적인매크로 (macro) 코드를삽입해특정기능을수행하도록제작된매크로바이러스의일종이었다. 발견된악성코드는 북한의로켓 ( 광명성 3호 ) 발사 를테마로제작된파워포인트문서로위장한형태다. 해당악성코드에감염되면시스템변경, 사용자정보유출등의악의적인기능을수행할수있으므로사용자의각별한주의가요구된다. 로그인후상품권번호를입력을하면로그인계정과마찬가지로상품권정보를탈취하는패킷을확인할수있다. 이역시같은 IP로상품권정보를전송한다. 또한테스트로살펴본북앤라이프닷컴외에도악성코드가생성한모듈이메모리에로드되어있을때아래의사이트 String 정보들도확인됐다. 해당 String 으로보아기존에있었던게임사이트계정뿐만아니라해피머니, 컬쳐랜드등의다른상품권사이트들의정보도탈취한다는것을확인할수있다. 그림 1-39 북한로켓발사관련문서로위장한악성파일 해당응용프로그램을실행하면버전이나보안옵션에따른허용여부를확인하는알림창이 [ 그림 1-40] 과같이발생한다. 이과정에서사용자가매크로기능을허용해실행할경우악성코드에감염된다. 그림 1-38 피해대상이되는추가적인사이트들 실제로유출사례가발견됐다. 꾸준하게문제가되고있는악성코드인만큼사용자들의각별한주의가요구된다. 그림 1-40 보안경고알림창

16 삽입된매크로코드는아래와같으며, 프레젠테이션에삽입된악의적인코드에의해 VBA[ 변수 ].exe 라는파일명의악성코드가시스템에생성된다. [ 등록된레지스트리 ] - HKCR\Applications\POWERPNT.EXE\shell\New\command Key: 0xE22352D8 - HKCR\Applications\POWERPNT.EXE\shell\New\command\(Default) "C:\Program Files\Microsoft Office\Office12\POWERPNT.EXE" /n "%1" - HKCR\Applications\POWERPNT.EXE\shell\New\command\command "vupav5!!!!!!!!!mkkskpptfiles>tw{~$4q]c@y*gx7xato5 /n "%1" - HKCR\Applications\POWERPNT.EXE\shell\Open\command Key: 0xE22352D8 - HKCR\Applications\POWERPNT.EXE\shell\Open\command\(Default) "C:\Program Files\Microsoft Office\Office12\POWERPNT.EXE" /s "%1" - HKCR\Applications\POWERPNT.EXE\shell\Op en\c ommand\c ommand "vupav5!!!!!!!!!mkkskpptfiles>tw{~$4q]c@y*gx7xato5 /s "%1" - HKCR\Applications\POWERPNT.EXE\shell\Print\command Key: 0xE22352D8 - HKCR\Applications\POWERPNT.EXE\shell\Print\command\(Default) "C:\Program Files\Microsoft Office\Office12\POWERPNT.EXE" /p "%1" 그림 1-41 삽입된악성매크로코드 [ 생성된파일정보 ] - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\VBA1.exe - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Adupdate. exe 생성된 PE 파일 (Adupdate.exe) 은미국의특정서버로접속해이미지파일을다운로드한다. 그뒤추가적인기능수행을수행하는한편, 윈도우부팅시자동으로시작되도록레지스트리에자신을등록한다. [ 서버연결 ] - Adupdate.exe TCP CONNECT 127.0.0.1 => xx.x.xx.xx:80 - Adupdate.exe HTTP CONNECT 127.0.0.1 => xxx.x.xx.xx:80 xxxxxxxxxxxxx.com/wp-content/uploads/2010/05/layer_41.jpg - HKCR\Applications\POWERPNT.EXE\shell\Print\command\command "vupav5!!!!!!!!!mkkskpptfiles>tw{~$4q]c@y*gx7xato5 /p "%1"" - HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Adupdate "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Adupdate.exe" 북한의로켓발사관련이슈외에도각종사회적이슈를이용해악성코드가유포되는형태가꾸준히발견되고있어사용자들이각별한주의가필요하다. 사회공학기법을이용한악성코드의유포는다음과같은사항에주의하도록한다. 1. 출처가불분명하거나의심이가는제목일때는메일을열지않는다. 또는발신자와제목을비교해정상메일이아닐확률이높으면삭제한다. 2. 사용중인보안프로그램은최신버전으로업데이트하고실시간감시기능을사용한다. 3. 메일에첨부된파일은바로실행하지않고, 저장한다음보안프로그램으로검사한후실행한다. 4. 본문에서의심이가거나확인되지않은링크는클릭하지않는다. 5. 포털사이트메일계정을이용할경우스팸메일차단기능을적극활용한다. 그림 1-42 서버연결 <V3 제품군의진단명 > VBS/Agent (2012.12.27.00) Win-Trojan/Downloader.89088.U (2012.12.22.00) Dropper/Win32.Agent (2012.12.26.00) Xerox WorkCentre 를사칭한악성메일 그림 1-43 다운로드된이미지파일 Xerox WorkCentre를사칭한악성메일이인터넷을통해확산되고있다. 이메일의제목은 Scanned Image from a Xerox WorkCentre 로악성첨부파일을포함하고있다. 이전에발견된 Xerox WorkCentre 사칭메일과비교해보면, 본문내용과제목이조금씩변경됐으나형태는거의동일하다.

