일본은 현재 자국 백신(안티 바이러스) 제품이 없다.
제이드(Jade)사가 맥아피(McAfee)에 인수되면서 맥이 끊어졌다.

- 회사명: 주식회사 포티포티 기술 연구소(Fourteenforty Research Institute, Inc) 줄여서 FFR
- 소재지: 도쿄도 신주쿠구 텐진쵸8 카구라자카 U빌딩
- 설립: 2007년 7월 3일
- 홈페이지 : http://www.fourteenforty.jp
- 사장 : 우카이 유지 (개발자 출신으로 보임)


FFR사는 악성코드를 연구회는 보안 업체이며 백신 전문 업체라기 보다는 보안 업체(70건 이상의 취약점 발견)이다. 기사를 보면 국산(일본) 제품임을 강조하는걸 봐서 자국 제품에 목말라(?)하지 않았나하는 생각을 해본다.

이번에 발표된 제품은 Yarai 2009이다.

제품을 리뷰해보려했지만 아직 트라이얼 버전을 제공하지 않아 실제 제품을 테스트해보지는 못했다.



1. Yarai 2009

1) 주요 특징

- 4개의 휴리스틱 엔진에 의한 다층 방어 

  ZDP엔진: 제로데이 공격 예방 (PDF에서 파일 다운로드 등)
  Static 분석 엔진: PE 해석, 린카 해석, 패커 해석
  Sandbox 엔진: 가상환경에서 실행
  HIPS 엔진: 실시간 모니터링 및 시스템 복원

- 한 달에 한번 정도 휴리스틱 엔진 업데이트

- 일본에서 많이 사용되는 프로그램에 대한 화이트리스트 제공

- 오진 발생시 신속한 업데이트 제공

- 다른 제품과 병행 사용 권장 (시만텍, 트렌드, 맥아피 제품과 연동 검증)


FFR사의 다른 제품 및 서비스

2. Winny Radar for Linux

Winny 네트워크에 대해 파일 발신자의 특정이나 파일의 확산 상황을 파악하는 프로그램으로 기업에서 Winny로 인한 주요 정보 유출로 인해 제작된 것으로 보임

3. Share Radar for Linux

Share 네트워크(역시 P2P 프로그램으로 보임)에 대한 정보 수집 프로그램


4. Prime Analysis

업체에서 요청하는 보안 이슈에 대한 포괄적 리서치 서비스

5. FFR Expert Seminar

리버스엔지니어링, 취약점 분석, 위협 분석 등 교육

6. Origma - Malware Collection System

웹사이트 접속을 통한 악성코드 다운로드로 악성코드를 수집하는 프로그램. 웹사이트를 체크해서 악성코드를 다운로드하는 프로그램으로 보임. 연구기관 및 보안 업체 전용 프로그램

-----------------------------

FFR은 전통적인 시그니처 기반의 백신 프로그램은 아니다. 하지만, 이런 행동기반 제품의 단점으로 나온 사용자가 판단해야하는 문제(절대 다수를 차지하는 초보자들은 사용자 판단이 들어가면 너무 어려움), 화이트리스트 제공(결국 이것도 또 다른 시그니처) 등의 문제를 가지고 있다. 결국 제작자도 밝힌바처럼 FFR은 기존 제품을 대체하는게 아닌 기존 제품과 병행해 사용하는 제품으로 보는게 바람직 하지 않을까 싶다. 하지만, 일본내에서 자체 보안제품 시도가 있다는 점은 눈여겨 볼 만하다. 기회가되면 이쪽 회사 관계자들과도 만나보고 싶다.






 

신고
Posted by mstoned7

댓글을 달아 주세요

  1. Juns 2009.05.26 10:43 신고  댓글주소  수정/삭제  댓글쓰기

    일본의 경우 도전적인 제품 개발 성향이 강한 것 같습니다. 몇 년전인가요? 이와 비슷한 새로운 개념에 제품이 나왔다고 하여, 살펴본 기억이 있는데요, 아직까지는 잠잠하네요.. 이번에 나온 제품은 어떨런지.. 궁금합니다.


