쿨캣의 블로그 놀이

2009년 3월 18일 소프톤엔터테인먼트가 개발하고 CJ인터넷에서 채널링 서비스하는 온라인게임 ‘다크에덴’ 패치 파일에 바이럿 바이러스(Virut virus)가 감염되어 배포되었다. [관련기사] - 악성코드 포함 게임 업데이트 유포 (연합뉴스, 2009년 3월 20일) http://www.yonhapnews.co.kr/bulletin/2009/03/20/0200000000AKR20090320074500017.HTML?did=1179m - 온라인게임 업데이트중 악성코드 유포 (전자신문, 2009년 3월 20일) http://www.etnews.co.kr/news/detail.html?id=200903190237 게임 홈페이지와 채널링 서비스가 제공되는 CJ인터넷 홈페이지를 통해 무료 백신 내려 받기 및 치..

시만텍에서 배포한 PIFTS.EXE 에 대한 소동이 있었습니다. 어느 순간 방화벽에서 PIFTS.EXE를 허용할 것이냐는 창이 떴고 이에 사용자들이 혼란을 겪었습니다. 이 내용이 확대되어 시만텍에서 배포한 백도어다라는 얘기도 돌았습니다. 시만텍 포럼에서 관련 내용이 올라오자 글을 삭제하고 계정을 강퇴시켰다는 주장이 일었습니다. 이에 대해 시만텍은 PIFTS.EXE는 시만텍 제품에 대한 패치 진단 프로그램이라고 밝혔습니다. 하지만, 휴먼 에러에 의해 이 파일에 인증 싸인을 하지 않았고 이에 시만텍 제품으로 인식하지 않아 인터넷 사용할 때 방화벽에서 경고가 떠서 이런 소동이 발생했다고 밝혔습니다. 한편 악성코드 제작자들은 PIFTS.EXE 파일에 대한 검색이 올라가자 악성코드를 배포하는 기능을 가진 가짜 P..

최근 네이트온 메신저를 통해 전파되는 악성코드가 증가하고 있다. 2009년 3월 3일 발견된 악성코드는 안철수연구소 사이트가드로 안전한 사이트 인것 처럼 위장하고 있다. 네이트 온으로 http://blog.***zone.net/B****.bmp (이하생략) 으로 주소를 전송하고 사용자가 클릭하면 스크립트가 실행된다. 스크립트에는 안철수연구소 사이트가드 이미지를 보여주고 악성코드를 다운로드 한다. 안랩 사이트가드를 보여주는건 간단하다. 사용자에게 안전한 웹 페이지인것 처럼 속이는 것이다. 한편으로 사이트가드가 떴구나하는 생각도 들지만 이런 점을 파고드는 악성코드 제작자에게도 혀를 내두르게 된다. 또한 V3Lite 등을 무력화하는 기능이 포함되어 있어 일단 감염되면 치료하기 어렵다. 전용 백신을 다운로드 받..

- 파일이름 : is-61BTR.EXE - 파일길이 : 55,808 바이트 - MD5 : 16b9cad831ffb94dad8ac991f3bf1e4f 이노셋업을 이용해 패키지 설치시 설치되는 임시 파일입니다. ----------- 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.24 Backdoor.Win32.Hupigon!IK AhnLab-V3 2009.2.24.0 2009.02.24 - AntiVir 7.9.0.88 2009.02.24 BDS/Hupigon.aojt Authentium 5.1.0.4 2009.02.24 - Avast 4.8.1335.0 2009.02.24 Win32:Trojan-gen {Other} AVG 8.0.0.237 2009.02.24..

* 2090 바이러스로 본 정보전파의 명암 (안철수연구소, 2009년 2월 17일) http://kr.ahnlab.com/info/securityinfo/secuinfo/newSecuNewsView.ahn?category=001&mid_cate=003&cPage=1&seq=13859

2009년 2월 23일 새로운 바이러스에 대한 기사가 떴다. [관련기사] - 백화점식 다기능 바이러스 출몰 (파이낸셜뉴스) http://www.fnnews.com/view?ra=Sent0901m_View&corp=fnnews&arcid=00000921577213&cDateYear=2009&cDateMonth=02&cDateDay=23 2009년 2월 17일 - 2009년 2월 19일 사이에 발견된 새로운 바이럿 변형 들로 V3에서는 Win32/Virut.E, Win32/Virut.F 등으로 진단되는 샘플이다. 다른 이름은 다음과 같다. V3 진단명 Win32/Virut.F 의 다른 이름은 아래와 같다. W32/Virut.Gen, W32/Virut.AI!Generic, Win32:Vitro, Win32.V..

영국 소포스(Sophos)에서 악성코드 이름을 김치 바이러스로 했다. [관련 사이트] - 소포스 김치 바이러스 정보 http://www.sophos.com/security/analyses/viruses-and-spyware/w32kimchia.html http://www.sophos.com/security/analyses/viruses-and-spyware/w32kimchib.html 다양한 이름이 붙여지다보니 재미있는 이름이군했는데 관련 내용이 기사화되었다. [관련 뉴스] - 해외서 악성 PC바이러스에 '김치' 명명 (국민일보 쿠키뉴스, 2009년 2월 20일) http://www.kukinews.com/news2/article/view.asp?page=1&gCode=int&arcid=092119872..