17 Facebook 을사칭한악성 e-mail 주의 소셜네트워크서비스 (SNS) 가확산되면서, 유명소셜네트워크플랫폼인 Facebook을사칭해악성프로그램을유포하는행위가끊이지않고있다. 최근발견된사례역시예전과마찬가지로아래와같이 Facebook의알림메일을사칭해악성코드를실행시키도록유도하는형태를띄고있다. 그림 1-44 Xerox 를사칭한스팸메일 그림 1-45 스팸메일발신자 첨부된파일이실행되면또다른특정 IP로접속을시도하며레지스트리 Run키에새로생성된파일을등록시켜 Windows를부팅할때자동으로시작되도록한다. 그림 1-48 Facebook 사칭악성 e-mail (1) - HKCU\Software\Microsoft\Windows\CurrentVersion\ Run\{4C07DB3F-FE50-AD7D-9383-D25FA52EF14D} ""C:\Documents and Settings\Administrator\Application Data\ Nyulyq\dyoxc.exe"" 파일다운로드시도후미국 Kansas에위치한시스템으로접속을시도하며, 해당시스템에연결하기위해지속적으로 SYN 패킷을발송한다. 그림 1-46 연결접속시도 그림 1-49 Facebook 사칭악성 e-mail (2) 위 [ 그림 1-48] 과같이악성스팸메일은발신자가 Facebook 으로돼있으며 새로운사진이앨범에등록되었으니확인하려면첨부된파일을확인하라 는내용이적혀있어첨부파일을열도록유도한다. 첨부된 zip파일을풀면아래와같이 NewPhoto-in_albumPhto_. jpeg.exe 파일이나온다. 해당파일은그림파일이아닌실행파일구조로돼있다. 그림 1-47 접속시도하는 IP 의위치 <V3 제품군의진단명 > Win-Trojan/Fareit.131072.C (V3, 2012.12.13.05) 그림 1-50 실행파일인첨부된 zip 파일

18 해당파일은실행시, 자기복제본을 C:\Documents and Settings\All Users\svchost.exe 로복사하고레지스트리에아래와같이등록해부팅시에자동으로실행되도록한다. - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\SunJavaUpdateSched "C:\Documents and Settings\All Users\svchost.exe" 피싱차단등의내용이었으나, 최근에는유명프렌차이즈의무료쿠폰을가장하는것으로확인되었다. 1. 국내소액결제방식의취약점체스트가노린소액결제는많은온라인결제사이트에서지원하고있다. 소액결제는두가지인증을거친다. 먼저스마트폰가입자의주민번호, 통신사정보, 전화번호를이용해 1 차사용자인증을한다. 두번째인증은소액결제를신청한스마트폰으로발송된인증문자다. 이인증문자를결제창에입력하면결제가완료된다. 기존피처폰에서는문제가없던이러한소액결제방식은스마트폰을사용하는경우문제가될수있다. 스마트폰사용자는임의의앱을스마트폰에설치할수있으며설치된앱이 SMS의내용에접근할수있는취약점이발생하기때문이다. 그림 1-51 레지스트리에등록된복제본 2. 체스트동작개요 <V3 제품군의진단명 > Trojan/Win32.Foreign 03 악성코드동향 모바일악성코드이슈 국내스마트폰사용자를노린 Win-Android/Chest 악성코드 Win-Android/Chest( 이하체스트 ) 는국내스마트폰사용자를대상으로배포된최초의안드로이드용악성코드다. 체스트는 2012년 10월처음발견된이후지속적으로변형이보고되고있으며, 피해신고도증가하고있다. 체스트는과거에발생한다양한해킹사고로유출된개인정보를이용해공격대상을정한다는점에서불특정다수를대상으로배포되던기존악성코드와는다른형태다. 체스트제작자는과거유출된개인정보중주민번호와전화번호의조합을이용해공격대상을정하고사용자를현혹할수있는내용의 SMS 를발송한다. 초기보고된악성 SMS의내용은과다청구요금조회나 그림 1-52 체스트동작개요 순서 동작설명 전달정보 공격자는사전에입수한개인정보목록에있는공 1 격대상에게 Chest설치를유도하는 SMS를발송한 다. 2 3 4 5 6 일부사용자는 SMS에링크형식으로포함된악성코드를설치한다. 스마트폰이감염되면전화번호와통신사정보를공전화번호, 통신사정보격자에게전달하고좀비스마트폰상태가된다. 공격자는확보한개인정보중주민번호와감염된스마트폰사용자의전화번호를이용해결제사이트전화번화, 통신사정보, 주민번호에입력한다. 소액결제사이트는인증번호를감염된스마트폰으소액결제에필요한인증번호로전달한다. 감염된스마트폰은 SMS가수신되면결제사이트의발신번호인경우사용자에게 SMS를보여주지않소액결제에필요한인증번호고공격자에게다시전달한다. 7 공격자는전달받은인증번호를입력한다. 소액결제에필요한인증번호 8 소액결제가가능한사이트에서정상적인결제절차를완료하고공격자는현금화가가능한물품구매를완료한다. 표 1-5 체스트동작개요순서

