쿨캣의 블로그 놀이

인터넷을 검사해보면 2008년 6월 30일부터 네이트온 쪽지로 다음과 같은 유형의 쪽지가 보내졌다. 안철수연구소는 2008년 7월 2일부터 조금씩 문의가 오기 시작했지만 정확한 샘플이 들어오지는 않았고 7월 4일 처음 샘플이 접수되었다. '당신에게 매우 흥미로운 내가 찍은 사진을 보냅니다. http:// '우리집에 애완견인데 이뻐요 ? http://' 사용자가 그림을 클릭하면 해킹된 웹 서버로 접속되며 실행 파일을 다운로드 한다. WinRAR SFX 파일로 4개 파일을 포함하고 있다. 26.exe (27,091 바이트) : 80.exe (82,432 바이트) error.jpg (11,656 바이트 ) : 강아지 사진 kiagen.exe (10,240 바이트) error.jpg 는 강아진 사진을 포함하고 ..

마이크로소프트(Microsoft)사에서 마이크로소프트 시큐리티 대응 센터(MSRC: Microsoft Security Response Center)를 오픈했다. http://www.microsoft.com/security/msrc/default.mspx 루마니아 GeCAD 사의 제품과 엔진 인수 이후 Sybari 등의 업체를 인수하고 최근 안티 바이러스 업계의 주요 인물을 영입하고 있다. 동료가 마이크로소프트사의 바이러스 연구소와 그에 따른 24 시간 대응에 대해 조사를 했다. (모님께 감사를...) 현재 마이크로소프트사는 다음 지역에 악성코드 분석 및 대응 센터가 존재한다. - 미국 시애틀 - 미국 뉴욕 - 캐나다 밴쿠버 - 아일랜드 더블린 - 일본 도쿄 - 오트레일리아 멜버른 여기에는 지역별 커버도 ..

삼성 SDS에서 오픈한 anyframe 에서 델보이 바이러스(Win32/Dellboy virus)에 변조된 파일이 올려졌다. [기사] -삼성SDS사이트, 바이러스로 '헤프닝' http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2008061715233917600&outlink=1 이에 Anyframe 오픈소스 커뮤니티는 공지를 올렸다. http://www.anyframejava.org/node/435 처음 예상처럼 자료실에 업로드된 파일이 바이러스에 의해 변조된 파일이고 현재 동작하지 않으므로 문제 없다. 하지만, 일반인들이 웹사이트가 해킹되었거나 웹사이트 방문 만으로 바이러스에 감염되는게 아닌가 걱정할 수 있다. (실제 댓글 보면 그런 걱정이나 오해를 볼 수..

Adobe Flash 의 취약점을 이용한 악성코드가 배포되고 있다. 마이크로소프트 제품 업데이트는 많은 사용자들이 하지만 플래쉬까지 신경 쓰는 사람이 얼마나될까 ? 본인 역시 테스트 PC로 웹 서핑 중 V3에서 진단을 하는걸 보고 국내에도 변조된 플래쉬 파일이 새로운 공격 방법이 된걸 알 수 있었다. 하우리에서 이에 대한 경고를 냈다. - Adobe Flash Player 취약점 http://www.hauri.co.kr/aboutus/notice_view.html?menu=VzY=&news_uid=8347 사이트에서 다운로드 해도되며 이미 설치되어 있다면 직접 업데이트 해도된다. (업데이트 주기가 길어서 자동 업데이트 보다는 사용자 업데이트가 빠르다.) - Adobe Flash 업데이트 방법 1) 윈도우..

국정원도 업계라고 해야할까 ? http://whois.nis.go.kr/app/recruit/news/view?dataNo=63349&hcode=1347753293711611839603372&viewNo=1 국가정보원에서 사람을 뽑고 있는데 (2008.05.23 에 올라옴) 바이러스 분석이 존재한다. 바이러스분석 전산학 등 관련분야 학사학위이상 소지자로서 악성코드 및 보안취약점 분석 등 연구·근무경력 5년 이상자 그런데, 근무경력 5년 이상 .... 대한민국에 과연 몇명이나 될지.. 하지만, 결정적으로 다음 문제가 있다. 76.1.1 이후 출생자(남자는 병역필 또는 면제자) 1976년 이후 태어났으며 경력 5년 이상되는 사람이 몇명이나 있을까 ? o 원서접수 기간 : 2008.6.16(月) 10:00 -..