네이트온 메신저를 통해 전파된 새로운 악성코드가 등장했다. - MD5 : 5b6e8792f733b4860be6320e1cfeac21 - 파일길이 : 331,776 바이트 - V3 진단명 : Win-Trojan/Fakecodecs.331776 (2009.02.16.01 이후 엔진에서 진단) 실행되면 중국 소녀로 추정되는 사진이 출력된다. 역시 국내 환경에 철저하게 맞춰진 악성코드이다. 0000636c : \Program Files\Virus Chaser 000063a8 : SYSTEM\CurrentControlSet\Services\MpsSvc 00006400 : SYSTEM\CurrentControlSet\Services\WinDefend 0000645c : SYSTEM\CurrentControlSet\..

2009년 2월 13일과 16일 Win32/AimBot.worm.15872 변형 (일명 2090 바이러스)이 발견되었다. - 파일 길이 : 15,872 bytes - 13일 발견 샘플 MD5 : 78cca634365997473577caa64fcb9aaa- 16일 발견 샘플 MD5 : d745556b05c3b68d27465cb4f1cf6d72 하지만, 아직 일반에 얼마나 퍼졌는지 버그는 수정되었는지 확인되지 않았다. 13일에 발견된 변형은 시스템 날짜를 2090년으로 변경하고 16일에 발견된 샘플은 시스템 날짜를 2070년으로 변경한다. 기존에 접속하는 서버 주소는 바뀌었다. 2090년으로 변경되는 새로운 변형이 등장되었으며 최신 윈도우 업데이트와 최신 백신에서 예방 가능하므로 새로운 변형에 대해서 크게 ..

시큐리티대응센터가 '17인치 대응센터'로 불리는 것보다는 양호하지만요. A/S E.C 도 재미있네요 ^^; - 출처 : 안철수연구소 ASEC 부서원에게 온 우편물 (허락없이 올렸지만 괜찮을 듯...)

허위 안티스파이웨어 중 제품으로 허위 진단을 하는게 아니라 가짜 진단 웹사이트로 유도해서 접속하면 사용자 컴퓨터에 악성코드가 감염되었다고 속이는 경우가 있다.

2009년 2월 초 카스퍼스키 연구소 미국 홈페이지가 해킹 당했다. - 카스퍼스키 해킹, "해커가 버그 고지 후 해킹 실행" (IDG, 2009년 2월 10일) http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=53558 이후 2월 9일 비트디펜더 포루투칼어에도 취약점이 존재한다고 보도된다. 참고로 해당 웹사이트는 비트디펜더에서 관리되는게 아닌 협력사에서 운영하는 사이트라고 한다. [기사] - Kaspersky web site reportedly leaky http://www.heise-online.co.uk/news/Kaspersky-web-site-reportedly-leaky--/112592 - BitDefender website als..

2009년 2월 9일 시스템 날짜를 2090년 1월 1일로 변경하는(변경되지 않을 수도 있음) 신종 악성코드가 발견되었다. - 파일명 : system.exe - 파일길이 : 15,872 바이트 - MD5 : 9420396e9264918f50155b577ceda82e - V3 진단명 : Win32/AimBot.worm.15872 ( 2009.02.09.03 엔진에서 Win-Trojan/Agent.15872.KM 로 진단) 사람들 사이에 2090 바이러스, 2090년 바이러스로 알려진 이 웜은 특징적인 증상으로 감염된 시스템에 따라 2090년 1월 1일로 시스템 날짜가 변경되고 로그인이 안 될 수 있다. (안전모드로 부팅이 안 될 수 있다.) - 안철수연구소 분석 자료 http://kr.ahnlab.com/..

독일에서 제작된 샘플로보이며 내부에 재미있는(?) 문자열이 존재한다. Hi AV Companies, this is the Schwarze Sonne Crypter made by Slayer616. Please make a special Detection for me :) 안녕 백신회사, 이건 Slayer616이 만든 Schwarze Sonne Crypter (쉬왈제 소네로 읽나 ?)야. 제발 특별 진단법을 만들어죠. 하지만, 특별하지 않으므로 그냥 기본 진단법으로 진단 ! 끝 [파일정보] - 파일길이 : 216,622 바이트 - MD5 : 884c06c1d6d71370337364f1e22e385c

- ‘위기에 빠진 알약’ 이스트소프트 공공시장 편법영업 논란' (디지털 데일리) http://www.ddaily.co.kr/news/news_view.php?uid=46462 기사 제목이 조금 자극적이었지만(?) 내용을보면 위기까지는 아니고 공공시장에서 편법 영업 의혹이 제기 되었다 정도이다. 개인적인 의견 언급은 여기까지..

애드웨어 제작자와 인터뷰한 내용 http://philosecurity.org/2009/01/12/interview-with-an-adware-author

IEInspector의 IEWebDeveloperV2 모듈 정상입니다. - File size: 125440 bytes - MD5...: 471ed11e1d30767ec4fa49b1d060ef22 - SHA1..: 4a341663e03d36203f65384111781e68fac4fbc8 - SHA256: 6508260b7c67df8801235787a27253a189739dead9f2ad1bd1b3941ccb50c43f - SHA512: 56e11fd469eff44e4cc2de3b6684fe669ba9bfcf7b59cdd17f37fbd1997d504b 222fec0da51b0fa13ce1cbb16036572b2f26240b60aadb162dbd12e23988aebe 안티바이러스 엔진 버전 정의 날짜 검사 결..