19 3. 배포방법체스트는사용자의악성앱설치를유도하는내용과앱설치링크가포함된형태의 SMS로배포됐다. 초기에는방통위스팸필터설치, 이동통신과다청구금조회등으로이후에는무료쿠폰등의형식으로배포되고있다. [ 표 1-6] 은체스트악성코드를설치하는것으로보고된 SMS의내용이다. 순서문자내용고객님! 요금과다청구환급금조회 1 http://tinyurl.com/**** 고객님! 요금과다청구환급금조회 2 http://tiny.cc/**** *** 고객님이번달사용내역입니다. 3 Http://tinyurl.com/bs**** 클릭 [caffexxxx]xxxx어플설치하고 X-mas 무료커피받자 4 http://goo.gl/yg*** (2013년 XXX피자첫행사 ) 2만원할인쿠폰-무료발송-어플 5 http://goo.gl/tw**** [XXXX] 한우연인팩셋트교환권1매도착!( 전지점이용가 ) 6 http://tiny.cc/kb**** XX바게뜨어플이벤트 XX바게뜨어플을다운받으시고 7 케익제품교환쿠폰받으세요. http://goo.gl/du*** (2013년 XXX치킨첫행사 )-만원할인쿠폰-어플다운받으시고경품도받아가세요 8 http://goo.gl/cq*** 12월XXX빈스 31기프트콘무료-발송행운의2만원건-어플 9 http://goo.gl/sz*** 표 1-6 체스트악성코드를설치하는주요 SMS 내용유형 SMS 메시지의내용은시기적특징을반영해다양한내용으로변경될수있다. [ 그림 1-53] 은현재까지확인된체스트가포함하고있는리소스파일이다. 현재까지활용된아이콘이외에도많은프렌차이즈의아이콘을포함하는것으로볼때제작자는또다른변형제작을염두하고있는것으로보인다. 피해사실을알게되는시점은피해가발생한시점을한참지나고난후다. 체스트제작자는소액결제를통해구매한아이템등의물품을현금화할수있는충분한시간을확보할수있는것이다. 체스트의내부 API 흐름은중국에서제작된악성코드와유사하다. 또체스트는 PC에서동작하는온라인게임핵 (Online GameHack) 과동일한방법으로아이템을통해금전적이득을취한다. 국내에배포되는온라인게임핵은중국에서제작되는것으로보이는데다, 체스트의공격에활용되는개인정보를중국에서어렵지않게구할수있다는점에서체스트의제작지는중국으로판단된다. PUP 앱의폭발적인증가 PUP는사용자에게불편을유발할수있는유형을진단하는카테고리다. 스마트폰사용이사람들의인터넷사용패턴이변하면서광고도모바일시장을주목하게됐다. 무료로앱을제작해배포하는개발자들에게도수익은필요하다. 개발자들은제작한앱에쉽게광고를등록할수있는 SDK를이용해수익을얻고있다. 이런 SDK의대부분은탑재된앱이실행될경우에만광고를노출한다. 그러나일부 SDK의경우광고를탑재한앱이실행되지않았음에도백그라운드서비스로동작하면서푸시광고를노출한다. 또브라우저의시작페이지를고정하거나바로가기를생성하기도한다. 스마트폰사용자는이러한방식으로노출되는광고물을접한다해도그광고가어떤앱에의해동작하는지는확인이어렵다. 이떄문에이런앱은삭제가쉽지않다. 또이같은유형의광고 SDK를내장한앱을 V3는 PUP 카테고리로진단하고있다. 대표적인광고 SDK는 Airpush, Leadbolt, Plankton등이다. Android-PUP/ Plankton Plankton은웹에서명령을받아광고를노출한다. 프로그램이실행되면 SDK 버전에따라 IMEI나 Device ID값을이용해설치를식별하기위한유니크한값과, SDK를이용하는프로그램에대한정보, 브랜드, 제조사, 제품모델, Android OS Version, Display metrics( 스크린크기 ), 언어설정, Browser 정보를수집해 http://www.apperhand.com/ ProtocolGW/protocol/commands로전송한다. 그림 1-54 정보를유출하는코드의일부 그림 1-53 체스트가포함하고있는리소스파일 체스트는 2012년 10월말처음발견된후 11월말에다른변종이확인됐다. 전화요금고지서가 1개월단위로제작되기때문에피해자가 서버로정보를전송한후서버의명령을받아관련된동작을수행한다.

20 그림 1-55 서버명령관련코드의일부 광고 SDK에의해수행할수있는명령은다음과같다. - Activation - 사용자동의창을실행시키는웹페이지를노출 - Homepage - 사용자홈페이지설정 - Bookmarks - 북마크를설정하거나외부로북마크정보를전송 - Shortcut - 바로가기를생성 - Notification - Notification 광고요청또는광고노출생성되는바로가기나홈페이지는 http://searchwebmobile.com/ search?sourceid=1&app= 로연결되어불특정빈도로광고를노출한다. 그림 1-56 유출되는정보의일부 위의명령외 SDK 버전에따라다양한명령이존재한다. 해당 SDK의내용은앱에따라선택적으로구현할수있을것으로판단된다.

SECURITY TREND 21 01 보안동향 보안통계 12 월마이크로소프트보안업데이트현황 01 02 03 04 05 06 07 08 09 10 11 12 2012 년 12 월마이크로소프트사에서발표한보안업데이트는총 7 건 으로긴급 5 건, 중요 1 건이다. 5 4 3 2 1 0 5 4 3 2 1 0 긴급 MS12-077 Internet Explorer 누적보안업데이트 (2761465) MS12-078 Windows 커널모드드라이버의취약점으로인한원격코드실행문제점 (2783534) MS12-079 Microsoft Word의취약점으로인한원격코드실행문제점 (2780642) MS12-080 Microsoft Exchange Server의취약점으로인한원격코드실행문제점 (2784126) MS12-081 Windows 파일처리구성요소의취약점으로인한원격코드실행문제점 (2758857) 중요 MS12-082 DirectPlay의취약점으로인한원격코드실행문제점 (2770660) MS12-083 IP-HTTPS 구성요소의취약점으로인한보안기능우회 (2765809) 5 4 3 2 1 0 5 4 3 2 1 0 5 4 3 2 1 0 표 2-1 2012 년 12 월주요 MS 보안업데이트 그림 2-1 공격대상기준별 MS 보안업데이트 (2012.01-2012.12)

