인터넷과 보안

구글 안드로이드 공식마켓 악성파일 지속적 발견

viruslab — Wed, 08 Feb 2012 09:44:49 +0900

http://www.msnbc.msn.com/id/46283701/ns/technology_and_science-security/

https://plus.google.com/103876278794381402383/posts/KJUHKbLByZV#103876278794381402383/posts/KJUHKbLByZV

http://about-threats.trendmicro.com/Malware.aspx?language=us&name=ANDROIDOS_FAKECLICK.ER

AirPush 종류의 Adware 는 강세군요.

독일에 유포된 PDF 취약점 악성파일

viruslab — Wed, 08 Feb 2012 09:17:31 +0900

독일 특정 사용자에게 은밀하게 유포된 사례입니다.

PDF 첨부파일이 있는 이메일도 각별히 주의하셔야 겠지요?

MIDI Exploit 출현

viruslab — Fri, 27 Jan 2012 14:40:23 +0900

MIDI 파일의 취약점을 이용한 악성파일이 등장했으니, 모두 모두 보안 업데이트 하세요.

http://erteam.nprotect.com/244

변종도 좀 보이네요.

방송통신위원회 200억 투자 뉴스 사라짐?

viruslab — Fri, 27 Jan 2012 14:35:26 +0900

뉴스가 나왔다가 순식간에 모두 사라짐 @_@

오보였나 봅니다.

그렇지만 제 실시간 순간 모니터링에는 걸렸죠.

[Update]
오늘 오후 4시에 방통위 최시중 위원장이 사퇴를 한다고 하며, 상기 뉴스는 일요일에 배포할 예정이라고 하네요.
http://news.kbs.co.kr/culture/2012/01/27/2426054.html

일본 음란 사이트 안드로이드 악성파일 변종 지속 유포 중

viruslab — Thu, 26 Jan 2012 13:21:58 +0900

http://erteam.nprotect.com/240

해당 음란 사이트에서 동영상 재생에 필요한 파일처럼 위장하여 유포 중입니다.

nProtect Mobile for android 제품에서 진단 치료가 가능합니다.

nProtect Mobile for Android 업데이트

viruslab — Thu, 26 Jan 2012 10:59:22 +0900

신규 안드로이드 악성파일 업데이트 내역입니다.

지속적으로 변종 악성파일이 수집되고 업데이트 되고 있습니다.

