티스토리 툴바


나이지리아 스캠으로 유명한 사기 메일이 있죠.
FBI 이름으로 메일이 한통 왔는데 바로 사기 메일이라는 느낌이 팍팍 듭니다.

 


파일이 첨부되어 있어 악성코드가 아닐까 기대(?)를 했는데...
그냥 텍스트 파일이라서 열어 봅니다.

실제 FBI 사이트를 포함하고 있어 뭔가 있어 보이게 합니다.

 


INHERITANCE : 상속....

역시 사기 메일이네요.


Posted by M-Stoned7

트랙백 주소 : http://xcoolcat7.tistory.com/trackback/801 관련글 쓰기

  1. Subject : 메일 받는 사람 국가 정보까지 포함된 사기 메일

    Tracked from 쿨캣의 블로그 놀이 2013/03/26 10:08  삭제

    사기메일이 계속 진행되고 있습니다. 많은 사람들에게는 영어니 그냥 삭제해 버릴 수 있겠죠. 저도 삭제하려다가 이전 메일하고 좀 다른 점이 있어서 글 남깁니다. 이번에는 메일 받는 사람의..

댓글을 달아 주세요

  1. 하~ 2011/10/06 10:58  댓글주소  수정/삭제  댓글쓰기

    신사옥 좋지요? 부럽네요 ㅎ


'당신이 사용하는 백신프로그램은?' 투표가 올라왔네요.

http://www.panelnow.co.kr/vote/result/360

결과가 궁금해서 한번 확인해 보니 평소 알고 있는 바와 비슷했습니다.


V3와 알약(둘다 무료 버전이겠죠)이 대부분을 차지하고 다음 네이버백신입니다.
그리고, MSE, 시만텍, Avast!, 카스퍼스키랩, AVG 등이네요.
시만텍과 카스퍼스키랩을 제외하고는 모두 무료이네요.
역시 개인은 무료 버전이 대세라 아닐까 싶네요.

기타가 623건인데 아무래도 개인 무료 제품인 Avira가 포함되어 있을 듯 합니다.



Posted by M-Stoned7

트랙백 주소 : http://xcoolcat7.tistory.com/trackback/800 관련글 쓰기

댓글을 달아 주세요

Virus Bulletin Conference, AVAR 등과 해킹방지워크숍이 다가온다는건 올해도 슬슬 끝나가는 얘기겠죠.

11월 16일과 17일에 있을 해킹방지워크숍 발표주제를 공모한다고 합니다.



자세한 내용은 concert 를 참고하시면 됩니다.

http://www.concert.or.kr/

DDoS 나 APT 관련 내용으로 신청해 볼까합니다

'악성코드 > Conference' 카테고리의 다른 글

제15회 해킹방지워크샵  (0) 2011/11/01
안랩코더 2011 - 시큐리티웨이브  (0) 2011/10/12
15회 해킹방지워크숍  (0) 2011/09/24
7월 2일(토) 코드엔진 2011 개최  (8) 2011/06/15
제8회 인터넷 & 정보보호 세미나  (3) 2010/08/24
블랙햇과 데프콘  (3) 2010/07/30
Posted by M-Stoned7

트랙백 주소 : http://xcoolcat7.tistory.com/trackback/799 관련글 쓰기

댓글을 달아 주세요


추석 연휴 때 Award 롬바이오스에 감염되는 악성코드가 등장해서 놀라게(예상은 했지만) 했습니다.
http://www.symantec.com/connect/blogs/bios-threat-showing-again

추석 연휴 국내에도 새로운 마스터부트레코드(MBR)을 감염시키는 악성코드가 등장했습니다.

- MBR (Master Boot Record) 을 감염시키는 온라인 게임핵 악성코드 발견 (안철수연구소 대응팀 블로그, 2011년 9월 16일)
http://core.ahnlab.com/326

퇴근 시간에 해당 악성코드를 들어서 자세히 보지는 못했습니다.
(다른 분들이 이미 보셨다는...)

* 감염 확인

악성코드에 감염되면 마스터부트레코드가 변조되고 다음 파일이 생성됩니다.

- 윈도우폴더(보통 C:\Windows)\lpk.dll (다운로더 혹은 백도어 ?, 19,456 바이트)
- 윈도우 시스템 폴더 (보통 C:\Windows\System32)\halc.dll (lpk.dll과 동일)
- 윈도우 시스템 폴더 (보통 C:\Windows\System32)\Disksystem.exe (드롭퍼, 41,984 바이트)
- 윈도우 드라이버 폴더 (보통 C:\Windows\System32\drivers)\FileEngine.sys (드라이버, 14,592 바이트)

다운로드 기능이 있어 다른 파일이 추가로 생성될 수 있습니다.