SECURITY TREND 22 02 보안동향 보안이슈 Stuxnet 기술을이용하는 MySQL 취약점이달초에는대표적인취약점 Exploit 데이터베이스인 exploit-db.com 사이트를통해다수의 MySQL 취약점에관한정보가발표됐다. 특히이중 MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day 는 Stuxnet technique 이라는문구로사람들의관심을끌었다. 해당공격방식은 MySQL 서버에원격으로접근이가능하고 file access 권한을가진사용자계정을통해악성코드를 DB테이블안에데이터로생성한후, 백업용으로많이사용하는 DUMPFILE 기능을이용해원격지시스템에드롭 (Drop) 하는방식을사용한다. 악성코드파일을드롭 (Drop) 하더라도바로실행할수는없기때문에 MS에서제공하는관리 (Management) 정보에접근할수있는 WMI(Windows management Instrumentation) 기술을이용한다. 이때생성하는 MOF 파일 (nullevt.mof) 은다음과같은위치에파일이생성되면자동으로컴파일되어리포지토리 (repository) 에등록되고그안에작성된공격자의코드를실행한다. * 디폴트 MOF Self-Install 디렉토리정보 : %SystemRoot%\System32\wbem\ HKLM\Software\Microsoft\WBEM\MOF 실제전체적인취약점공격은다음과같이이루어진다. 그림 2-3 공격에이용되는 MOF 파일형태과거스턱스넷 (Stuxnet) 의경우, 웜의전파를목적으로프린트스풀러취약점 (MS10-061, CVE-2010-2719) 을이용해주변의다른시스템들을공략했다. 이과정에서위와같은 MOF 파일이사용됐다. 이처럼 MOF 파일은악성코드를생성하거나복사할수있어도이를실행할수없는경우자동으로악성코드를실행하기위해활용된다. 실제 metasploit와같은점검을위한 Penetration Test 툴에서도활용되고있다. 지속적으로보고되는인터넷익스플로러 use-after-free 취약점 12월보안업데이트목록에는 MS12-077 Internet Explorer 누적보안업데이트 (CVE-2012-4787) 패치가포함돼있다. 해당보안업데이트는인터넷익스플로러상에서발생하는 Use- After-Free 취약점을해결하기위한패치다. 최근인터넷익스플로러상에서아래와유사한취약점들이지속적으로보고됐기때문이다. 2012.09 MS12-063(CVE-2012-4969) MS Security Bulletin( 긴급 ) - Internet Explorer 누적보안업데이트 (2744842) IE CMshtmlEd::Exec use-after-free 취약점 그림 2-2 MySQL 취약점공격과정 또한공격에이용되는 MOF 파일은다음과같은형태다. 2012.11 MS12-071(CVE-2012-4775) MS Security Bulletin( 긴급 ) - Internet Explorer 누적보안업데이트 (2761451)

SECURITY TREND 23 IE CTreeNode use-after-free 취약점 2012.11 MS12-077(CVE-2012-4787) MS Security Bulletin( 긴급 ) - Internet Explorer 누적보안업데이트 (2761465) IE improper Ref Counting use-after-free 취약점 2012.12 KB2794220(CVE-2012-4792) MS Security Advisories( 긴급 ) - Internet Explorer 원격코드실행문제점 (2794220) IE CButton use-after-free 취약점이러한인터넷익스플로러상의 Use-After-Free 취약점은모든 HTML 태그및그들의 Attribute 들이트리구조로저장돼있는 DOM(Document Object Model) 상에서오브젝트가이미해제된상태임에도불구하고, 이를재참조하는오류로인해발생한다. 실제이러한취약점발생은다음과같은복잡한태그들의논리적배치로인해발생한다. 그림 2-4 취약점발생 PoC 코드스크립트를사용하는공격은난독화기술을통해보호되기때문에탐지가매우어렵다. 또한이와같은논리적오류로발생하는취약점들은더욱정교한탐지기술을필요로한다. 따라서사용자들이시스템상에서발생할수있는위협을차단하기위해우선취해야할방법은보안업데이트를적용하는것이다.

WEB SECURITY TREND 24 01 웹보안동향 웹보안통계 악성코드유포웹사이트는감소추세안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하면, 2012 년 12월악성코드를배포하는웹사이트를차단한건수는모두 1만 6641건이었다. 악성코드유형은총 337종, 악성코드가발견된도메인은 187개, 악성코드가발견된 URL은 692개였다. 이는전월과비교할때전반적으로증가한수치이다. 악성코드배포 URL 차단건수 4,915 11 16,641 12 +238.6% 악성코드유형악성코드가발견된도메인악성코드가발견된 URL Graph 692 240 134 460 337 187 692 337 240 187 134 460 표 3-1 2012 년 12 월웹사이트보안현황 월별악성코드배포 URL 차단건수 15,000 14,862 59.3% 16,641 238.6% 2012년 12월악성코드배포웹사이트의 URL 접근에대한차단건수는전월 4915건과비교해약 3.4% 증가한 1만 6641건으로조 10,000 5,000-9,947 4,915 59.3% +11,726 사됐다. 0 9 11 12 그림 3-1 월별악성코드배포 URL 차단건수변화추이

WEB SECURITY TREND 25 월별악성코드유형 2012년 12월악성코드유형은전월의 240건에비해증가한 337건을기록했다. 500 250 282 8.4% -42 240 14.9% +97 337 40.4% 0 10 11 12 그림 3-2 월별악성코드유형수변화추이 월별악성코드가발견된도메인 2012년 12월악성코드가발견된도메인은 187건으로지난 11월의 134건에비해소폭증가했다. 400 300 200 100 163 9.9% 134 17.8% -29 +53 187 39.6% 0 10 11 12 그림 3-3 월별악성코드가발견된도메인수변화추이 월별악성코드가발견된 URL 2012년 12월악성코드가발견된 URL은전월의 460건에비해증가한 692건을나타냈다. 1,000 500 608 4.6% -148 460 24.3% +232 692 50.4% 0 10 11 12 그림 3-4 월별악성코드가발견된 URL 수변화추이

