목차 Part Ⅰ 7 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

Similar documents
목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 12 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 1 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

목차 Part Ⅰ 10 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 8 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

<4D F736F F D2038BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

목차 Part Ⅰ 5 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

<4D F736F F D2036BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

<4D F736F F D2039BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

목차 Part Ⅰ 2 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 8 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

<4D F736F F D2035BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

*2008년1월호진짜

<4D F736F F D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

목차 Part Ⅰ 11 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 9 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

<4D F736F F D2031BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

ActFax 4.31 Local Privilege Escalation Exploit

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

Windows 8에서 BioStar 1 설치하기

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

SBR-100S User Manual

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

untitled

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

목차 Part Ⅰ 1 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

Red Alert Malware Report

목차 Part Ⅰ 5 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율젂월비교... 4 (4) 월별피해싞고추이... 5 (5) 월별악성코드 DB 등록추이...

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

RHEV 2.2 인증서 만료 확인 및 갱신

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

유포지탐지동향

08_spam.hwp

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

Windows 10 General Announcement v1.0-KO

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

< F69736F6E696E6720BEC7BCBAC4DAB5E520B0A8BFB020BBE7B0EDBAD0BCAE20BAB8B0EDBCAD2E687770>

신종파밍악성코드분석 Bolaven

*****

Microsoft Word - src.doc

Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염

#HNS-WI 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 )

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

07_alman.hwp

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

슬라이드 1

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

<31305FBEC6C0CCC5DB2E687770>

#WI DNS DDoS 공격악성코드분석

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

목차 Part Ⅰ 4 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율젂월비교... 4 (4) 월별피해싞고추이... 5 (5) 월별악성코드 DB 등록추이...

ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

1

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

KTIS SSR(월간보안관제보고서)

Internet Explorer 11 자동업데이트방지 사용자가이드 작성일 : Version 1.0

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

untitled

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작


1

Security Trend ASEC Report VOL.52 April, 2014

Install stm32cubemx and st-link utility

<C0CCC8ADC1F82E687770>

고객 사례 | Enterprise Threat Protector | Akamai

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

목차 백업 계정 서비스 이용 안내...3 * 권장 백업 정책...3 * 넷하드(100G 백업) 계정 서버로 백업하는 2가지 방법...3 * 백업서버 이용시 주의사항...3 WINDOWS 서버 사용자를 위한 백업서비스 이용 방법 네트워크 드라이브에 접속하여

Android Master Key Vulnerability

untitled

IP Cam DDNS 설정설명서(MJPEG) hwp

ASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구

Microsoft PowerPoint - [Practice #1] APM InstalI.ppt

Transcription:

목차 Part Ⅰ 7 월의악성코드통계... 3 1. 악성코드통계... 3 (1) 감염악성코드 Top 15... 3 (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 5 2. 악성코드이슈분석 국내인터넷뱅킹계정정보를노리는악성코드... 6 (1) 개요... 6 (2) 행위분석... 6 (3) 결론... 17 3. 허니팟 / 트래픽분석... 18 (1) 상위 Top 10 포트... 18 (2) 상위 Top 5 포트월별추이... 18 (3) 악성트래픽유입추이... 19 4. 스팸메일분석... 20 (1) 일별스팸및바이러스통계현황... 20 (2) 월별통계현황... 20 (3) 스팸메일내의악성코드현황... 21 Part Ⅱ 보안이슈돋보기... 22 1. 7 월의보안이슈... 22 2. 8 월의취약점이슈... 24 페이지 2