간단한 확인방법은 시스템 폴더에 Disksystem.exe 존재하고 접근 할 수 없는 겁니다.


루트킷 탐지 프로그램인 GMER로도 확인 가능합니다.

GMER를 통해 검사

GMER를 통한 검사 결과. Disk 항목에서 의심스러움 발견



* 감염 증상

감염된 마스터부트레코드 내용입니다. 감염된 시스템으로 부팅해도 감염된 마스터부트레코드를 볼 수 있어 은폐기법은 사용하지 않는 걸로 보입니다.


다음 문자열에서 국내 유명 백신 프로그램 방해 기능이 존재하겠죠 ? 누군가 국내 사용자를 대상으로 제작했음을 알 수 있습니다.



하드디스크 빈 공간에 악성코드 코드 영역도 쓰여져 있는데 조금 묘한 느낌나네요.


0x9C로 XOR 연산해보면 원래 마스터부트 레코드 임을 알 수 있습니다.


복구 코드를 통해서도 알 수 있습니다.
(0x37 섹터를 읽어 0x9C 로 XOR 연산 후 재부팅합니다.)



* 수동복구

해당 악성코드를 수동조치 하기 위해서는 다른 매체로 부팅해서 정상 마스터부트 레코드의 암호를 풀어서 덮어써주면 됩니다. 하지만, 이 과정을 일반인이 하는건 거의 불가능합니다.

다음 방식으로 수동복구 가능합니다.

1. 윈도우 설치 CD로 복구

http://core.ahnlab.com/326


2. GMER 이용 후 FDISK /MBR

GMER를 실행하면 디스크에서 악성코드와 시스템이 후킹되었음을 알 수 있습니다.

후킹된 항목에 마우스 마우스 버튼을 누르면 복구 할 수 있습니다. 복구 후 악성코드가 생성한 파일을 삭제 할 수 있습니다.




윈도우 98 부팅 디스크가 있다면 FDISK /MBR로도 쉽게 제거 가능합니다.
하지만, 너무 옛날 프로그램이라 최근 마이크로소프트에서 제공하는 마스터부트레코드 재구성 프로그램 이용을 권장합니다. (프로그램 이름이 갑자기 기억 안나네요.)


 


안철수연구소에서는 현재 치료 백신을 제작 중입니다.

안철수연구소에서 전용 백신을 공개했습니다.
http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=106

* 향후 전망

부트킷(Bootkit)이라고 불리는 악성코드가 증가할 것으로 예상되었는데 이렇게 빨리 국내를 목표로 뿌려질지는 몰랐네요. 그리고, 아직 변조된 마스터부트레코드나 생성 파일을 숨기지 않지만 기능이 추가되면 사용자가 찾기 더욱 어려워 집니다.

백신 업체에서도 신입 직원들은 파일 형태의 악성코드만 분석해봤지 이런 형태는 본적이 없을테니 다시 10여년 전 처럼 부트 바이러스에 대한 교육을 해야 할지도 모르겠네요.

앞으로가 걱정입니다.


Posted by M-Stoned7

트랙백 주소 : http://xcoolcat7.tistory.com/trackback/798 관련글 쓰기

  1. Subject : [발표자료] 코드엔진 2011 : virse program messge Dos to Win

    Tracked from 쿨캣의 블로그 놀이 2011/09/17 01:07  삭제

    2011년 7월 2일(토) 코드엔진 2011에서 발표했습니다. http://www.codeengn.com/ 발표 자료 제목은 virse program messge Dos to Win 입니다. (virse와 messge가 오타입니다만 LBC 바이러스 메시지의 오타라 그대로 가져왔습니다.) 많은 분들 만나서 반가웠습니다. 리버스엔지니어링 및 보안을 위한 많은 자리가 있었으면 합니다. virse program messge Dos to Win_2011070..

댓글을 달아 주세요

  1. 2011/09/17 01:11  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • 쿨캣 2011/09/17 01:12  댓글주소  수정/삭제

      죄송합니다. 회사 정책상 샘플을 제공해 드릴 수는 없습니다. 하지만, 조만간 보안업체들 사이에 샘플이 알려질테니 구할 수 있는 길도 넓혀 질 것으로 예상됩니다 ^^

      lpk.dll이 핵심 기능을 하는데 온라인게임 정보 탈취 기능은 없는 듯 하더군요. 다운로더 기능이 존재해서 받아오는 파일이 어떤건지 확인해 봐야 할 듯 합니다.