WEB SECURITY TREND 26 악성코드유형별배포수악성코드의유형별배포수를보면트로이목마가 1만 1283건 (67.8%) 으로가장많았고, 드롭퍼가 2442(14.7%) 로그다음을이었다. 유형 건수 비율 TROJAN 11,283 67.8 % DROPPER 2,442 14.7 % ADWARE 458 2.8 % APPCARE 313 1.9 % DOWNLOADER 270 1.6 % Win32/VIRUT 123 0.7 % SPYWARE 29 0.2 % JOKE 4 0.1 % ETC 1,719 10.2 % TOTAL 16,641 100.1 % 표 3-2 악성코드유형별배포수 TROJAN 11,283 10,000 DROPPER 2,442 ETC 1,719 ADWARE 304 APPCARE 313 DOWNLOADER 270 Win32/VIRUT 123 SPYWARE 29 JOKE 4 5000 0 그림 3-5 악성코드유형별배포수 악성코드최다배포수악성코드배포최다 10건중에서는 Trojan/Win32.KorAd 가 7140건으로가장많았고 Trojan/Win32.KorAd 등 4건이새롭게등장했다. 순위 등락 악성코드명 건수 비율 1 NEW Trojan/Win32.KorAd 7,140 57.2 % 2 NEW Dropper/Downloader.32768.G 1,776 14.3 % 3 2 Win-Trojan/Installiq.1635520 962 7.7 % 4 5 Trojan/Win32.Agent 929 7.5 % 5 1 Dropper/Win32.Mudrop 406 3.3 % 6 1 ALS/Bursted 306 2.5 % 7 5 Win-AppCare/WinKeyfinder.973512 304 2.4 % 8 NEW Trojan/Win32.HDC 221 1.8 % 9 6 ALS/Qfas 210 1.7 % 10 NEW Packed/Win32.Vmpbad 198 1.6 % TOTAL 3,052 100 % 표 3-3 악성코드대표진단명최다 20 건

WEB SECURITY TREND 27 02 웹보안동향 웹보안이슈 2012 년 12 월침해사이트현황 Banki에이르기까지다양한형태의악성코드가분포해있는것으로조사됐다. 유포 URL을비교해보면 12월의경우 11월에비해절반수준이다. 그러나최다 10건악성코드의 1~9위에링크된악성코드들은동일한사이트에서유포됐다. 이는온라인게임핵뿐만아니라백도어, DDoS 기능을가진다수의악성코드도동일한사이트에서동시에유포됐음을의미한다. 소셜커머스사이트해킹과악성코드유포 표 3-4 2012년월별침해사이트현황 [ 표 3-4] 는악성코드유포목적으로침해사고가발생했던사이트들에대한월별통계다. 하반기 (7 ~ 12월 ) 현황을살펴보면 10월을제외한모든월에서지속적으로상승하는모습을보였다. 12월은 2012년의다른월보다상대적으로높은수치를보이는데연말분위기상사이트관리가소홀해졌기때문인것으로추측된다. 침해사이트를통해서유포된악성코드최다 10건 12월넷째주주말한소셜커머스사이트가해킹돼특정온라인게임사용자의계정정보가탈취당하는사례가발생했다. 그림 3-6 특정페이지에삽입된악성스크립트링크삽입된악성스크립트는 GongDa pack으로난독화돼있으며해제후코드를살펴보면아래처럼자바에존재하는취약점 5개와 Internet Explorer에존재하는취약점 1개를사용해특정악성코드를다운로드및실행하도록돼있었다. - Java 취약점 : CVE-2010-0886, CVE-2011-3544, CVE-2012-0507, CVE-2012-4681, CVE-2012-5076 - IE 취약점 : CVE-2012-1889 표 3-5 침해사이트를통해서유포된악성코드최다 10 건 ( 왼쪽 : 11 월, 오른쪽 : 12 월 ) [ 표 3-5] 는침해사이트를통해유포된악성코드최대 10건에대한통계다. 왼쪽은지난 11월오른쪽은 12월현황으로두월을비교해보면다소차이가있음을알수있다. 11월의경우온라인게임핵과해당악성코드감염시생성한루트킷드라이버가최다 10건에포진해있는반면 12월의경우온라인게임핵뿐만아니라백도어기능을가진 Win-Trojan/Jukbot, 온라인뱅킹정보를탈취하는 Trojan/Win32. 그림 3-7 난독화해제된악성스크립트의일부코드 위그림에서언급된 wow.exe 는특정사이트로부터온라인게임핵을

WEB SECURITY TREND 28 다운로드하는다운로더다. 해당악성코드에의해다운로드되는온라인게임핵은윈도우시스템의정상파일인 ws2help.dll(windows XP 기준 ) 을악성으로교체하는기능을갖고있다. 그러나당시유포됐던온라인게임핵의경우악성 DLL에버그가존재해 Internet Explorer 실행시정상실행되지않고종료됐다. 그림 3-10 Function 형태로삽입된악성스크립트코드 (1) 그림 3-8 감염후악성 DLL 의버그 Win32/Induc 에감염된 Banki 델파이바이러스라불리는 Win32/Induc은델파이개발자를중심으로은밀하게퍼진것으로보인다. 다른악성코드에비해발견시기가늦어진것은일반사용자의컴퓨터에서는별다른증상없이델파이개발자만을대상으로활동하기때문이다. Win32/Induc 바이러스는델파이가설치돼있으면 sysconst.pas에바이러스소스코드를삽입하고 dcc32.exe를이용해라이브러리파일을생성해서컴파일되는모든파일에바이러스코드를포함하게하는방법을이용한다. 쉽게말하면 Win32/Induc은델파이소스에자신의바이러스코드를삽입한다는의미이다. 그림 3-11 Function형태로삽입된악성스크립트코드 (2) 위의경우는탭 (0x20) 과스페이스키 (0x09) 로구성된악성 Function 형태보다좀더정상적인 Function으로보이도록위장하고있다. 변수 M에는한문자씩조각난형태로저장돼있지만조합하면악성코드 URL이존재함을알수있다. 델파이로제작된 Banki의일부변종에서아래 [ 그림 3-9] 와같이 Win32/Induc에감염된사례도발견됐다. 그림 3-9 Banki 의내부코드 : Win32/Induc 에감염된부분 삽입된악성링크의지능화 해킹된웹사이트에삽입된악성스크립트링크중에는웹사이트관리자의조치를어렵게하기위해 Function형태로돼있거나스크립트링크를조각낸경우도있었다. 아래그림은특정언론사의광고페이지에삽입된악성스크립트코드인데 iframe이나 Script 태그가아닌 Function형태로돼있으며코드중간은빈공간처럼보이지만사실은탭 (0x20) 과스페이스키 (0x09) 로난독화된코드가존재한다.