http://viruslab.tistory.com/2484

http://erteam.nprotect.com/227

http://viruslab.tistory.com/2492

Exploit/Android.Asroot.L
Exploit/Android.Asroot.M
Exploit/Android.Asroot.N
Exploit/Android.Asroot.O
Exploit/Android.RATC.AP
Exploit/Android.RATC.AQ
Exploit/Android.RATC.AR
Exploit/Android.RATC.AS
HackTool/Android.DroidSheep.B
Trojan-SMS/Android.EUsendSMS.H
Trojan-SMS/Android.Fakeplayer.B
Trojan-SMS/Android.Fakeplayer.C
Trojan-SMS/Android.Fakeplayer.D
Trojan-SMS/Android.Fakeplayer.E
Trojan-SMS/Android.Fakeplayer.F
Trojan-SMS/Android.Fakeplayer.G
Trojan-SMS/Android.Fakeplayer.H
Trojan-SMS/Android.Fakeplayer.I
Trojan-SMS/Android.Legacy.PM
Trojan-SMS/Android.Legacy.PN
Trojan-SMS/Android.SmsSend.RP
Trojan-SMS/Android.SmsSend.RQ
Trojan-SMS/Android.SmsSend.RR
Trojan-SMS/Android.SmsSend.RS
Trojan-SMS/Android.SmsSend.RT
Trojan-SMS/Android.SmsSend.RU
Trojan-SMS/Android.SmsSend.RV
Trojan-SMS/Android.SmsSend.RW
Trojan-SMS/Android.SmsSend.RX
Trojan-SMS/Android.SmsSend.RY
Trojan-SMS/Android.SmsSend.RZ
Trojan-SMS/Android.SmsSend.SA
Trojan-SMS/Android.SmsSend.SB
Trojan-SMS/Android.SmsSend.SC
Trojan-SMS/Android.SmsSend.SD
Trojan-SMS/Android.SmsSend.SE
Trojan-SMS/Android.SmsSend.SF
Trojan-SMS/Android.SmsSend.SG
Trojan-SMS/Android.SmsSend.SH
Trojan-SMS/Android.SmsSend.SI
Trojan-SMS/Android.SmsSend.SJ
Trojan-SMS/Android.SmsSend.SK
Trojan-SMS/Android.SmsSend.SL
Trojan-SMS/Android.SmsSend.SM
Trojan-SMS/Android.Tesbo.A
Trojan-Spy/Android.FakeBatteryDoctor.Q
Trojan-Spy/Android.GO108.AO
Trojan-Spy/Android.GO108.AP
Trojan-Spy/Android.HippoSMS.K
Trojan-Spy/Android.HippoSMS.L
Trojan-Spy/Android.Nyleaker.A
Trojan-Spy/Android.Nyleaker.B
Trojan-Spy/Android.Plankton.AA
Trojan-Spy/Android.Plankton.AB
Trojan-Spy/Android.Plankton.AC
Trojan-Spy/Android.Plankton.AD
Trojan-Spy/Android.Plankton.AE
Trojan-Spy/Android.Plankton.AF
Trojan-Spy/Android.Plankton.AG
Trojan-Spy/Android.Plankton.AH
Trojan-Spy/Android.Plankton.AI
Trojan-Spy/Android.Plankton.AJ
Trojan-Spy/Android.Plankton.AK
Trojan-Spy/Android.Plankton.AL
Trojan-Spy/Android.Plankton.AM
Trojan-Spy/Android.Plankton.AN
Trojan-Spy/Android.Plankton.AO
Trojan-Spy/Android.Plankton.AP
Trojan-Spy/Android.Plankton.AQ
Trojan-Spy/Android.Plankton.AR
Trojan-Spy/Android.Plankton.AS
Trojan-Spy/Android.Plankton.AT
Trojan-Spy/Android.Plankton.AU
Trojan-Spy/Android.Plankton.AV
Trojan-Spy/Android.Plankton.AW
Trojan-Spy/Android.Plankton.AX
Trojan-Spy/Android.Plankton.AY
Trojan-Spy/Android.Plankton.AZ
Trojan-Spy/Android.Plankton.BA
Trojan-Spy/Android.Plankton.BB
Trojan-Spy/Android.Plankton.R
Trojan-Spy/Android.Plankton.S
Trojan-Spy/Android.Plankton.T
Trojan-Spy/Android.Plankton.U
Trojan-Spy/Android.Plankton.V
Trojan-Spy/Android.Plankton.W
Trojan-Spy/Android.Plankton.X
Trojan-Spy/Android.Plankton.Y
Trojan-Spy/Android.Plankton.Z
Trojan/Android.FakeTimer.B
Trojan/Android.Gapev.A
Trojan/Android.Qicsomos.A

무료통화 어플 톡앤유, 개인정보 줄줄

viruslab — Thu, 26 Jan 2012 09:15:02 +0900

http://fn.segye.com/articles/article.asp?aid=20120125002510&cid=0501030000000

무료 앱들이 수집하는 개인 정보는 이렇게 관리가 허술하고 보안상 문제가 될 소지가 크다.

해외의 안드로이드 악성파일 진단 테스트

viruslab — Wed, 25 Jan 2012 17:07:08 +0900

앞으로 VB 에 안드로이드 보안 제품의 테스트도 포함되지 않을까 생각되네요.

http://www.av-test.org/fileadmin/pdf/avtest_2011-11_free_android_virus_scanner_english.pdf

http://www.wilderssecurity.com/showthread.php?t=311108

http://viruslab.tistory.com/2484

version.dll 교체형 악성파일 version32.dll 백업에서 versionxp.dll 백업으로..

viruslab — Sat, 21 Jan 2012 09:27:50 +0900

version.dll 교체형 악성파일이 version32.dll 파일로 백업하던 방식에서 versionxp.dll 방식으로 계속 변경되고 있다.

nProtect 전용백신으로는 완벽하게 변종을 치료할 수 있다.

http://erteam.nprotect.com/243

ws2help.dll, version.dll 등 시스템 파일 교체형 악성파일 특수백신

viruslab — Thu, 19 Jan 2012 10:35:25 +0900

다수의 변종을 탐지하고 치료할 수 있으며, 중복 감염된 경우도 처리가 가능합니다.