Part Ⅰ 7 월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 [2012년 7월 1일 ~ 2012년 7월 30일 ] 순위 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Spyware.OnlineGames.wsxp Spyware 5,332 2 7 Trojan.Downloader.86016 Trojan 2,935 3 New Trojan.Agent.644072.A Trojan 2,535 4 New Gen:Variant.Graftor.36215 Etc 2,070 5 New Variant.Zusy.4661 Etc 1,864 6 New Trojan.Generic.5663343 Trojan 1,822 7 3 Trojan.KillAV.AB Trojan 1,778 8 New Trojan.RHT.Hosts Trojan 1,703 9 New Trojan.JS.QRG Trojan 1,615 10 New Trojan.Generic.KDV.670793 Trojan 1,572 11 New Hosts.gms.ahnlab.com Host 1,507 12 New Gen:Variant.Graftor.35140 Etc 1,474 13 New Gen:Varian.Zusy.4661 Etc 1,328 14 New Adware.Generic.248065 Adware 1,325 15 New Gen:Variant.Graftor.Elzob.5989 Etc 1,319 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계입니다. 7월의감염악성코드 TOP 15는 Spyware.OnlineGames.wsxp가 5,332건으로 TOP 15 중 1위를차지 했으나, 감염자수는지난달에비해약 34% 가까이감소했습니다. 하지만 6월에 9위를차지한 Trojan.Downloader.86016 악성코드가지난달에비해무려 7계단이상승한 2위를차지하였습니다. Trojan.Downloader.86016 악성코드는윈도우서비스로등록되어특정서버로접속하여또다른악 성코드를다운로드받게하는악성코드입니다. 그외에특이사항으로는호스트파일을변조하여 사용자또는클라이언트가정상적인사이트로접속하지못하게하는악성코드에많이감염된것 을확인할수있습니다. 페이지 3

(2) 카테고리별악성코드유형 호스트파일 (Host) 5% 트로이목마 (Trojan) 스파이웨어 (Spyware) 기타 (Etc) 23% 트로이목마 애드웨어 (Adware) 취약점 (Exploit) (Trojan) 웜 (Worm) 48% 기타 (Etc) 애드웨어 (Adware) 5% 스파이웨어 (Spyware) 19% 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 48% 를차지했으며, 기타악성코드 (Etc) 유형이 23% 로그뒤를차지했습니다. 스파이웨어의비중은 19% 입니다. (3) 카테고리별악성코드비율전월비교 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 4% 19% 10% 5% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 5% 5% 23% 48% 81% 6 월 7 월 0% 20% 40% 60% 80% 100% 7월에는 6월과비교하여트로이목마 (Trojan) 유형의악성코드비중이 81% 에서 48% 로급감하였으며스파이웨어 (Spyware) 유형의악성코드와기타 (Etc) 유형의악성코드의비중이모두전월에비해 5배가까이증가하였습니다. 그외나머지카테고리에속하는악성코드의경우전반적으로비율이줄어들었습니다. 페이지 4

(4) 월별피해신고추이 [2011 년 8 월 ~ 2012 년 7 월 ] 8 월 9 월 10 월 11 월 12 월 1 월 2 월 3 월 4 월 5 월 6 월 7 월 알약사용자의신고를합산에서산출한결과임월별피해신고추이는알약사용자의신고를합산해서산출한결과로써, 월별신고건수를나타내는그래프입니다. 알약 2.0의신고기능에의해접수된피해문의신고는 4, 5, 6월연속으로증가하였다가 7월에는 6월에비해피해신고가약 40% 가량감소된수치를보여줬습니다. (5) 월별악성코드 DB 등록추이 [2011 년 8 월 ~ 2012 년 7 월 ] 201108 201109 201110 201111 201112 201201 201202 201203 201204 201205 201206 201207 Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 페이지 5

Part Ⅰ 7 월의악성코드통계 2. 악성코드이슈분석 국내인터넷뱅킹계정정보를노리는악성코드 (1) 개요 온라인게임의계정정보및패스워드를가로채는스파이웨어가성행하는가운데, 온라인게임의개인정보로는성이안차는악성코드제작자들이인터넷뱅킹의개인정보를가져가기위해새로운악성코드를만들어내고있습니다. 온라인게임의개인정보와는달리인터넷뱅킹의개인정보는직접적으로금전취득이가능하기때문에이런악성코드는앞으로도계속나올것으로보입니다. 이번분석문서에서는악성코드가어떤방식으로인터넷뱅킹의정보를가져가는지그방법에대해알아보겠습니다. (2) 행위분석 1 유포경로 해당악성코드는여러가지방식으로유포를시도하고있다. 현재까지확인된사항은주말변조사이트같이평일에도변조사이트를통해취약점존재시악성코드가실행되는방법과특정웹서비스를통한파일다운로드방식, 웹하드설치파일에추가되어설치되는방식등총세가지방법으로유포되고있다. 이번분석문서에서는 JAVA 및 XML 취약점을이용하여유포한사례를분석한다. 전체적인유포구조를도식화한이미지는아래와같다.. 페이지 6