[기사] 미백악관 전산망 중국 해커에 '또 뚫렸다(!)' 는 제목으로 뉴스에 떴다. http://www.cbs.co.kr/Nocut/Show.asp?IDX=842332 하지만, 아쉽게도(?) 기자가 착각 한것으로 보인다. 이 사건은 이미 5월 22일 경에 발생한 사건으로 사이트 중단은 5월 30일 이뤄졌다. 하지만, 해킹된 사이트는 백악관이 아니라 백악관 패러디 사이트이다. 미국 백악관 사이트는 http://www.whitehouse.gov 로며 해킹된 사이트는 http://www.whitehouse.org 로 현재 백악관은 정상적으로 사이트가 뜬다.

http://www.zdnet.co.kr/news/network/security/0,39031117,39169379,00.htm ZDNet Korea에 난 기사 인데 2007년에 11월에 올린 '정품의 안정성' 이란 글을 참조해서 작성된 기사이다. (물론 기자분이 저자의 동의를 받은 내용이다.) 원본 출처 http://kr.ahnlab.com/info/securityinfo/virusNIFocusVirus_View.ahn?news_dist=02&site_dist=01&category=VNI003&mid_cate=001&sub_cate=&cPage=3&seq=11281&key=&related= 참고로 해당 내용도 Virus Bulletin, 바이러스 뉴스 1,2 호 등 다양한 글을 참조해서 작성되었다.

2008년 5월 23일 오전부터 'Adobe사 고소장 접수에 대한 안내문'이란 제목의 메일이 배포된다. -> 5월 23일(금)보다 더 일찍 배포가 된 것으로 확인되었습니다. 첨부된 파일 정보 - 고소장접수결과보고.zip 내 고소장접수결과보고.exe - 파일길이 : 69,306 바이트 - MD5 : 26151dd2af6c3f572d15b54ff58e1b04 V3 진단명 : Dropper/Zepik.69306 http://kr.ahnlab.com/info/smart2u/virus_detail_15953.html?svccode=ac3001&contentscode=024 제작지는 중국이며 한국내 사용자를 대상으로 메일이 발송된 것으로 보인다.

2008년 4월 무비스트에서 사과문을 올렸다. http://www.movist.com/comm/view.asp?table=notice&id=107&page=1&sort= 내용은 그동안 자사의 홈페이지가 악성코드 유포에 이용된 점에 대한 사과이다. 단발성 대처인지 잠재적 문제점을 해결했는지는 더 지켜봐야할 것이다. 물론 무비스트만의 문제는 아니고 많은 사이트가 계속 문제를 가지고 있지만 이렇게 적극적으로(?) 해결하려는 업체는 많지 않다. 무비스트의 용기와 노력에 박수를... (짝!짝!짝!)

이스트 소프트에서 알약 기업용을 출시했다. 통합운영 관리 솔루션과 함께 기업용 확장 DB는 업무상 불필요한 프로그램들을 제거한다고 한다. (게임, 증권 관련 프로그램이지 않을까 ?) [관련기사] - 이스트소프트, 알약 기업용 제품 출시 http://itnews.inews24.com/php/news_view.php?g_serial=325780&g_menu=020200&fm=rs - 이스트소프트, '알약' 기업용 제품 출시 http://www.ddaily.co.kr/news/news_view.php?uid=36772

http://mtc.sri.com/live_data/av_rankings/ 처음 들어보는 곳인데 자체 허니팟으로 구축된 생생한(?) 샘플들을 대상으로 진단 테스트를 했습니다. in-the-wild 샘플도 중요하지만 한달이라는 기간, 하루에 2,500 개 이상 발견되는 현재 시점에서 현재 활동하는 악성코드에 대한 진단율은 테스트는 의미있겠죠. 물론 여기에도 한계는 있습니다. 어느 정도 공신력을 얻기 위해서는 허니팟 수나 분포 지역 등이 넓어야겠죠. 안랩은 1030개 파일 중 134개를 미진단해 87% 진단율로 32개 업체중 14위에 올랐네요.

