쿨캣의 블로그 놀이

일부 시게이트의 하드디스크에서 악성코드가 발견되었다. 다행히 V3에도 진단이 되는 샘플이다. Antivirus Version Last Update Virus Name AhnLab-V3 2007.10.2.0 2007.10.01 Dropper/OnLineGameHack.21042 한가지 흥미로운건 중국정부의 음모설 얘기도 나오는데 다음과 같은 점 때문에 가능성이 떨어진다.1. 게임 계정 탈취 트로이목마 해당 악성코드의 목적은 온라인 게임 계정 탈취이다. 중국정부에서 의도적으로 했다면 왜 온라인 게임 계정을 탈취할까? 주요 문서를 빼가는게 맞지 않을까? 2. 기진단 샘플 안랩은 해당 샘플 받지도 않았으며 확인해보니 V3에는 2007.06.23.01엔진에서 추가된 샘플이다. 정말 중국정부에서 의도적으로 진행했다..

Jerry 님의 랜섬웨어 업체 마이컴고(MyComGo)를 보면 자료를 숨기고 돈을 요구하는 사례가 있었습니다. http://mireenae.com/157 세계일보에 기사도 났네요. '멋대로 실행..파일 숨기고.. 돈 달라고? PC 보안프로그램 황당한 보안' http://www.segye.com/Service5/ShellView.asp?TreeID=1052&PCode=0007&DataID=200711021638000174 이에 마이컴고측은 공지사항을 통해 2007년 11월 7일 애드웨어로 분류되었으며 자사와 협의가 없었으므로 법적대응을 준비중이며 고객들에게 안철수연구소로 전화해 항의해달라는 내용의 글을 올렸습니다. http://www.mycomgo.com/customer/notice/content.jsp?..

OMG just accept please its only some pics!!라는 내용으로 확산되는 메신저 웜 2007년 11월 5일 외국에서 처음 보고되었으며 국내에는 2007년 11월 6일 오전에 보고되었다. - 파일명 : image24.zip (image24-www.photobucket.com 포함) - 파일길이 : 압축 푼 파일 길이는 10,752 바이트 - MD5 값 : 633fc2332287108885ba0633efd81601 V3 진단명 : Win32/IRCBot.worm.10752.E

- Costin Rair - Virus Bulletin 1999.12 p.14 - 15 루마니아 태생. BadSectors.3428 바이러스에 감염되면서 바이러스를 분석해 치료하는 프로그램 개발 MSCAN (Main Scan)을 제작해 루마니아 BBS를 통해 배포하고 이후 GeCAD와 함께 상업용 프로그램인 Romanian AntiVirus (RAV) 제작. 이후 회사는 RAV를 마이크로소프트사에 팔고 Costin 은 Kaspersky 로 옮겨 현재 Kaspersky 연구소 루마니아 연구소장을 하고 있음. 불행히(?) 나와는 동갑이며 사교성이 많은 편으로 보여 여러 사람들과 잘 어울림. 개인적으로 친분이 있음. 루마니아 가면 잘해줄거라 생각됨 ~ - Eddy Willems - Virus Bulletin ..

허위 안티스파이웨어 업체들이 경찰에 적발되었다. 보안프로그램 알고보니 '악성코드' http://www.hani.co.kr/arti/society/society_general/247125.html '날도둑' 컴퓨터 보안업체 http://www.segye.com/Service5/ShellView.asp?TreeID=1052&PCode=0007&DataID=200710311657000234 이런 사실은 아는 사람은 다 알았지만 교묘하게 법을 위한하는 사람들이기 때문에 경찰에서도 정말 조사를 많이 했을테니 늦장 수사라고 비난하기 보다 빨리 법개정이 되어야 할 듯 싶다. 그리고, 이들 업체는 보안업체가 아니라 사기 업체이다.ps. 어머니께서 기사를 보시더니 "너희 회사는 괜찮냐 ?"라고 하시네요. 윤리경영으로 유..

Reg2Exe 파일 파일길이 : 9,216 바이트 MD5 : 103d82155d97f288d1d2fb3c70c3a0dd 정상 파일이지만 V3 를 포함한 많은 보안 프로그램에서 오진했었다. AhnLabV3 : Win-Trojan/StartPage.9301 A-Squared : Trojan.Win32.StartPage.apq ALWIL avast! ashCmd : NO_VIRUS Avira AntiVir/Win32 : NO_VIRUS GRISoft AVG : Startpage.BLK Kaspersky Lab AVP32 : Trojan.Win32.StartPage.apq SOFTWIN AVXC/BDC : Trojan.Startpage.YR Doctor Web DrWebCL : Trojan.StartPage.2..

요즘 USB 메모리나 외장형 하드디스크를 통해 전파되는 악성코드가 증가하고 있다. 프로세스가 실행 중일 떄는 악성코드 실행 파일과 autorun.inf 파일을 삭제해도 다시 생성해 사용자 입장에서는 지워도 지워도 치료가 안되는 것처럼 보이게 한다. 발견된지는 오래되었지만 USB 드라이브에 자신의 사랑을 얘기하는 악성코드가 존재한다. - 생성 파일명 : Edelin_X.exe - 파일길이 : 32,768 바이트 - MD5 : 3ca1a6fe4c3eb75f580b988d06ae26c4 - V3 진단명 : Win32/Autorun.worm.32768.B (2007.10.26.00 엔진 이후 진단) 이 악성코드는 실행 파일과 autorun.inf 외에 Surat Untuk Edelin.txt 파일이 생성되며 아..