hxxp://www.xxx.xx.xx/bbs/fx103/index.html (Main Malware Script) hxxp://www.xxx.xx.xx/bbs/fx103/swfobject.js (SWF Object Script) hxxp://www.xxx.xx.xx/bbs/fx103/jpg.js (JRE & Applet Script) hxxp://www.xxx.xx.xx/bbs/fx103/inmfkox6.jpg (Java Exploit CVE-2011-3544) hxxp://www.xxx.xx.xx/bbs/fx103/xukkgqm8.jpg (Java Exploit CVE-2012-0507) hxxp://www.xxx.xx.xx/bbs/fx103/tscmi5.html (XML Core Services Exploit CVE-2012-1889) hxxp://www.xxx.xx.xx/bbs/fx103/inmfkox6.html (XML Core Services Exploit CVE-2012-1889) hxxp://dns03.********.com/down_x.exe (KoreaBank Spyware Malware) 유포에사용된취약점정보 CVE-2011-3544 - Oracle Java SE Critical Patch Update Advisory http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html CVE-2012-0507 - Oracle Java SE Critical Patch Update Advisory http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html CVE-2012-1889 - Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution http://technet.microsoft.com/ko-kr/security/bulletin/ms12-043 2 악성파일 (down_x.exe) - 파일정보 Detection Name File Name MD5 Size(Byte) Trojan.Downloader.wdx down_x.exe 7F83063AF79DE9592D58192EE39DDDDC 163591 down_x.exe 파일은 SFX(Self-extracting archive : 자동압축해제포멧 ) 형식으로되어있으며, ServiceInstall.exe, WindowsDirectx.exe 파일명으로 2 개의악성파일이압축되어있다. 페이지 7

< 그림. 실행압축되어있는파일의내용 > 압축파일에는 SFX명령어가기재되어압축해제시악성파일이 SFX명령어에따라동작하게구성되어있다. Path=C:\WINDOWS\system32 // 압축해제폴더위치 SavePath // 폴더위치저장 Setup=ServiceInstall.exe // 압축해제후실행될파일명 Silent=1 // 대화상자를표시하지않고압축해제 Overwrite=2 // 동일파일이존재하면건너띄기 3 악성파일 (ServiceInstall.exe) - 파일정보 Detection Name File Name MD5 Size(Byte) Trojan.Downloader.wdx ServiceInstall.exe 44BB7D40017AE0DE03CB58167D2D0192 36864 - 뮤텍스생성 중복실행을방지하기위해 MUTEX_HB 의뮤텍스생성 페이지 8

< 그림. 뮤텍스생성코드 > - 서비스레지스트리생성 부팅시자동실행을위해서비스레지스트리생성 < 그림. 서비스레지스트리생성코드 > < 그림. 새로생성된서비스레지스트리화면 > 페이지 9

- 서비스실행 Sc.exe 파일을이용하여서비스를실행시킨다. Sc.exe 파일은윈도우 NT 버전에서서비스를시작 / 중지 / 삭제 / 생성등의동작을할수있다 사용된명령어 : sc start WindowsDirectx 4 악성파일 (WindowsDirectx.exe) - 파일정보 Detection Name File Name MD5 Size(Byte) Trojan.Downloader.wdx WindowsDirectx.exe 8AB395191541C0F29AA35E459783C796 159744 - 파일다운로드 지정된서버에접속하여 CONFIG.txt 파일을다운로드받는다. < 그림. 다운로드를위해접속할 URL 주소화면 > 다운로드된 txt 파일은아래와같은형식으로추가적인악성파일을다운로드할수있도 록되어있다. < 그림. 다운로드된 CONFIG.txt 파일내용 > 페이지 10

