악성코드/악성코드 소식

웜 확산보다 소문이 빨랐던 2090 바이러스

쿨캣7 2009. 2. 10. 10:53
728x90
반응형

2009년 2월 9일 시스템 날짜를 2090년 1월 1일로 변경하는(변경되지 않을 수도 있음) 신종 악성코드가 발견되었다.

- 파일명 : system.exe
- 파일길이 : 15,872 바이트
- MD5 : 9420396e9264918f50155b577ceda82e
- V3 진단명 : Win32/AimBot.worm.15872 ( 2009.02.09.03 엔진에서 Win-Trojan/Agent.15872.KM 로 진단)

사람들 사이에 2090 바이러스, 2090년 바이러스로 알려진 이 웜은 특징적인 증상으로 감염된 시스템에 따라 2090년 1월 1일로 시스템 날짜가 변경되고 로그인이 안 될 수 있다. (안전모드로 부팅이 안 될 수 있다.)

- 안철수연구소 분석 자료
http://kr.ahnlab.com/info/smart2u/virus_detail_25902.html


[공포의 확산]

악성코드 감염 수에 비해서는 공포가 점차 커졌는데 우선 네티즌들이 확인되지 않은 일부 사실들이 글로 올리고 언론에서 기사화하면서 공포가 확산된 경향도 있다.

또한 이상하게 한국에서만 활동했는지 2009년 2월 9일 저녁에 국내에서 보고된 후 이틀이 지난 2009년 2월 11일 새벽 현재까지 진단되지 않는 제품이 다수 존재한다.

국내 업체를 포함해서 2009년 2월 9일 엔진부터 예방이 가능하므로 너무 걱정할 필요 없다.




[안철수연구소 전용백신]

이 웜에 감염되면 최근에 악성코드에서 사용하는 기법으로 진단/치료를 방해한다. 따라서, 기존 백신 제품으로는 감염되어도 치료는 커녕 진단도 되지 않을 수 있다. 현재 안철수연구소는 전용 백신을 제공하고 있다.

- Win32/AimBot.worm.15872 전용 백신
http://kr.ahnlab.com/dwVaccineView.ahn?num=86&cPage=1



[진단명]


http://www.virustotal.com/analisis/4701f413ebf4cb7ac46f5d47613afb32

* 2009년 2월 10일 오전 10시 50분 -----------------------------------------

안티바이러스 엔진 버전 정의 날짜 검사 결과

a-squared 4.0.0.93 2009.02.10 Virus.Win32.PureMorph!IK
AhnLab-V3 5.0.0.2 2009.02.10 Win-Trojan/Agent.15872.KM
AntiVir 7.9.0.76 2009.02.09 -
Authentium 5.1.0.4 2009.02.10 -
Avast 4.8.1335.0 2009.02.09 Win32:PureMorph
AVG 8.0.0.229 2009.02.09 -
BitDefender 7.2 2009.02.10 -
CAT-QuickHeal 10.00 2009.02.09 -
ClamAV 0.94.1 2009.02.09 -
Comodo 972 2009.02.09 -
DrWeb 4.44.0.09170 2009.02.10 -
eSafe 7.0.17.0 2009.02.09 Suspicious File
eTrust-Vet 31.6.6347 2009.02.09 -
F-Prot 4.4.4.56 2009.02.09 -
F-Secure 8.0.14470.0 2009.02.10 -
Fortinet 3.117.0.0 2009.02.09 -
GData 19 2009.02.10 Win32:PureMorph 
Ikarus T3.1.1.45.0 2009.02.10 Virus.Win32.PureMorph
K7AntiVirus 7.10.624 2009.02.09 -
Kaspersky 7.0.0.125 2009.02.10 -
McAfee 5520 2009.02.08 -
McAfee+Artemis 5521 2009.02.09 Generic!Artemis
Microsoft 1.4306 2009.02.09 -
NOD32 3840 2009.02.10 probably a variant of Win32/Genetik
Norman 6.00.02 2009.02.09 -
nProtect 2009.1.8.0 2009.02.09 -
Panda 9.5.1.2 2009.02.09 -
PCTools 4.4.2.0 2009.02.09 -
Prevx1 V2 2009.02.10 Malicious Software
Rising 21.15.50.00 2009.02.07 -
SecureWeb-Gateway 6.7.6 2009.02.09 -
Sophos 4.38.0 2009.02.10 Sus/Dropper-A
Sunbelt 3.2.1847.2 2009.02.07 -
Symantec 10 2009.02.10 Suspicious.MH690.A
TheHacker 6.3.1.5.250 2009.02.09 -
TrendMicro 8.700.0.1004 2009.02.09 PAK_Generic.001
VBA32 3.12.8.12 2009.02.08 -
ViRobot 2009.2.9.1596 2009.02.09 Trojan.Win32.Crypt.15872.B
VirusBuster 4.5.11.0 2009.02.09 -