전용백신이 아니라 특수백신이라고 말하고 싶네요.

다운로드 -> http://www.nprotect.com/v7/down/sub.html?mode=vaccine_view&subpage=4&no=313

도움말(HLP)파일 취약점을 이용한 악성파일 다수 발견

viruslab — Thu, 19 Jan 2012 10:27:07 +0900

해외에서 도움말(HLP)파일의 취약점을 교묘하게 이용하는 공격 형태가 지속적으로 모니터링되고 있습니다.

이메일 첨부파일에 파일명.hlp 파일이 있으면 각별한 주의가 필요합니다.

도움말 취약점을 탐지하는 Anti-Virus 제품이 극히 드물기 때문에 앞으로 은밀한 공격에 악용될 소지가 높습니다.

최근에 공격에 이용된 이메일 화면을 일부 공개합니다.

http://erteam.nprotect.com/234

아래는 13일에 발견된 종류입니다.

첨부되어 있는 hlp 파일을 실행하면 다음과 같은 화면이 출력되면서 사용자 몰래 악성파일을 설치합니다.

다음은 17일에 발견된 종류입니다.

첨부되어 있는 hlp 파일을 실행하면 다음과 같은 정상적인 도움말 화면을 보여주면서 사용자 몰래 악성파일을 설치하고, 원격지에서 리버스 컨넥션을 하여 2차 해킹을 시도합니다.

안드로이드용 악성파일 치료 기능 업데이트

viruslab — Wed, 18 Jan 2012 17:25:10 +0900

nProtect Mobile for Android 제품에 38종의 새로운 안드로이드 악성파일 치료기능이 추가되었습니다.

Trojan-Spy/Android.GoldDream.CT
Trojan-Spy/Android.GoldDream.CU
Trojan-Spy/Android.GoldDream.CV
Trojan-Spy/Android.GoldDream.CW
Trojan-SMS/Android.Legacy.PK
Trojan-SMS/Android.Legacy.PL
Exploit/Android.Asroot.J
Exploit/Android.Asroot.K
Exploit/Android.RATC.AO
Trojan-Spy/Android.DDLight.CM
Trojan-SMS/Android.SmsSend.RA
Trojan-SMS/Android.SmsSend.RB
Trojan-SMS/Android.SmsSend.RC
Trojan-SMS/Android.SmsSend.RD
Trojan-SMS/Android.SmsSend.RE
Trojan-SMS/Android.SmsSend.RF
Trojan-SMS/Android.SmsSend.RG
Trojan-SMS/Android.EUsendSMS.G
Trojan-SMS/Android.SmsSend.RH
Trojan-SMS/Android.SmsSend.RI
Trojan-SMS/Android.SmsSend.RJ
Trojan-SMS/Android.SmsSend.RK
Trojan-SMS/Android.SmsSend.RL
Trojan-SMS/Android.SmsSend.RM
Trojan-SMS/Android.SmsSend.RN
Trojan-SMS/Android.SmsSend.RO
Trojan-SMS/Android.Placms.D
Trojan-SMS/Android.Placms.E
Trojan-SMS/Android.Placms.F
Trojan-SMS/Android.Placms.G
Trojan-Spy/Android.SeaWeth.O
Trojan-Spy/Android.SeaWeth.P
Trojan-Spy/Android.FakeBatteryDoctor.O
Trojan-Spy/Android.FakeBatteryDoctor.P
Trojan/Android.FakeTimer.A
Trojan-Spy/Android.HippoSMS.I
Trojan-Spy/Android.HippoSMS.J
Trojan-Spy/Android.Plankton.Q

ws2help.dll 교체형 다시 version.dll 교체형으로 변형

viruslab — Tue, 17 Jan 2012 09:13:47 +0900

시스템에 존재하는 정상적인 version.dll 파일을 악성파일로 교체하는 형태가 등장했습니다.

기존에 널리 알려져 있던 ws2help.dll 이 대부분 GD 이 가능해지자 변경한 것으로 보여집니다.