II. 2012 년보안동향분석 29 01 악성코드동향 악성코드통계 2012년악성코드, 1억3353 만1120 건 ASEC이집계한바에따르면, 2012 년감염이보고된악성코드는전체 1 15,000,000 10,000,000 13,950,901 13,663,774 13,820,206 11,409,362 12,589,409 11,006,597 9,739,943 9,509,563 9,866,860 8,059,522 9,976,829 9,938,154 억3353만1120건인것으로나타났다. 이는지난해 1억 7747만 3697건 5,000,000 에비해 4394만 2577건이감소한수치다 ([ 그림 4-1]). 이가운데가장많이보고된악성코드는 ASD.PREVENTION이었으며, Trojan/Win32.adh와 Trojan/Win32. Gen이그다음으로많았다. 또한총 16건의악성코드가최다 20건목록에새로이름을올렸다 ([ 표 4-1]). 0 1 2 3 4 5 6 7 8 9 10 11 12 그림 4-1 월별악성코드감염보고건수변화추이 순위 등락 악성코드명 건수 비율 1 NEW ASD.PREVENTION 5,665,964 12.6 % 2 NEW Trojan/Win32.adh 5,045,293 11.2 % 3 NEW Trojan/Win32.Gen 4,293,993 9.5 % 4 2 JS/Agent 3,950,163 8.8 % 5 4 Textimage/Autorun 3,718,150 8.3 % 6 NEW Malware/Win32.generic 2,807,546 6.2 % 7 NEW Malware/Win32.suspicious 2,361,789 5.2 % 8 NEW Adware/Win32.korad 1,844,379 4.1 % 9 NEW Downloader/Win32.agent 1,818,514 4.0 % 10 NEW Mov/Cve-2011-2140 1,782,354 4.0 % 11 NEW Trojan/Win32.hdc 1,638,204 3.6 % 12 NEW Trojan/Win32.agent 1,526,174 3.4 % 13 NEW Trojan/Win32.bho 1,322,417 2.9 % 14 NEW Trojan/Win32.fakeav 1,149,823 2.6 % 15 NEW Trojan/Win32.onlinegamehack 1,094,005 2.4 % 16 NEW Adware/Win32.winagir 1,032,127 2.3 % 17 NEW RIPPER 1,031,233 2.3 % 18 2 Als/Bursted 1,024,131 2.3 % 19 NEW Dropper/Win32.onlinegamehack 970,451 2.2 % 20 12 JS/Iframe 961,043 2.1 % TOTAL 45,037,753 100.0 % 표 4-1 2012년악성코드감염보고최다 20건 ( 감염보고, 악성코드명기준 )

30 악성코드대표진단명감염보고최다 20 [ 표 4-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20건을추린것이다. 2012 년에는 Trojan/Win32가총 2422만 7655건으로가장빈번히보고됐다. Win-Trojan/Agent 가 670만 2769건, Adware/Win32가 640만 824건으로그뒤를이었다. 순위 등락 악성코드명 건수 비율 1 NEW Trojan/Win32 24,227,655 27.8 % 2 Win-Trojan/Agent 6,702,769 7.7 % 3 NEW Adware/Win32 6,400,824 7.3 % 4 NEW ASD 5,665,964 6.5 % 5 NEW Malware/Win32 5,455,931 6.2 % 6 NEW Downloader/Win32 4,717,978 5.4 % 7 3 Win-Trojan/Downloader 4,309,758 4.9 % 8 3 JS/Agent 3,988,949 4.6 % 9 2 Win-Adware/Korad 3,879,872 4.4 % 10 7 Textimage/Autorun 3,718,801 4.3 % 11 10 Win-Trojan/Onlinegamehack 3,516,779 4.0 % 12 NEW Win-Trojan/Korad 2,215,738 2.5 % 13 NEW Dropper/Win32 1,883,153 2.2 % 14 6 Win32/Conficker 1,843,971 2.1 % 15 NEW Mov/Cve-2011-2140 1,782,354 2.0 % 16 6 Win32/Virut 1,760,317 2.0 % 17 NEW Backdoor/Win32 1,658,204 1.9 % 18 5 Win32/Kido 1,417,454 1.6 % 19 10 Win32/Autorun.worm 1,179,678 1.4 % 20 NEW Win-Dropper/Korad 1,038,920 1.2 % TOTAL 87,365,069 100.0 % 표 4-2 악성코드대표진단명최다 20건 2012년최다신종악성코드 Exploit/Cve-2011-3544 [ 표 4-3] 은 11월에신규로접수된악성코드중고객으로부터감염보고가가장많았던 20건을꼽은것이다.2012년의신종악성코드는 Exploit/Cve-2011-3544 가 39만 626건으로전체 31.9% 를차지했으며, Win-Trojan/ Downloader.1947648은 10만 7974 건이보고됐다. 순위 악성코드명 건수 비율 1 Exploit/Cve-2011-3544 390,626 31.9 % 2 Win-Trojan/Downloader.1947648 107,974 8.8 % 3 Win-Trojan/Agent.582144.F 96,176 7.9 % 4 Win-Adware/KorAd.1253376 70,665 5.8 % 5 Java/Cve-2011-3544 51,740 4.2 % 6 Win-Adware/StartPage.114602 44,384 3.6 % 7 Win-Adware/KorAd.20480.H 44,326 3.6 % 8 Win-Trojan/Fakeav.232472 44,018 3.6 % 9 Win-Trojan/Agent.900608.B 38,557 3.1 % 10 Win-Adware/KorAd.1118208 37,276 3.0 % 11 Dropper/Agent.454656.DW 35,194 2.9 % 12 Win-Adware/KorAd.172032 35,141 2.9 % 13 Win-Trojan/Asper.1319424 32,235 2.6 % 14 Win-Adware/Geezon.875520 31,321 2.6 % 15 SWF/Sve-2011-0611 29,281 2.4 % 16 Win-Trojan/Onlinegamehack.37664.B 28,344 2.3 % 17 Win-Adware/KorAd.114688.B 27,755 2.3 % 18 Dropper/Agent.216921 26,602 2.2 % 19 Win-Trojan/Korad.216819 26,563 2.2 % 20 Win-Trojan/Korad.446464 26,116 2.1 % TOTAL 1,224,294 100.0 % 표 4-3 신종악성코드악성코드최다 20건