[기사] - HP, 악성코드 담긴 USB 출하 http://www.zdnet.co.kr/news/network/security/0,39031117,39167651,00.htm 발견된 악성코드는 시만텍 진단명이다. [V3 진단명] 안랩에서 보유 중인 해당 진단명의 샘플을 찾아 검새해보니 모두 기진단되었다. (2007년 1,2월 발견된 과거 악성코드들) 단, 정확하게 발견된 악성코드가 어떤 샘플인지는 추가 확인이 필요할 것으로 보인다. Fakerecy\9fb40000.aa2 - Win-Trojan/Recycled.20480 Fakerecy\9fb40001.97b - Win-Trojan/Recycled.20480 Fakerecy\9fb40002.bfe - Win-Trojan/Recycled.20480 Fake..

최근 개인고객 대상의 무료 백신이 유행하고 있다. 이에 국내 무료 백신 현황을 정리해봤다. 이스트 소프트 알약 이전에도 외국 개인용 무료 제품과 초고속인터넷 사용자 대상의 무료 제품이 존재했었다. * 2007년 11월 이스트 소프트 알약 배포 * 2008년 1월 21일 - 이스트 소프트 알약 사용자 200만명 돌파 http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2008012112082166354&outlink=1 * 2008년 1월 27일 - NHN PC 그린 시범 서비스 시작 * 2008년 3월 27일 - 하우리 NHN 에 바이로봇 엔진 공급 계약 http://www.boannews.com/media/view.asp?idx=9216&kind=1 * 20..

cpqsetver.exe 는 HP 에서 제작한 파일이다. * 파일 정보 MD5 : a5e52c58c47e3233417a3816ff275607 파일길이 : 40,960 바이트 * 등록 정보 4.20.3.1 Hewlett-Packard CpqsetVer --------- 몇몇 제품에서 진단했다. 하지만, 수상한 코드를 찾을 수 없어 구글로 검색해봤다. CpqsetVer.exe 로 검색하면 진단했던 Avira 에서 오진임을 밝히고 있다. http://forum.avira.com/thread.php?postid=316513 하지만, 이건 2007년 얘기인데 왜 아직 진단할까했지만 VirusTotal의 검사 결과를 보면 2008년 1월 18일 결과였다. 다시 검사하니 진단되지 않았다. (여전히 몇몇 제품은 진단하..

2008년 3월 21일 금요일 미래에셋 DDoS 공격이 발생했다. 본인도 미래에셋을 이용하는데 사이트가 접속되지 않았는데 이후 기사를 통해 공격 사실을 알았다. [관련기사] - 해킹당한 미래에셋…해커들 5000만원 대가 요구 http://www.dt.co.kr/contents.html?article_no=2008032102019960713002 - 보안 허술 미래에셋 "DDoS 공격은 예견된 결과" http://itnews.inews24.com/php/news_view.php?g_serial=319819&g_menu=020200 - 미래에셋 DDoS 공격 피해 '인재' http://www.dt.co.kr/contents.html?article_no=2008032402010351713002 관련 기사를 보..

http://www.newsva.co.kr/uhtml/read.jsp?idxno=295075&section=S1N5&section2=S2N232 대통령 출국 일정.xls 을 첨부 파일로 배포되었다. 주로 정부 기관으로 보내진 것으로 보인다. V3에서는 W97M/Exploit-OleData 로 진단된다. 최근에 발생한 오피스 취약점을 이용한 문서이다 .

팀으로 온 메일을 분류하던 중 주소를 보고 쓰러졌다. 그건 바로... 안철수연구소 '17인치대흥센터' 푸하하... '시큐리티대응센터'를 전화로 듣고 타이핑하다가 '17인치대흥센터'로 했나보다. 17인치대흥센터.. 17인치대흥센터. 아주 대박이었다. 17인치 대응하려면... 17인치 모니터 ?! 17인치... 뭐가 또 있나 ㅎㅎㅎ