먼저 악성파일이 실행되면 다음과 같은 동작을 합니다.

시스템 폴더에 safemon.dll 생성하여, BHO 로 등록하고, 온라인 게임 계정, 온라인 문화상품권, 아이템 거래 사이트 계정 등을 탈취 시도합니다.

이후에 다수의 숫자 조합을 한 악성 dll 파일을 임시폴더에 생성하고, 시스템 폴더에 정상 version.dll 파일을 version32.dll 로 복사 한다.

그런 다음에 숫자 조합으로 만들어진 악성파일과 version.dll 파일을 교체시킨다.

그리고 voor.bat 파일 등을 만들고 숙주 파일을 삭제한다.

http://fish.jetg(일부제거).com/1/get.asp?mac=(일부제거)&ver=winxp%20Professional&avs=unknow&os=NO

로 다수의 정보를 유출 시도한다. 자세히 코드를 보지는 않았지만 avs 는 Anti-Virus 제품이 아닐까 싶다.

IRC Bot 기능을 수행하여 C&C 에서 명령을 받는 안드로이드 악성파일

viruslab — Sat, 14 Jan 2012 09:58:06 +0900

IRC bot for Android
http://www.securelist.com/en/blog/208193332/IRC_bot_for_Android

https://www.virustotal.com/file/213e042b3d5b489467c5a461ffdd2e38edaa0c74957f0b1a0708027e66080890/analysis/

Trojan-SMS.AndroidOS.Foncy.a 종류가 나오는지는 좀 꽤 지난 편이다.

IRC Bot 기능 등이 업그레이드되면 어떤 명령이든지 자유자재로 공격 형태가 발전할 수 있다.

사실 원격제어 기능만 허용되면 안드로이드용 Backdoor 도 일반화되는 것도 시간문제다.

ws2help.dll 교체형 악성파일 안랩 핵쉴드 파일로 위장

viruslab — Fri, 13 Jan 2012 10:03:40 +0900

ws2help.dll 시스템 파일을 악성파일로 교체하는 형태가 최근 안랩 핵쉴드 파일처럼 속성을 위장한 형태로 배포되었네요.

아래는 중복 감염으로 인해서 정상 ws2help.dll 이 백업되어 있어야 하는 wimedump.dll 이어야 하지만,
중복 감염으로 인해서 악성으로 추가 변경된 형태입니다.

http://erteam.nprotect.com/235

정상파일로 백업되는 대표적인 파일명들은 ws3help.dll, ws2helpXP.dll, wimedump.dll 등입니다.

최근 ws2help.dll 중복 감염된 형태를 특정 보안업체의 전용백신으로 치료 시도시 블루스크린 장애가 발생하는 것이 보고되었습니다.

안드로이드 보안 관제 시만텍보다 빨랐다.

viruslab — Fri, 13 Jan 2012 09:32:34 +0900

얼마전 일본 음란 사이트에서 배포되었던 안드로이드용 악성파일을 블로그에 게재한 바 있습니다.

http://erteam.nprotect.com/240

이 내용을 금일 시만텍에서도 공식 블로그에 게재했네요.

http://www.symantec.com/connect/ko/blogs/smartphone-app-used-one-click-fraud-japan

http://blog.trendmicro.com/one-click-billing-fraud-scheme-through-android-app-found/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Anti-MalwareBlog+%28Trend+Micro+Malware+Blog%29&utm_content=Google+Reader

시만텍 보다 빠른 대응력 ^^V

군, 연초부터 신종 해킹메일 '주의보'

viruslab — Thu, 12 Jan 2012 10:00:35 +0900

http://www.ytn.co.kr/_ln/0101_201201120805489887

2012년 1월 1일에 HWP Exploit 악성파일이 다수 발견된 바 있다.

어떤 것은 특정 기업의 이력서 파일처럼 되어 있고, 어떤 것은 북한의 근황과 경제 실태라는 내용의 문서를 담고 있기도 하다.

그중 한개는 실행되면 아래와 같은 내용이 보여진다.

사실 신년부터 큰 이슈가 빵빵 터지고 있다.

