쿨캣의 블로그 놀이

새로운 국산 안티 바이러스라는 이름으로 '새싹'이라는 프로그램이 2008년 3월 4일 마침내 공개되었다. http://www.sessak.com/ 문구로 보면 독자 엔진으로 예상되어 기대(?) 했다. 하지만, 베타 버전의 경우 ClamAV라는 오픈소스 기반의 안티 바이러스 프로그램 엔진과 시그니처를 이용한 것으로 확인되었다. http://www.clamav.org/ 물론, 아직 베타이고 향후 어떻게 발전할지 알 수 없다. ClamAV를 기반으로 했지만(하지만, 어느 선까지 기반으로 했는지는 확인해봐야겠지만 이걸 누가 하겠는가 ?) 한국실정에 맞게 대폭 수정할 지 ClamAV 시그니처 + 자체 시그니처로 갈지 혹은 듀얼 엔진으로 갈지. 새싹 개발자들만이 알 것이다. ------------- 몇몇 분들이 새..

록스라는 신종 바이러스에 대한 기사가 나왔다. http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2008030311150034835 확인 결과 해당 바이러스는 V3에서 디스크젠(Win32/Diskgen) 변형으로 확인되었다.

팀내 분석가 중에서 흥미로운(?) 샘플을 발견했다. 아마도 10대로 추정되는 학생이 만든 것으로 보인다. 배치 파일을 Quick Batch File Compiler 로 EXE 파일로 만들었다. 배치 파일은 Fucker!!! Ahnlab V3 Internet Security 란 메시지를 여러번 출력하고 CMD 를 여러번 실행한다. 이후 안랩의 스마트업데이트를 강제 종료시키고 파일을 삭제한다. - 파일이름 : SMART.EXE (변경될 수 있음) - 파일길이 : 150,734 바이트 - MD5 : 3188f561faad1469b178a523a8f76ad5

LucasArts 게임들 저도 좋아합니다. 중학생 시절 원숭이 섬의 비밀 엔딩을 보고 '이제 컴퓨터 끄고 자라'는 메시지를 보고 그렇게 했었죠. 루카스아츠의 게임 엔진을 구현해주는 프로그램인 scummvm 이 있습니다. (http://www.scummvm.org/, 한국어 사이트 : http://scummkor.kldp.net/ ) 게임 구성이 어떻게 되는지 모르겠지만 타사에서는 진단되는에 V3 에서 진단안되는다는 파일이 들어왔는데 제가 분석한 바로는 오진입니다. 배치 파일을 실행 파일로 만들어주는 Quick Batch File Compiler 로 제작되었는데 내용은 다음과 같습니다. @echo off scummvm -f -n maniac ----------- @echo off scummvm -f -n ..

독일에서 걱정하는 어떤 사람이 샘플을 보냈는데... (아마도 우리에게만 보낸게 아니라 다른 회사에도 보낸거겠지 ?) 제품 구매자는 아니겠지만 한글이 아닌 영어로 설명을 읽으면서 샘플을 한번 봤는데... 정식으로 진단하는건 없고 대부분 의심스러움이나 패커 자체 진단이었다. 프로그램의 실체는... 시리얼넘버 생성 프로그램 물론 이 안에 몰래 꽁꽁 악성코드를 숨겨두었을지 모르겠지만... 테스트와 간단한 분석했을 때 악의적인 코드는 볼 수 없었다. 패커 진단의 문제점이라고할까.. 그래도 이런 비공식적인 패커는 언더그라운드에서 주로 사용되는거니.. 다 잡아버리는게 맞으려나 ?!

- '침묵의 뱅커' 바이러스 공격에 비상 걸린 은행들 (연합뉴스) http://www.yonhapnews.co.kr/economy/2008/01/18/0303000000AKR20080118096200009.HTML - 네이버 뉴스 http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=001&aid=0001928730 해당 기사는 18일 캐나다에서 나온 얘기가 국내에 알려졌다. 관련 내용은 1월 14일 시만텍 블로그에 처음 올려졌다. - Banking in Silence http://www.symantec.com/enterprise/security_response/weblog/2008/01/banking_in_silence.html - Ban..

국내에 무료 백신 출시가 붐이다. 개인용 백신 시장의 대부분을 차지하고 있던 안랩의 입장에서는 아쉽지만(?) 시대의 흐름 같다. - 메가닥터 (http://megadoctor.megapass.net/part4/main.jsp, 메가패스 사용자에게 제공. 바이러스체이서(닥터웹) + PC지기 엔진) - Avast! (http://www.avast.com/eng/download-avast-home.html, 체코 Alwil 사의 개인 무료버전, 특이하게 한글판이 있음) - 알약 (http://alyac.altools.co.kr/main, 알툴바 설치 되므로 필요 없으면 제외 가능, 비트디펜더 + PC지기 엔진) - 야후! 툴바 실시간 무료 백신 (야후에서 '무료백신'으로 검색, 바이러스체이서(닥터웹) + PC..