* 2009년 2월 11일 00시 진단 결과 --------------------------------------------------------

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.0.0.93 2009.02.10 Virus.Win32.PureMorph!IK
AhnLab-V3 5.0.0.2 2009.02.10 Win32/Aimbot.worm.15872
AntiVir 7.9.0.76 2009.02.10 -
Authentium 5.1.0.4 2009.02.10 -
Avast 4.8.1335.0 2009.02.09 Win32:PureMorph
AVG 8.0.0.229 2009.02.10 Generic12.BMBL
BitDefender 7.2 2009.02.10 -
CAT-QuickHeal 10.00 2009.02.10 -
ClamAV 0.94.1 2009.02.10 -
Comodo 973 2009.02.10 -
DrWeb 4.44.0.09170 2009.02.10 -
eSafe 7.0.17.0 2009.02.09 Suspicious File
eTrust-Vet 31.6.6348 2009.02.10 -
F-Prot 4.4.4.56 2009.02.10 -
F-Secure 8.0.14470.0 2009.02.10 Trojan.Win32.Inject.oqw
Fortinet 3.117.0.0 2009.02.10 -
GData 19 2009.02.10 Win32:PureMorph 
Ikarus T3.1.1.45.0 2009.02.10 Virus.Win32.PureMorph
K7AntiVirus 7.10.626 2009.02.10 -
Kaspersky 7.0.0.125 2009.02.10 Trojan.Win32.Inject.oqw
McAfee 5521 2009.02.10 -
McAfee+Artemis 5521 2009.02.09 Generic!Artemis
Microsoft 1.4306 2009.02.10 -
NOD32 3842 2009.02.10 probably a variant of Win32/Genetik
Norman 6.00.02 2009.02.09 -
nProtect 2009.1.8.0 2009.02.10 Trojan/W32.Agent.15872.AY
Panda 10.0.0.10 2009.02.09 Generic Malware
PCTools 4.4.2.0 2009.02.10 -
Prevx1 V2 2009.02.10 Malicious Software
Rising 21.16.12.00 2009.02.10 -
SecureWeb-Gateway 6.7.6 2009.02.10 -
Sophos 4.38.0 2009.02.10 Sus/Dropper-A
Sunbelt 3.2.1847.2 2009.02.07 -
Symantec 10 2009.02.10 Suspicious.MH690.A
TheHacker 6.3.1.5.250 2009.02.09 -
TrendMicro 8.700.0.1004 2009.02.10 PAK_Generic.001
VBA32 3.12.8.12 2009.02.10 -
ViRobot 2009.2.10.1599 2009.02.10 Trojan.Win32.Crypt.15872.B
VirusBuster 4.5.11.0 2009.02.09 -


* 2009년 2월 12일 오전 10시 테스트 결과 ------------------------------------------

악성코드가 등장한지 4일이 되었지만 여전히 절반 정도(55.27%)만 진단된다.