5 악성파일 (5.exe) - 파일정보 Detection Name File Name MD5 Size(Byte) Spyware.PWS.KRBanker 5.exe B97D36CB7A362E19D3B19ED8400B61E0 505086 다운로드된 5.exe 파일은이전 down_x.exe 파일과마찬가지로 SFX 형식으로되어있으며, CONFIG.INI, CretClient.exe, HDSetup.exe 파일명으로 3 개의악성파일이압축되어있다. < 그림. 실행압축되어있는파일의내용 > SFX 명령어에따라압축해제시 C:\WINDOWS\HDSetup.exe 파일이실행되도록되어 있다. 6 악성파일 (HDSetup.exe) - 파일정보 Detection Name File Name MD5 Size(Byte) Spyware.PWS.KRBanker HDSetup.exe E9707989E1E5A34A8CE6A2D1E1D0AC70 430080 - CONFIG.INI 파일의 IP 체크 페이지 11

압축이풀린디렉토리에서 CONFIG.INI 파일을읽어 [start] 의 SERVER 값을가져온다. < 그림. CONFIG.INI 파일내용 > < 그림. CONFIG.INI 파일의서버 IP 를구하는코드 > - HDSetup.exe 파일실행인자값체크 Command Line에서 HDSetup.exe 파일이실행시 첫번째인자가 101 인지확인 한다. 인자값을체크하는이유는시스템이감염되어 사용자정보를가져간시스템 과 사용자정보를가져가기전의시스템 을구분하기위해서다. 페이지 12

< 그림. HDSetup.exe 파일의실행인자값을체크하는코드 > A. 첫번째인자가 101 이아닐경우 ( 정보를가져가기전의시스템 ) Hosts 파일을변경한후 Internet Explorer ActiveX 관련레지스트리를생성및수정한다. - Hosts 파일생성 Echo 명령어를사용하여 Hosts 파일을생성한다. "cmd /c echo 59.188.237.5 www.kbstar.com kbstar.com obank.kbstar.com banking.nonghyup.com banking.shinhan.com www.wooribank.com wooribank.com pib.wooribank.com bank.keb.co.kr www.keb.co.kr > C:\WINDOWS\system32\drivers\etc\hosts" < 그림. 새롭게생성된 Hosts 파일내용 > - 레지스트리변경및생성 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 1201 = dword:00000003 -> dword:00000000 으로변경 (ACtiveX 컨트롤초기화및스크립트관련레지스트리 ) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Security DisableSecuritySettingsCheck = dword:00000001 값생성 ( 서명된 ActiveX 컨트롤다운로드사용관련레지스트리 ) HKEY_CURRENT_USER\Software\HDSoft RunPach = C:\WINDOWS (HDSetup.exe 이실행된위치 ) 페이지 13

B. 첫번째인자가 101 이맞을경우 ( 정보를가져간시스템 ) 해당시스템이감염되어이미얻고자하는사용자정보를모두가져갔으므로자신의흔적 을지우기위해서, 실행된파일을삭제하고변조된 hosts 파일을정상적으로되돌린다. - 101 인자설정 101 인자값은감염된시스템에서인터넷뱅킹을접속했을시정상사이트가아닌파밍 사이트로이동후특정한페이지를통해 101 값으로실행된다. < 그림. 101 인자값을설정하는페이지코드 > - 파일삭제 HKEY_CURRENT_USER\Software\HDSoft\RucPach 레지스트리에서폴더정보를가져온다 ( 디폴트로실행되었다면 C:\WINDOWS 폴더로지정되어있다.) 삭제대상파일은 C:\WINDOWS\HDExpress.exe, C:\WINDOWS\CretClient.exe 이다. 페이지 14