- 파일 이름 : svsupdates.exe - 파일길이 : 75,736 - MD5 : 19482fa125f3364078c34331365798a0 팩은 처음 보는건데 OllyDbg 와 프로세스 뷰어를 강제 종료해서 압축을 풀어보니 전형적인 악성 IRCBot 이더군요. 바이러스 토털 검사 결과를 보니 아무도 진단 안하네요. 어.. 27일에 최초 검사된 샘플이군요. 안랩은 한국시간으로 2007년 12월 27일 오후 3시 58분에 국내 고객으로 부터 접수 받았습니다. 제가 샘플을 본게 28일 저녁이고 다시 검사해보니 현재까지도 어떤 업체도 진단하지 않네요. (한국 시간으로는 밤 늦게 검사했지만 이곳 시간으로는 오후 1시 10분이군요) 잘 작동하는 샘플인데 하루가 지나도 어떤 업체도 진단 못하는 샘플. 아쉽게도..

최근 온라인게임 게정 탈취 트로이목마는 계속 변하고 있습니다. 예전에는 델파이로 작성된 형태가 많았지만 언어도 다양하고 패커도 Upack 이 많았는데 다양해지거나 패커(Packer)를 진단하니 패커되지 않은 샘플도 많았죠. 문자열 중 일부를 암호화하는 형태는 많았지만 관련 문자를 거의 암호화하는 형태는 처음봅니다. (물론 제가 처음 보는 샘플이겠지만) 코드는 안 봤지만 딱보니 암호화된 문자열로 보이네요. (경험으로 인한 느낌)

2007년 9월 14일 금요일 대량 네트워크 패킷 발생으로 많은 문제가 있었다. 이 악성코드는 Win-Trojan/Eldo 로 명명되어 졌다. 자세한 정보 : http://kr.ahnlab.com/info/smart2u/virus_detail_10407.html 해당 악성코드는 Win32/Virut 바이러스가 다운로드 받아 온 것으로 알려졌다.

http://www.ddaily.co.kr/news/news_view.php?uid=32185 후지제록스 디지털복합기에서 악성코드가 발견되었다는 보도이다. 가능성은 두가지 있다. 첫째, 윈도우와 리눅스 모두에서 활동하는 악성코드 둘째, 후지제록스 디지털복합기 하드디스크에 악성코드 복사 윈도우에서 활동하는 악성코드가 네트워크로 연결되어 있는 디지털복합기 하드디스크로 그냥 악성코드가 복사된 것일 수 있다. ---------- 샘플을 확보해야 할 것으로 보인다.

타사에서 진단된다며 들어온 파일인데 다음(Daum)에서 배포하는 정상 파일이다. (2007년 12월 11일 밤 현재) - 파일 : xmaninf.dll - 파일길이 : 193,888 바이트 - MD5 : d515651308270579e21e3f9742ba95b5

책 저자인 Peter Szor 가 직접 싸인을 해서 책을 줬다. 난 단지 싸인을 받을 수 있을까 했는데 이런게 책을 보내주다니.. 그래서 보답으로 한국 전통 목각 인형을 Yoshihiro 편으로 보내줬다.

오래된 악성코드인 해디펜더(V3 진단명 Win-Trojan/HackDef)가 기사화되었다. 내용의 요점은 PC 의 C 드라이브를 통째로 숨겨버리는 악성코드라는 점이다. 파일길이 : 64,000 bytes MD5 : 6fbe299c0207a5a3dcf92eb95a31da42 [관련기사] http://www.inews24.com/php/news_view.php?g_serial=299431&g_menu=020200

http://www.boannews.com/media/view.asp?idx=8273&kind=0 이번 AVAR 2007 Seoul에 CEO 와 개발자가 왔다. - Dr. Web 이 아닌 뉴테크웨이브 소속으로 참석했다. 인터뷰 기사를 보면 러시아 (넓게 동부유럽)쪽에서 왜 안티 바이러스가 강세인지 비슷한 생각을 하는 것으로 보인다. 교육 인프라, 수학 등.... 그리고 한국은 외부와 단절되어 자국민으로만 제품을 개발하고 있는 한계점(?)도 있지 않을까 ? 유럽, 미국 업체들은 세계 각지의 개발자들이 옮기면서 다른 기술도 수용하는 편이다.

악성코드 역사 2000년이 3개월 만에 나왔습니다. 그동안 이런 저런 이유로 바빠서 이제야 글을 올리게되었네요. 안랩 홈페이지에 있습니다. 악성코드 역사 2000년

중국에서 영화 색계 관련 악성코드가 퍼지고 있다고 합니다. - 영화 인기에 '색계 바이러스'도 급속 유포 (전자신문) http://www.etnews.co.kr/news/detail.html?id=200711190099 - 중국은 지금 '색계 바이러스' 경보 중 http://www.nownewsnet.com/news/newsView.php?id=20071119601005 하지만, 예상한것 처럼 엄청나게 퍼진 것도 아니고 바이러스도 아닙니다. 자바 스크립트로 작성되어 취약점을 이용해 사용자 시스템에 다른 악성코드를 떨어뜨립니다. 다운로드되는 관련 실행파일형은 총 10개 정도되는 것으로 알려있습니다. V3는 2007.11.21.00 엔진에 아래와 같은 진단명으로 추가되었습니다. (앞에 파일명은 MD5 값입니..