안티바이러스 엔진 버전 정의 날짜 검사 결과

a-squared 4.0.0.93 2009.02.12 Virus.Win32.PureMorph!IK
AhnLab-V3 5.0.0.2 2009.02.11 Win32/Aimbot.worm.15872
AntiVir 7.9.0.76 2009.02.11 TR/Inject.oqw
Authentium 5.1.0.4 2009.02.12 -
Avast 4.8.1335.0 2009.02.11 Win32:PureMorph
AVG 8.0.0.229 2009.02.11 Generic12.BMBL
BitDefender 7.2 2009.02.12 -
CAT-QuickHeal 10.00 2009.02.11 -
ClamAV 0.94.1 2009.02.12 -
Comodo 974 2009.02.11 -
DrWeb 4.44.0.09170 2009.02.12 -
eSafe 7.0.17.0 2009.02.11 Suspicious File
eTrust-Vet 31.6.6350 2009.02.11 -
F-Prot 4.4.4.56 2009.02.11 -
Fortinet 3.117.0.0 2009.02.12 -
GData 19 2009.02.12 Win32:PureMorph 
Ikarus T3.1.1.45.0 2009.02.12 Virus.Win32.PureMorph
K7AntiVirus 7.10.627 2009.02.11 -
Kaspersky 7.0.0.125 2009.02.12 Trojan.Win32.Inject.oqw
McAfee 5523 2009.02.11 Generic.dx
McAfee+Artemis 5523 2009.02.11 Generic.dx
Microsoft 1.4306 2009.02.11 -
NOD32 3846 2009.02.11 probably a variant of Win32/Genetik
Norman 6.00.02 2009.02.11 W32/Malware.FPKK
nProtect 2009.1.8.0 2009.02.11 Trojan/W32.Agent.15872.AY
Panda 10.0.0.10 2009.02.11 Generic Malware
PCTools 4.4.2.0 2009.02.11 -
Prevx1 V2 2009.02.12 Malicious Software
Rising 21.16.22.00 2009.02.11 -
SecureWeb-Gateway 6.7.6 2009.02.11 Trojan.Inject.oqw
Sophos 4.38.0 2009.02.11 Troj/Agent-IWJ
Sunbelt 3.2.1851.2 2009.02.11 -
Symantec 10 2009.02.12 W32.IRCBot
TheHacker 6.3.1.85.252 2009.02.11 -
TrendMicro 8.700.0.1004 2009.02.11 TROJ_AGENT.ASF
VBA32 3.12.8.12 2009.02.11 -
ViRobot 2009.2.11.1600 2009.02.11 Trojan.Win32.Crypt.15872.B
VirusBuster 4.5.11.0 2009.02.11 -


* 2009년 2월 12일 오후 5시 30분 테스트 결과 ------------------------------------------

마이크로소프트가 새롭게 추가되었네요.

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.0.0.93 2009.02.12 Virus.Win32.PureMorph!IK
AhnLab-V3 5.0.0.2 2009.02.12 Win32/Aimbot.worm.15872
AntiVir 7.9.0.76 2009.02.11 TR/Inject.oqw
Authentium 5.1.0.4 2009.02.12 -
Avast 4.8.1335.0 2009.02.11 Win32:PureMorph
AVG 8.0.0.229 2009.02.11 Generic12.BMBL
BitDefender 7.2 2009.02.12 -
CAT-QuickHeal 10.00 2009.02.11 -
ClamAV 0.94.1 2009.02.12 -
Comodo 974 2009.02.11 -
DrWeb 4.44.0.09170 2009.02.12 -
eSafe 7.0.17.0 2009.02.11 Suspicious File
eTrust-Vet 31.6.6352 2009.02.12 Win32/Tnega.Q
F-Prot 4.4.4.56 2009.02.11 -
F-Secure 8.0.14470.0 2009.02.12 Trojan.Win32.Inject.oqw
Fortinet 3.117.0.0 2009.02.12 -
GData 19 2009.02.12 Win32:PureMorph 
Ikarus T3.1.1.45.0 2009.02.12 Virus.Win32.PureMorph
K7AntiVirus 7.10.627 2009.02.11 -
Kaspersky 7.0.0.125 2009.02.12 Trojan.Win32.Inject.oqw
McAfee 5523 2009.02.11 Generic.dx
McAfee+Artemis 5523 2009.02.11 Generic.dx
Microsoft 1.4306 2009.02.12 Backdoor:Win32/IRCbot
NOD32 3847 2009.02.12 probably a variant of Win32/Genetik
Norman 6.00.02 2009.02.11 W32/Malware.FPKK
nProtect 2009.1.8.0 2009.02.12 Trojan/W32.Agent.15872.AY
Panda 10.0.0.10 2009.02.11 Generic Malware
PCTools 4.4.2.0 2009.02.11 -
Prevx1 V2 2009.02.12 Malicious Software
Rising 21.16.31.00 2009.02.12 -
SecureWeb-Gateway 6.7.6 2009.02.12 Trojan.Inject.oqw
Sophos 4.38.0 2009.02.12 Troj/Agent-IWJ
Sunbelt 3.2.1851.2 2009.02.12 -
Symantec 10 2009.02.12 W32.IRCBot
TheHacker 6.3.1.9.254 2009.02.12 -
TrendMicro 8.700.0.1004 2009.02.12 TROJ_AGENT.ASF
VBA32 3.12.8.12 2009.02.11 -
ViRobot 2009.2.12.1602 2009.02.12 Trojan.Win32.Crypt.15872.B
VirusBuster 4.5.11.0 2009.02.11 -