< 그림. 삭제될파일을체크하는코드 > - 레지스트리삭제 HKEY_CURRENT_USER\Software\HDSoft - Hosts 파일삭제 cmd /c del C:\WINDOWS\system32\drivers\etc\hosts - Hosts 파일생성 기본값 (127.0.0.1 localhost) 으로 hosts 파일을다시생성 < 그림. 기본적인내용으로변경된 Hosts 파일내용 > - 자가삭제파일생성 DeleteBat.bat 을실행하여 del %1(HDSetup.exe) 와 del %0(DeleteBat.bat) 관련파일삭제 < 그림. 자가삭제를위해만들어진 Batch 파일의내용 > 페이지 15

7 악성파일 (CretClient.exe) - 파일정보 Detection Name File Name MD5 Size(Byte) Spyware.PWS.KRBanker CretClient.exe D82908EEAB669CD991D217BEED61D57D 704512 CretClinet.exe 는인터넷뱅킹공인인증서로그인을가장한파일이며, 감염된사용자의공 인인증서 (PKI) 와비밀번호를서버로전송시키는역할을한다. < 그림. 허위공인인증서프로그램 ( 좌 ) 과실제공인인증서프로그램 ( 우 ) 비교화면 > 페이지 16

8 악성파일순서도 (3) 결론 해당악성코드에감염시 Hosts 파일이변조되어인터넷뱅킹을이용하는사용자는정상적인인터넷뱅킹사이트가아닌제작자가만들어둔허위사이트로접속되어실직적인금전피해를입을수있습니다. 악성코드제작자는모든정보를가져간후에는자신의흔적을지우기위해모든파일들 과레지스트리를삭제시키기때문에사용자는자신의정보가유출되었는지조차모를수 있습니다. 따라서안티바이러스프로그램은 Hosts 파일감시와파밍사이트에대해빠른대처가필 요하며, 사용자들은인터넷뱅킹의암호와공인인증서의암호를주기적으로교체하는노력 이필요합니다. 페이지 17

Part Ⅰ 7 월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 8080 0% 3389 1% 23 1% 1433 1% 21 4% 1080 0% 4899 0% 3306 21 1433 3389 23 8080 3306 1080 93% 4899 5900 25 (2) 상위 Top 5 포트월별추이 [2012 년 05 월 ~ 2012 년 07 월 ] 2012 년 7 월 2012 년 6 월 2012 년 5 월 3306 1433 21 3389 23 페이지 18

(3) 악성트래픽유입추이 [2012 년 02 월 ~ 2012 년 07 월 ] 2012 년 2 월 2012 년 3 월 2012 년 4 월 2012 년 5 월 2012 년 6 월 2012 년 7 월 페이지 19

2012-7-1 2012-7-3 2012-7-5 2012-7-7 2012-7-9 2012-7-11 2012-7-13 2012-7-15 2012-7-17 2012-7-19 2012-7-21 2012-7-23 2012-7-25 2012-7-27 2012-7-29 2012-7-31 Part Ⅰ 7 월의악성코드통계 4. 스팸메일분석 (1) 일별스팸및바이러스통계현황 60,000 50,000 40,000 30,000 20,000 10,000 바이러스 스팸 0 일별스팸및바이러스통계현황그래프는하루에유입되는바이러스및스팸메일의개수를나타내는그래프입니다. 7월의경우 6월에비해바이러스가포함된메일통계수치는약 10% 가량소폭으로증가하였습니다. 수집된스팸메일의통계수치도 6월에이어 7월통계가약 20% 가까이증가하였습니다. (2) 월별통계현황 [2012 년 02 월 ~ 2012 년 07 월 ] 800,000 700,000 2.1% 600,000 500,000 4.1% 400,000 300,000 3.9% 4.7% 97.9 5.5% 4.8% 바이러스 스팸 200,000 100,000 96.1 95.3 95.9 94.5 95.2 0 2 월 3 월 4 월 5 월 6 월 7 월 월별통계현황은전체악성메일중단순스팸메일과악성코드첨부메일의각비율을나타내는 그래프입니다. 7 월에는스팸메일이 95.2%, 바이러스첨부메일이 4.8% 의비율로수신된것으로 나타났습니다. 페이지 20