    • 2011/09/17 01:15  댓글주소  수정/삭제

      비밀댓글입니다

  2. 쿨캣 2011/09/17 12:20  댓글주소  수정/삭제  댓글쓰기

    바이토털 진단 현황입니다.

    http://www.virustotal.com/file-scan/report.html?id=247b45b12e0f5921dd08c2a1a8eb837dcd74c0bb9843e1d2c29621d2534bb988-1316037607

  3. 금정산 2012/09/10 15:54  댓글주소  수정/삭제  댓글쓰기

    쿨캣님
    이틀전에 인터넷 속도가 갑자기 느려지는바람에 뭔가 의심스러워서 어베스트 검사를 해봤는데요
    mbr:bootkor-b이 나와서 카스퍼스키 전용 백신으로 지웠습니다.

    재부팅 뒤에 다시 그 전용백신 검사하니깐 검사는 안되는데요
    다시 어베스트 전체검사를 하니까 다시 발견되는것 같습니다

    다른 방법들은 어려울것 같고
    쿨캣님이 언급하신 Gmer 을 이용해서 지워보려하는데요
    어떤걸 건드려야 할까요?

    • 쿨캣 2012/09/15 00:54  댓글주소  수정/삭제

      MBR 감염시킨 후 GMER 실행 해 본적이 없어서 잘 모르겠네요. 한번 확인해보고 알려드리겠습니다. 죄송합니다.

회사에서 안 의장님이 서울 시장 보궐 선거에 나올 수 있다는 기사에 많이 놀랐습니다.
예전부터 정치권에서 러브콜이 있었지만 그때마다 일, 학업 핑계로 해외에 간 경우도 있었으니까요.

주변에서 "그 분 정말로 그래 ?"라고 했을 때 "평소 모습도 언론에 나온 그대로야. 그게 연기라면 정말 오랫동안 연기하시는 거겠지."라고 답을 했죠.

다행히 출마 고려도 고민하는 정도였는데 주변 사람들이 터뜨린거였죠.

MBC 시사매거진 2580을 보기 전까지는 걱정을 많이 했지만
'현재 집권세력 확장 반대' 그리고 '더 좋은 사람이 있으면 그 사람이 나가는게 좋을 수 있다'는 인터뷰를 보고 역시 내가 알던 사람이 맞구나 생각했죠.

정치적 성향은 합리적 보수가 맞겠죠.
- 현집권 세력 반대면 좌파라는 시각에는 정말 할말이 없더군요.

얼마전 극우파 신문에서 공격 당했을 때 안랩 스쿨 때 조금은 억울했던지(?) 한 말씀하셨죠.
- 회사 사람들과는 농담으로 뒤끝 있다고 했습니다만...
그리고, 안랩 사장님 시절에도 가끔 정치인에 대한 얘기를 했습니다.
그때 느낀건 다행히 극우는 아니겠구나 생각했죠.

그리고, 9월 6일 예상대로 박원순 변호사에게 양보했습니다.



지금까지는 제가 아는 안의장님의 모습 그대로입니다.
제가 지켜본 안의장님 성향은 꼭 본인이 하겠다 하지 않습니다.

컴퓨터 바이러스 백신 개발도 본인 외에 다른 사람이 하겠다면 언제든지 넘기려고 했었습니다. 하겠다는 사람들이 나타났을 때 소스코드도 넘긴 걸로 알고 있구요. 하지만, 그 사람들이 어떤 이유에서 인지 실망스럽게 행동했었구요. 또, 안철수바이러스연구소를 처음 만들 때도 다른 사람에게 경영을 맡기려고 했지만 아무도 하겠다는 사람이 없어 본인이 하고 좀 더 잘하기 위해 경영 공부를 위해 미국으로 간거구요.
- 그걸 두고 또 몇몇 언론은 비판하더군요.

일부에는 종잡을 수 없다고 했지만 지금까지 안의장님의 삶을 본 사람이라면 충분히 예상 할 수 있었죠.

- 친박 “안철수, 종잡을 수 없는 사람” (동아일부 2011년 9월 6일)
http://news.donga.com/3/all/20110906/40125078/1

마지막으로 출마설에 주가는 계속 올랐는데 개인적으로 걱정했습니다.
만약 나와서 당선되면 안의장님 성격상 특혜 시비로 분명 서울시에 안랩 제품 채택은 물 건너 갈꺼라 생각했죠.