-------------

실행되면 같이 설치되는 드라이버 파일

- 파일길이 : 4,096 바이트
- MD5 : f82abd63e90429ae68cee70e40a51c60
- V3 진단명 : Win-Trojan/Agent.4096.EI

http://www.virustotal.com/analisis/693c5830e489e623a816e2fbaffe7d92

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.0.0.93 2009.02.10 -
AhnLab-V3 5.0.0.2 2009.02.10 Win-Trojan/Agent.4096.EI
AntiVir 7.9.0.76 2009.02.09 TR/Rootkit.Gen
Authentium 5.1.0.4 2009.02.10 -
Avast 4.8.1335.0 2009.02.09 -
AVG 8.0.0.229 2009.02.09 -
BitDefender 7.2 2009.02.10 -
CAT-QuickHeal 10.00 2009.02.09 -
ClamAV 0.94.1 2009.02.09 -
Comodo 972 2009.02.09 -
DrWeb 4.44.0.09170 2009.02.10 -
eSafe 7.0.17.0 2009.02.09 -
eTrust-Vet 31.6.6347 2009.02.09 -
F-Prot 4.4.4.56 2009.02.09 -
F-Secure 8.0.14470.0 2009.02.10 -
Fortinet 3.117.0.0 2009.02.09 -
GData 19 2009.02.10 -
Ikarus T3.1.1.45.0 2009.02.10 -
K7AntiVirus 7.10.624 2009.02.09 -
Kaspersky 7.0.0.125 2009.02.10 -
McAfee 5521 2009.02.10 -
McAfee+Artemis 5521 2009.02.09 -
Microsoft 1.4306 2009.02.09 -
NOD32 3840 2009.02.10 -
Norman 6.00.02 2009.02.09 -
nProtect 2009.1.8.0 2009.02.09 -
Panda 9.5.1.2 2009.02.09 -
PCTools 4.4.2.0 2009.02.09 -
Prevx1 V2 2009.02.10 -
Rising 21.15.50.00 2009.02.07 -
SecureWeb-Gateway 6.7.6 2009.02.09 Trojan.Rootkit.Gen
Sophos 4.38.0 2009.02.10 -
Sunbelt 3.2.1847.2 2009.02.07 -
Symantec 10 2009.02.10 -
TheHacker 6.3.1.5.250 2009.02.09 -
TrendMicro 8.700.0.1004 2009.02.09 -
VBA32 3.12.8.12 2009.02.08 -
ViRobot 2009.2.9.1596 2009.02.09 -
VirusBuster 4.5.11.0 2009.02.09 -

[기사]

초기 기사들은 인터넷에 떠도는 내용을 실어 조금(?) 과장된 부분이 존재한다.

- 악질 2090 바이러스에 인터넷이 떤다
http://www.fnnews.com/view?ra=Sent0901m_View&corp=fnnews&arcid=00000921564706&cDateYear=2009&cDateMonth=02&cDateDay=10

2월 11일부터는 과장된 내용보다 차분한(?) 기사들이 뜬다.

- 2090 바이러스, "부정확한 내용 확산 불안심리 조장" (보안뉴스, 2009년 2월 11일)
http://www.boannews.com/media/view.asp?idx=14315&kind=3

- 2090바이러스 피해 “생각보다 크지 않아” (전자신문, 2009년 2월 12일)
http://www.etnews.co.kr/news/detail.html?id=200902120026

728x90
반응형