(3) 스팸메일내의악성코드현황 [2012 년 6 월 1 일 ~ 2012 년 6 월 31 일 ]ff 순위 악성코드진단명 메일수 [ 개 ] 비율 [%] 1 W32/Mytob-C 4,027 27.88% 2 W32/MyDoom-H 1,725 11.94% 3 Mal/ZipMal-B 1,336 9.25% 4 W32/Virut-T 374 2.59% 5 Mal/BredoZp-B 277 1.92% 6 Troj/Invo-Zip 271 1.88% 7 W32/Lovgate-V 214 1.48% 8 W32/MyDoom-N 212 1.47% 9 W32/MyDoom-F 197 1.36% 10 W32/Bagle-CF 145 1.00% 스팸메일내의악성코드현황은 6월한달동안수신된메일에서발견된악성코드중 Top 10을뽑은그래프입니다. 현재 W32/Mytob-C가 27.88% 로비율이지난달에비해약간감소하였으나 3달연속으로 1위를차지하고있으며, 2위는 11.94% 를차지한 W32/MyDoom-H, 3위는 9.25% 를차지한 Mal/ZipMal-B입니다. 2위와 3위역시비율의변화는있었으나지난달과동일한순위를보이고있습니다. 7월에유입된스팸메일수는 6 월에비해약 20% 가까이증가하였습니다. 페이지 21

Part Ⅱ 보안이슈돋보기 1. 7 월의보안이슈 7월 15일부터모바일플래시플레이어의배포가중단됩니다. 그밖에 MS 제로데이취약점악용한 ARP 스푸핑공격, DNS체인저악성코드, 애플스토어에서악성코드발견, 은행 4곳파밍공격발생, 마흐디악성코드발견건등이 7월의이슈가되었습니다. 7월 15일부터모바일플래시배포중단플래시는매년몇차례씩보안의취약점을드러냈으며, 매달한번씩보안패치가진행될만큼많은해커들의공격을받아왔습니다. 모바일상황도크게다르지않았으며, 특히모바일플래시플레이어자체가무겁고과도한베터리소모를유발하는약점도가지고있었습니다. 그래서어도비는 7월 15일을기준으로모바일플래시배포를중단하기로하였으며, 모바일플래시를대체할수있는 HTML5 컨텐츠제작에집중하고있습니다. MS 제로데이취약점악용한 ARP 스푸핑공격공격자가원격으로임의의코드를실행할수있는코드실행취약점인 CVE-2012-1889 취약점을악용한악성코드가 6월중순부터여러가지형태로유포되고있었습니다. 특히 6월 27일부터는 ARP 스푸핑공격기능을포함한악성코드들이제로데이취약점을이용하여유포되었으며, 정식보안패치가나오지않은상황에서많은 PC들이제로데이공격위험에노출되어있었습니다. 이에따라 MS는임시보안패치를내놓았으며, 정식패치는 7월 11일에발표되었습니다. DNS체인저한국에침투전세계적으로 420만대개인용 PC를감염시킨악성코드 DNS 체인저 가국내에서도발견되었습니다. DNS체인저는컴퓨터의 DNS 설정을바꿔인터넷접속에장애를일으키는악성코드로국내에서는 1,798대의 PC가감염되었습니다. 한국인터넷진흥원 (KISA) 와경찰은악성코드에감염된사용자들에게피해사실을알리고치료방법을안내했습니다. 앞서미 FBI는피해방지를위해서, 감염시설정되는악성DNS IP에클린 DNS를운영해왔으나 7 월 9일부로운영을중단했습니다. 이조치로인해 DNS 체인저에감염된적이있는 PC는이때부터인터넷연결에장애가발생할수있다고경고한바있습니다. 애플스토어에서악성코드발견철저한보안을자랑하던애플스토어에서악성코드가발견되었습니다. 악성코드에감염된앱은 파인드앤콜 (Find and Call) 로사용자의연락처와 GPS 등위치정보를지정된원격서버에몰래업로드하였습니다. 또한사용자몰래수집한연락처를이용해몰래스팸메세지를발송하기도했습니다. 현재파인드앤콜은는앱스토어와구글플레이에서모두삭제되었지만, 앱스토어도악성코드로부터완전히자유로울수는없다는것이확인되었습니다. 페이지 22