스마트폰 감시 프로그램 스팸메일로 국내 다량 전파 중

viruslab — Thu, 12 Jan 2012 09:04:16 +0900

본격적으로 스마트폰 감시 프로그램 등을 홍보(판매)하기 위해서 스팸 메일을 국내외에 다량으로 전파되는 것이 확인되었습니다.

기존의 스마트폰 이용자들로 부터 수집된 이메일 주소 등이 악용될 소지가 높겠지요.

그렇기 때문에 스마트폰 무료 앱들이 사용자들의 이메일 주소를 무단으로 수집하는 것도 매우 악용될 소지가 높은 이유입니다.

http://erteam.nprotect.com/239

http://erteam.nprotect.com/240

아래는 국내에 지속적으로 유입 중인 메일이며, 단축 URL 서비스 등을 이용하고 있습니다.

nProtect Mobile for Android 신규 안드로이드 악성파일 40개 업데이트

viruslab — Wed, 11 Jan 2012 18:57:06 +0900

엔프로텍트 Anti-Virus 제품은 내부에 APK 내부에 포함된 Dex 파일의 구조를 진단하기 때문에 악성 Dex 파일을 리패키징한 형태는 1개의 패턴으로 다수의 변종을 탐지할 수 있습니다.

120111   Adware/Android.Health.A
120111   Adware/Android.Health.B
120111   Adware/Android.Health.C
120111   Adware/Android.Health.D
120111   Adware/Android.Health.E
120111   Adware/Android.Health.F
120111   Adware/Android.Health.G
120111   Adware/Android.Health.H
120111   Adware/Android.Health.I
120111   Adware/Android.Health.J
120111   Adware/Android.Health.K
120111   Adware/Android.Health.L
120111   Adware/Android.Health.M
120111   Adware/Android.Health.N
120111   Trojan-SMS/Android.Placms.C
120111   Trojan-Spy/Android.GingerMaster.ACK
120111   Trojan-Spy/Android.GingerMaster.ACL
120111   Trojan-Spy/Android.GingerMaster.ACM
120111   Trojan-Spy/Android.GingerMaster.ACN
120111   Trojan-Spy/Android.GingerMaster.ACO
120111   Trojan-Spy/Android.GingerMaster.ACP
120111   Trojan-Spy/Android.GingerMaster.ACQ
120111   Trojan-Spy/Android.GingerMaster.ACR
120111   Trojan-Spy/Android.GingerMaster.ACS
120111   Trojan-Spy/Android.GingerMaster.ACT
120111   Trojan-Spy/Android.GingerMaster.ACU
120111   Trojan-Spy/Android.GingerMaster.ACV
120111   Trojan-Spy/Android.GingerMaster.ACW
120111   Trojan-Spy/Android.GingerMaster.ACX
120111   Trojan-Spy/Android.GingerMaster.ACY
120111   Trojan-Spy/Android.GingerMaster.ACZ
120111   Trojan-Spy/Android.GingerMaster.ADA
120111   Trojan-Spy/Android.GingerMaster.ADB
120111   Trojan-Spy/Android.GingerMaster.ADC
120111   Trojan-Spy/Android.GingerMaster.ADD
120111   Trojan-Spy/Android.GingerMaster.ADE
120111   Trojan-Spy/Android.GingerMaster.ADF
120111   Trojan-Spy/Android.GingerMaster.ADG
120111   Trojan-Spy/Android.GingerMaster.ADH
120111   Trojan-Spy/Android.GingerMaster.ADI

약 12,000개 안드로이드 악성파일 진단 테스트

viruslab — Wed, 11 Jan 2012 13:17:03 +0900

개인적으로 수집한 약 12,000개 정도의 안드로이드 악성파일에 대한 진단 능력 테스트를 간략히 수행해 보았다.

이 테스트 내용으로 얼마나 많은 안드로이드 기반의 악성파일이 존재한다는 것을 직간접적으로 느낄 수 있지 않을까 싶다.

http://viruslab.tistory.com/2360

http://erteam.nprotect.com/237

nProtect Mobile for Android : 8,854 개 탐지
ViRobot Mobile for Android : 5,837 개 탐지
V3 Mobile 2.0 : 3,048 개 탐지
알약 프리미엄 : 1,892 개 탐지