악성코드 분석 혹은 리버스 엔지니어링의 처음은 헥사 에디터가 아닐까 싶다. 어느 정도 내공(?)이 쌓이면 간단한건 헥사 내용만으로 악성코드 유무를 판단할 수도 있다.

헥사 에디터는 다양한데 이중 도스 실행 파일인 HE(Hexa Editor)를 개인적으로 많이 사용한다. 이 프로그램을 사용하는 이유는 다음과 같다.

1. 특수 코드 표시 

대다수의 헥사 에디터는 특수 기호를 표시하지 않는다. (보통 . 으로 표시) 특수 기호가 표시될 경우 암호화 여부등을 쉽게 알 수 있어 특수 코드 표시가 필요하다.

2. 파일 비교

두개 파일 비교 기능이 편하다.

단점이라면 도스 프로그램으로 긴이름이 지원되지 않으며 0 바이트 길이를 가지는 등 일부 파일의 경우 에러가 발생한다.


HE

HE 실행 화면


여담이지만 이 프로그램 제작자는 같은 팀에서 근무하고 있는 모 선임연구원으로 친구와 대학생 시절에 작성한 프로그램인데 회사에 입사 후 이 프로그램이 아직까지(?) 사용하고 있어 놀랬다고 한다. 하지만, 현재 소스 코드는 잃어버려 더이상 업데이트 할 수 없다고 한다.  

* 파일 다운로드는 아래에서..


- HE.BAT : 한글 윈도우 도스창에서 HE.COM을 실행하면 글자가 깨진다. 이 경우 영문 모드로 전환(chcp 437)하고 HE.COM을 실행한다. HE.BAT는 PATH가 지정된 (예를들어 C:\Windows)에 복사하고 셸 프로그램에서 HE.BAT를 실행해서 편하게 사용하면 된다.

- HE.COM : 실행 파일

신고
Posted by mstoned7

댓글을 달아 주세요

  1. XeroNic(HS) 2009.05.22 17:45 신고  댓글주소  수정/삭제  댓글쓰기

    우와~~+_+ 추억의 24,878 바이트짜리 HE.COM 이군요ㅋ
    한번 써보고 그 막강한 기능(?)에 반했다가..
    Made in KOREA 라는 사실에 더 놀랐던 기억이 납니다..

    윈도우로 넘어오고 수많은 헥사 에디트가 나왔지만...
    개인적으로 Compare 기능은 HE 가 최고였다고 생각합니다.ㅋ

  2. CherryLove™ 2009.05.24 14:54 신고  댓글주소  수정/삭제  댓글쓰기

    HE.COM 파일, 애용하고 있는 툴이랍니다. ^^

  3. Juns 2009.05.25 16:12 신고  댓글주소  수정/삭제  댓글쓰기

    2006년 이후로는, 다른 프로그램으로 갈아타서 잘 쓰지 않았지만, 그 이전에는 hex 볼땐 거의 이 유틸을 사용했지요.., 추억이 새록새록.. 그립다.. dos시절이..

  4. 어머 2011.02.27 16:49 신고  댓글주소  수정/삭제  댓글쓰기

    헉... 이거 메이드 인 코리아 였나요? 예전에 되게 잘썼던 프로그램인데... 어쨌든 감사합니다!

  5. gjcks 2012.11.19 23:51 신고  댓글주소  수정/삭제  댓글쓰기

    안녕하세요. 이 프로그램 만드신 분 두 분 성함이라도 알 수 있을까요? 그냥 초보 프로그래머로서 알아두고 싶어서요. 그분께 한 번 전해주시면 감사하겠습니다. 그냥 만든분 성함 정도만 알면 좋을것 같습니다. gjcks.huh@gmail.com


일본에서 제노 바이러스(Geno virus) 출몰했다는 소문이 돌았다.
하지만, 이는 사용자나 언론에서 부르는 이름으로 보안업체에서는 다른 진단명을 사용한다.
일본판 2090 바이러스으로 볼 수 있다.