은행 4곳파밍에습격국민은행, 농협, 우리은행, 외환은행이파밍공격을당했습니다. 파밍은정상사이트에접속해도해커가만든가짜사이트에접속이되는공격형태입니다. 가짜사이트는정상사이트와동일한형태로꾸며졌으며, 보안승급등을이유로개인정보를요구하며, 공인인증서입력화면까지유사하게설계되었습니다. 실제로피해로이어지지는않았지만, 금융권을중심으로파밍경계령이내려졌습니다. 파밍은피싱과달리주소창에보여지는 URL까지진짜와똑같다는점에서매우위험합니다. 새로운바이러스마흐디 (Mahdi), 중동에서발견스턱스넷, 듀큐, 플레임처럼, 군사목적의사이버무기로활용될가능성이의심되는새로운악성코드마흐디 (Mahdi) 가발견되었습니다. 마흐디는이슬람교의메시아를의미하는말로파일의이름을따서명명되었으며, 특정지역을대상으로선택한컴퓨터만공격한다는점에서사이버무기로의심을받았습니다. 마흐디는 PDF파일, 엑셀및워드문서의취약점을악용하여감염되는것으로알려졌으나아직완전히파악되지는않은상태로, 더정밀한분석결과를기다리고있습니다. 페이지 23

2. 8 월의취약점이슈 8 월 MS 정기보안업데이트가아직발표되지않아, 8 월의보안업데이트정보는 9 월호에 게시됩니다. 알마인드 DLL하이재킹취약점보안업데이트권고이스트소프트의마인드맵프로그램 알마인드 에서, DLL하이재킹취약점이발견되었습니다. 사용자가특수하게조작된 DLL파일과동일한디렉토리경로에존재하는정상파일을알마인드프로그램을통하여열람할경우, 원격코드가실행될수있습니다. 사용자는해당취약점을이용한공격이발생하지않도록알마인드프로그램을최신버전으로업그레이드하시기바랍니다. < 해당제품 > 알마인드 1.21.2.58 및이전버전 < 해결방법 > 알툴즈홈페이지를방문하여알마인드최신버전을재설치하거나, [ 시작 ] - [ 모든프로그램 ] - [ 이스트소프트 ] - [ 알툴즈업데이트 ] 를통해최신버전으로업데이트하시기바랍니다. < 참고사이트 > http://www.altools.co.kr/plaza/notice_contents.aspx?idx=973 페이지 24

아래한글원격코드실행취약점보안업데이트권고한글과컴퓨터사의워드프로세서 아래한글 에서원격코드실행취약점 2종이발견되었습니다. 낮은버전의아래한글사용자는악성코드감염에취약할수있으므로해결방안에따라보안업데이트를하시기바랍니다. - 공격자는웹게시, 스팸메일, 메신저의링크등을통해특수하게조작된한글문서 (HWP) 파일을사용자가열어보도록유도하여원격코드가실행될수있는취약점 - 사용자가특수하게조작된 DLL 파일과동일한디렉토리경로에존재하는정상 HWP 문서 파일을열람할경우, 원격코드가실행될수있는취약점 < 해당제품 > 한글 2002 5.7.9.3055 및이전버전 한글 2004 6.0.5.773 및이전버전 한글 2005 6.7.10.1074 및이전버전 한글 2007 7.5.12.631 및이전버전 한글 2010 8.5.8.1234 및이전버전 < 해결방법 > 홈페이지를방문하여보안업데이트파일을다운받아설치하거나, 자동업데이트를통해 한글최신버전으로업데이트하시기바랍니다. 업데이트다운로드페이지 : http://www.hancom.co.kr/download.downpu.do?mcd=001 자동업데이트 : 시작 모든프로그램 한글과컴퓨터 한컴자동업데이트 < 참고사이트 > http://www.hancom.co.kr/download.downpu.do?mcd=001 페이지 25

Contact us 이스트소프트알약대응팀 Tel : 02-3470-2999 E-mail : help@alyac.co.kr : 알약홈페이지 : www.alyac.co.kr 페이지 26