아직은 제가 아는 안의장님 모습 그대로이고 앞으로도 변하지 않으셨으면 합니다
.
ps.

저도 그렇고 다른 회사 사람들도 궁금해 하는 사항인데...
저만 그런 줄 알았는데 다른 분들도 안의장님이 회사 화장실에서 큰 일보는걸 목격한 사람이 없더군요.
미스테리 입니다 ㅋ






Posted by M-Stoned7

트랙백 주소 : http://xcoolcat7.tistory.com/trackback/797 관련글 쓰기

댓글을 달아 주세요

  1. 하~ 2011/09/08 11:11  댓글주소  수정/삭제  댓글쓰기

    저도 속으로 약간 생각했었는데...
    안철수 박사님 서울시장 되시면...
    안랩 제품 서울시에는 납품 안 받으실 것 같다는 생각을...

  2. 철이 2011/09/22 22:36  댓글주소  수정/삭제  댓글쓰기

    하..마지막 재밌네요
    화장실에서 큰 일보는걸 목격한 자가 없다니..ㅎ;
    예전에 빅뱅 대성이 다른 멤버들과는 절대 화장실 같이 안간다고 했는데 프라이버시가 중요하다고 해서..ㅎ; 그런이유일지도 모르겠네요 ㅋ

  3. 하~ 2011/09/23 17:47  댓글주소  수정/삭제  댓글쓰기

    뭐 상하좌우를 가르려는 것은 아니지만...
    ...
    윗 분들 일수록...
    시간적 여유도 많고...상사적 측면이나 이미지상...속 관리도 잘 하실 것 같구요...
    ...
    내향성일수록...(제가 좀 내향적이라)
    낯가림이 조금더 있고...방구 틈? 같은 거...잘 못 하잖아요...^^...


원래 특정 여자 가수보려고(....쿨럭) 정식으로 구매해 다운로드 받은 엠카운트다운 2011년 9월 1일자 동영상 파일을 보니 인피니트(Infinite) 내꺼하자가 1등 했네요. 사실 요즘처럼 빨리 노래 바뀌는 가요계에서는 내꺼하자는 나온지 조금 되었다고 할 수 있겠죠.

데뷔한지 1년 되었지만 많은 사람들이 인피니트를 인피니티(차 이름)와 헷갈려 하기도 하고 실력에 비해 저평가된 그룹이라는 얘기가 많습니다. (기사에서도 봤는데 찾을 수 없네요. 저도 동의하는 편입니다.)

물론 이건 내꺼하자 이전입니다.
저도 MP3 플레이어에 내꺼하자 이전 인피니트 노래가 없네요.

내꺼하자.
개인적으로도 참 좋아하는 노래이죠.
그리고, 인기 비결은 뭐랄까...

일단 춤과 노래인데...
저도 춤을 배우고 있지만 저렇게 어려운(!) 춤을 전 멤버가 일치해서 춘다는건 보통 연습과 재능이 아니라고 생각됩니다. 특히 라이브(어느 정도 녹음된게 깔리지만)도 어느 정도되면서 저 정도 난이도의 춤추는거 정말 대단한 겁니다. 결정적으로 이번에는 노래도 좋았구요.

또 다른 면은 생긴건 다소 무섭지만(저만 그렇게 느꼈을까요 ?!) 1위 했을 때 인간적인(?) 모습입니다.

이때까지는 잘 웃고 있죠.
- 예전에도 3위안에 들었으니 여유로움 ?!


한 멤버가 울기 시작하니...
- 이름은 모릅니다. 저는 남자 이름까지 외울 정도로 남자 그룹을 좋아하지는 않습니다 ㅋ


멤버 대부분이 울기 시작하는군요.






어느 사이트에서 향후 한류를 끌어갈 유망 그룹 중에 하나로 얘기되더군요.

앞으로 어떻게될지 궁금하네요.




'문화 > 음악 감상' 카테고리의 다른 글

음악 CD #05 (1998년 4월 1일)  (0) 2013/03/07
1등 할만한 인피니트  (3) 2011/09/04
1998년 2월쯤에 구운 MP3 콜렉션 #03  (20) 2009/01/01
현영 - 연애혁명  (0) 2007/06/09
라이머의 첫번째 앨범 [Brand New Rhymer]  (0) 2007/04/26
Epik High - Love Love Love  (0) 2007/03/27
Posted by M-Stoned7

트랙백 주소 : http://xcoolcat7.tistory.com/trackback/796 관련글 쓰기

댓글을 달아 주세요

  1. 2011/09/05 16:47  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. 2011/09/07 11:12  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다