31 2012년악성코드유형트로이목마가최다 [ 그림 4-2] 는 2012년안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결과다. 트로이목마 (Trojan) 가 43.2% 로가장높은비율을나타냈고스크립트가 8.8%, 웜이 6.3% 로집계됐다. 그림 4-2 악성코드유형별비율 신종악성코드유형별분포 2012년신종악성코드를유형별로보면트로이목마가 67% 로가장많았고, 애드웨어가 15%, 드롭퍼가 5% 였다. 그림 4-4 신종악성코드유형별분포

32 02 악성코드동향 모바일악성코드통계 월간모바일악성코드접수량 [ 표 4-4] 는 2012년한해동안접수된모바일샘플중 V3 모바일에진단이추가된악성샘플의접수량추이다. ASEC이집계한바에따르면, 2012년 1년간 26만 2718건의안드로이드악성코드가진단추가됐다. 집계를시작한 2011년이후꾸준히증가해온모바일악성코드는지난 7월처음으로월간접수량이만단위를돌파하며폭발적인증가량을기록했다. 80,000 60,000 40,000 20,000 0 1 2 3 4 5 6 7 8 9 10 11 12 표 4-4 월별모바일악성샘플접수량 월간모바일악성코드접수량 [ 그림 4-5] 는 2012년한해동안접수된악성코드의유형이다. PUP(Potentially Unwanted Program) 가 54.7% 로가장많은비율을차지했으며, Trojan이 40% 로그뒤를이었다. PUP와 Trojan이접수된악성코드의대부분을차지하고있다. PUP로진단되는앱은광고모듈을탑재한앱이실행되지않아도 Notification Bar에광고를노출하는기능을가진다. 이러한유형의광고모듈은사용자가어떤프로그램에의해 노출된광고인지알수없기때문에삭제가어렵다. 그림 4-5 2012 년에접수된악성코드의유형 모바일악성코드진단명감염보고최다 10 [ 표 4-5] 는 2012년접수된악성코드중접수량이가장많았던진단명 10건을꼽은것이다. 가장많이접수된 Android-Trojan/FakeInst는러시아에서유행하는악성코드로 Flash player, Adobe Air등을가장해사용자의단말기에설치되며, 이후프리미엄 SMS로문자를발송해이득을취하는유형의악성코드이다. 순위 악성코드명 건수 비율 1 Android-Trojan/FakeInst 40783 16% 2 Android-PUP/Airpush 38354 15% 3 Android-PUP/Leadbolt 29603 11% 4 Android-PUP/Adwo 21274 8% 5 Android-PUP/Wooboo 14856 6% 6 Android-PUP/Wapsx 12871 5% 7 Android-Trojan/Opfake 11465 4% 8 Android-Trojan/GinMaster 10817 4% 9 Android-PUP/Kuguo 10462 4% 10 Android-PUP/Plankton 5730 2% 표 4-5 2012년모바일악성코드접수량최다 10건

SECURITY TREND 33 01 보안동향 보안통계 2012년 4분기마이크로소프트보안업데이트현황 2012년 4분기에마이크로소프트사는총 21건의보안업데이트를발표했다. 4분기에발표된보안패치중에는윈도우시스템상의취약점을해결하는패치가 48% 로가장큰비중을차지했다. 지난 2011년동기에비해서는보안업데이트의수가감소했다. 기존과마찬가지로웹을통해공격이이루어지는인터넷익스플로러상의취약점과사회공학적인공격에활용되는오피스상의취약점들이지속적으로발표되고있어서이를해결하는보안업데이트또한매월꾸준히발표되고있다. 이에대한주의및보안업데이트적용이반드시필요하다. 그림 5-1 공격대상기준별 MS 보안업데이트분류

WEB SECURITY TREND 34 01 웹보안동향 웹보안통계 웹사이트악성코드동향안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하면, 2012년악성코드를배포하는웹사이트를차단한건수는모두 24만 3989건이었다. 악성코드유형은 5249종, 악성코드가발견된도메인은 3455개, 악성코드가발견된 URL은 2만 6952개로각각집계됐다. 이는 2011년과비교할때전반적으로감소한수치다. 악성코드배포 URL 차단건수 791,728 2012 243,989 2011-69.2% 악성코드유형악성코드가발견된도메인악성코드가발견된 URL Graph 49,196 8,846 7,764 49,196 5,249 3,455 26,952 8,846 7,764 5,249 3,455 26,952 표 5-1 2012 년웹사이트보안현황 월별악성코드발견건수 2012 년악성코드발견건수는전 80,000 73,746 년도의 791,728 건에비해 31% 60,000 수준인 243,989 건이다. 40,000 20,000 41,181 25,873 19,925 12,727 9,850 7,940 6,998 9,331 14,862 4,915 16,641 0 1 2 3 4 5 6 7 8 9 10 11 12 그림 5-2 2012 년월별악성코드발견건수