2009년 5월 18일 경 일본내 다수의 사이트가 해킹 당했고 PDF, SWF 등의 취약점을 이용해 방문하는 사용자에게 악성코드를 설치하도록 한다. 다운로드되는 파일은 중국에서 다운로드 받는다. 하지만, 이런 공격은 4월부터 증가했다고 한다.

이번일도 2090 바이러스처럼 치료 방법이 없다는 등의 내용이 떠돌고 있지만 당연히(!) 확인되지 않은 내용이다. 새로운 변형이 꾸준히 배포되고 있어 발생한 오해로 보인다. (근본적으로는 사용자가 보안 업데이트를 해야함)


현재 이 공격은 일본에서만 발생하는게 아니라 다른나라(영국, 루마니아 등)에서도 보고되고 있다.

- Gumblar web attacks spreading quickly
http://www.gss.co.uk/news/article/6292/%27Gumblar%27_web_attacks_spreading_quickly/

파일을 다운로드 받는 주소는 gumblar.cn과 martuz.cn 이다.
혹시라도 방화벽 로그 등에서 이들 사이트에서 파일을 다운로드 받는다면 공격이 발생한 것일 수 있다.

* 현재까지 다운로드되는 실행 파일에 대한 V3 진단명

Win-Trojan/Rustock.117214
Win-Trojan/Daonol.37376
Win-Trojan/Daonol.17408
Dropper/Agent.15872.BD
Dropper/Agent.15872.BE
Dropper/Agent.15872.BC




[참고자료]

- martuz.cn injection attack
http://www.dynamoo.com/blog/2009/05/martuzcn-injection-attack.html

- GENO바이러스 + 추가
http://blog.naver.com/fuyuno?Redirect=Log&logNo=90047453282


- JP CERT Malicious JavaScript injection attacks are on the rise
http://www.jpcert.or.jp/at/2009/at090010.txt

신고
Posted by mstoned7

댓글을 달아 주세요

  1. 물여우 2009.05.20 22:15 신고  댓글주소  수정/삭제  댓글쓰기

    진단 현황이 작년으로 되어 있습니다. >_<

    일본의 특정 서비스를 타켓으로 하는 악성코드인지 국내에서는 유포되지 않나 봅니다?

    • mstoned7 2009.05.20 23:27 신고  댓글주소  수정/삭제

      수정했습니다. 아직 2008년이고 싶었나봅니다 ㅎ

      일본을 목표로 배포되었고 일본쪽에서 문의가 들어와 확인한 겁니다.

  2. L2 2009.05.20 22:53 신고  댓글주소  수정/삭제  댓글쓰기

    통상적으로는 JSRedir-R이라고 불리기도 합니다.

    일본의 컴퓨터 중고 판매 사이트인 GENO에서 처음 바이러스가 발견되어서 일본쪽에서는 GENO 바이러스라고 불립니다. 해당 사이트에서 대처를 제대로 못 해서, 더 퍼져나갔기 때문에 그렇게 불리는 것입니다.

    • mstoned7 2009.05.20 23:29 신고  댓글주소  수정/삭제

      Geno에 그런 의미가 있었군요. 왜 Geno 인가 했었는데 좋은 정보 감사합니다.

      JSRedir-R은 취약점 이용하는 악성 스크립트의 대표명이고 공격 방식이 그때그때 바뀌어서 일부러 뺐습니다. 최종 목표는 중국 사이트에서 다운로드 받는 EXE 파일이더군요.

    • viruslab 2009.05.21 10:45 신고  댓글주소  수정/삭제

      실제 처음 발견된 곳은 GENO 사이트는 아닙니다. 일본의 많은 사이트가 이 공격을 4월 초부터 받아왔으니깐요.

  3. viruslab 2009.05.21 09:52 신고  댓글주소  수정/삭제  댓글쓰기

    http://gdata.co.jp/press/archives/2009/05/geno.htm