WEB SECURITY TREND 35 2012년월별악성코드유형 2012년 12월악성코드유형은 700 671 630 619 556 전년도의 8846건에비해 41% 감소한 5249건이었다. 350 471 409 398 328 308 282 240 337 0 1 2 3 4 5 6 7 8 9 10 11 12 그림 5-3 2012 년월별악성코드유형 2012년월별악성코드가발견된도메인 700 689 2012 년악성코드가발견된도 메인은 3455 건으로전년도의 7764 건에비해 55% 감소했다. 350 403 397 366 313 241 211 170 181 163 134 187 0 1 2 3 4 5 6 7 8 9 10 11 12 그림 5-4 2012 년월별악성코드가발견된도메인수변화추이 2012년월별악성코드가발견된 URL 2012 년악성코드가발견된 URL 12,000 11,524 은전년도 4 만 9196 건에비해 45% 감소한 2 만 6952 건으로조 6000 5,079 사됐다. 2,137 1,967 1,430 792 831 795 637 608 460 692 0 1 2 3 4 5 6 7 8 9 10 11 12 그림 5-5 2012 년월별악성코드가발견된 URL 수변화추이

WEB SECURITY TREND 36 2012년악성코드유형별배포수악성코드유형별배포수를보면트로이목마가 8만7082건 (35.7%) 로가장많았고, 드롭퍼가 6만 680(24.9%) 로그다음을이었다. 유형 건수 비율 TROJAN 87,082 35.7 % DROPPER 60,680 24.9 % ADWARE 24,679 10.1 % DOWNLOADER 23,684 9.7 % APPCARE 7,191 2.9 % Win32/VIRUT 2,146 0.9 % WIN-CLICKER 1,672 0.7 % SPYWARE 845 0.3 % JOKE 717 0.3 % ETC 35,293 14.5 % TOTAL 243,989 100 % 표 5-2 2012 년악성코드유형별배포수 TROJAN 87,082 90,000 DROPPER 60,680 ETC 35,293 ADWARE 24,679 DOWNLOADER 23,684 APPCARE 7,191 Win32/VIRUT 2,146 WIN-CLICKER 1,672 SPYWARE 845 JOKE 717 45,000 0 그림 5-6 2012 년악성코드유형별배포수 2012년악성코드배포최다 10건악성코드배포최다 10건중에서는 Win-Dropper/KorAd.2008816 이 4만 4877건으로가장많았고 Downloader/Win32.Korad 등 9건이새로등장했다. 순위 등락 악성코드명 건수 비율 1 NEW Win-Dropper/KorAd.2008816 44,877 13.6 % 2 NEW Downloader/Win32.Korad 10,333 3.1 % 3 NEW Trojan/Win32.ADH 9,757 3.0 % 4 NEW Win-Trojan/Agent.848000 7,651 2.3 % 5 NEW Trojan/Win32.KorAd 7,140 2.2 % 6 NEW Downloader/Win32.Totoran 6,781 2.1 % 7 Win-Adware/ToolBar.Cashon.308224 6,356 1.9 % 8 NEW Win-AppCare/WinKeyfinder.973512 5,822 1.8 % 9 NEW Adware/Win32.KorAd 5,141 1.6 % 10 NEW Trojan/Win32.HDC 5,004 1.5 % TOTAL 108,862 100 % 표 5-3 2012년악성코드배포최다 10건

WEB SECURITY TREND 37 02 웹보안동향 웹보안이슈 악성코드제작자의물량공세일반적으로해킹된웹사이트를통해서유포되는악성코드는지금까지여러차례언급했듯이특정온라인게임사용자의계정정보를탈취하기위한온라인게임핵을유포하는사례가대부분이었다. 하지만 12월에는침해사이트를통해서유포된악성코드최다 10건에서언급했듯이해킹된해당사이트를통해서유포된악성코드역시온라인게임핵, 백도어, 온라인뱅킹정보를탈취하는 Banki 등이다수가존재했다. URL http://ooo.*****s.net/y.exe http://122.****.189.***/temp/q/8**0.exe http://ooo.*****s.net/yy.exe http://122.***.189.***/temp/q/1.mp3 http://199. ***.72. ***:8080/mk2000.EXE http://199. ***.72. ***:8080/11.28.exe http://122. ***189. ***/temp/q/2.mp3 http://700. ***.net/11.28.exe http://122. ***.189. ***/temp/q/q.mp3 http://700. ***.net/m500.exe http://199. ***.72. ***:8080/m500.exe http://700. ***.net/m2000.exe http://700. ***.net/net.exe 표 5-4 악성코드유포 URL과 V3 진단명 진단명 Win-Trojan/Hupigon.Gen Dropper/Banki.145369 Trojan/Win32.Downloader Trojan/Win32.Agent2 Win-Trojan/Pcclinet.34404 Trojan/Win32.Agent Trojan/Win32.Banki Trojan/Win32.Agent Trojan/Win32.Magania Win-Trojan/Malpacked3.Gen Win-Trojan/Morix.99328(V3, Win-Trojan/Hupigon6.Gen Trojan/Win32.Llac

ASEC REPORT CONTRIBUTORS 집필진 책임연구원 심선영 선임연구원 강동현 선임연구원 안창용 선임연구원 이도현 선임연구원 장영준 주임연구원 문영조 연구원 강민철 연구원 김재홍 참여연구원 ASEC 연구원 SiteGuard 연구원 편집장선임연구원안형봉 편집인 안랩세일즈마케팅팀 디자인 안랩 UX 디자인팀 감수전무조시행 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T. 031-722-8000 F. 031-722-8901 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.