안랩의 멕시코 협력 업체에서 보낸 샘플로 2007년 10월 5일 현재 McAfee 만 진단하고 나머지는 진단되지 않는다. - 파일길이 : 32768 bytes - MD5: 463998904a6a61fd67d33a07aadd16b3 - V3 진단명 : Win-Trojan/QHost (2007.10.06.00 이후 엔진) HOSTS 파일을 변경해 banamex.com 으로 접속하는 주소를 변경한다. 사용자가 Banamex 로 접속하면 변경된 IP 로 접속하는데 해당 IP 를 추적해보면 미국이다. Ft Lauderdale, FL, UNITED STATES 실행을 위해서는 VB6ES.DLL 파일이 필요해 한글 윈도우에서는 제대로 실행되지 않는다. 여러나라에서 은행계정 정보를 빼내기 위한 시도는 계속되는 것으로 ..

안티 바이러스 오진 문제는 항상 있었지만 샘플이 많이 증가하면서 상대적으로 샘플을 꼼꼼히 볼 시간이 부족하다보니 타업체의 진단을 참고하는데 한곳에서 오진하면 같이 오진이 나는 경우가 많다. - 파일길이 : 61440 bytes - MD5: 3a9bcde21a8d27f0c4b7f43615e0e821 해당 샘플은 안랩으로 2006년 11월 22일에 처음 샘플이 접수되었고 그때 정상파일로 분석되었다. 하지만, 이 샘플에 대한 재분석 요청이 들어왔는데 샘플을 봤는데 마더보드 (Mother Board) 관련 프로그램으로 보인다. 0000B054 0040B054 0 \auto.ini 0000B06C 0040B06C 0 SETUP%d 0000B074 0040B074 0 ============= 0000B090 004..

안티 바이러스 프로그램인 NOD32 폴란드 버전에서 바이럿 변형(V3 진단명 Win32/Virut.D)이 발견된 사건이 있었다. 2007년 6월에 일로 제법 오래된 일이다. 감염된 파일명은 아래와 같으며 모두 2007년 6월 11일로 되어 있다. Autorun.exe (460,800 bytes) 7c863693179cb054304fe9a2769e9b1f wersjaad.exe (317,952 bytes) d612407a8fc740f8998883bd2f8bcd69 wersjast.exe (317,952 bytes) d1eb12b4d46a5301092ec6fef0c580d8 이전에도 안랩을 포함한 여러 보안업체에서도 제품 혹은 엔진 파일이 신종 혹은 구종 바이러스에 감염되어 배포된 일이 있었다. 바이러스 감..

http://www.zdnet.com.au/video/play/22172504 CA (예전 Vet) 바이러스 분석실의 내부 동영상이다. 자세한 내용은 나오지 않지만 그냥 바이러스 분석실 내부 소개 정도 ? Virus Bulletin 2007 컨퍼런스에서 CA 사람들을 만났는데 최근 엔진을 하나로 통일했다고 한다. 아쉽게도(?) 오스트레일리아의 Vet 엔진을 버리고 이스라엘쪽 엔진만 사용하는 것으로 보인다.

MMSadari.exe - 사다리게임으로 가장한 다운로더 - 파일이름 : MMsadari.EXE - 파일존재 : C:\Program Files\MMSadari\MMSadari.exe - 파일길이 : 721,408 - MD5 : 148afaf3eed47971087d44dc52c589da - V3 진단명 : Win-Trojan/Downloader.721408 (2007.09.07.00 이후 엔진) 사다리게임으로 나오는데 실제로는 사용자 모르게 neo4.exe (243,712 바이트)를 다운로드 한다. neo4.exe 는 특정 툴바를 다운로드 한다. 즉, 툴바를 사용자 모르게 설치하기 위해 사다리 게임으로 가장한 것이다. 당연히 한국에서 작성되었을테고 한가지 이상한건 포털 등에서 검색해보면 2007년 4월 부..

후배에게 웹브라우저로 사이트를 접속하면 아래와 같이 이상한 문자열이 먼저 뜬다고 한다. BBBBBBB^BB걁BBrBBBBsZ 회사 사람들에게 얘기를 들어보니 ARP (address resolution protocol) 스푸핑에 의한 공격이라고 한다. ARP는 (Address Resolution Protocol)는 주소결정 프로토콜으로 IP 주소를 물리적 네트워크 주소로 대응시키기 위해 사용되는 프로토콜이다. 간단한 조치 방법은 스위치를 껐다 켜는 것이다. 하지만, 내부망에 ARP 스푸핑을 발생하는 악성코드가 존재 할 가능성이 높은 만큼 해당 시스템을 찾아 악성코드를 제거해야한다. 인터넷을 찾아보면 다음과 같은 정보가 있다. * 스위치 재밍(Switch Jamming) 테스트 http://blog.nave..

[1] 네이버 무료 백신 베타 테스트 http://www.etnews.co.kr/news/detail.html?id=200708310184 NHN (네이버)에서 무료 백신인 PC그린을 베타 테스트에 들어갔다고 한다. KT에서 자사 사용자를 대상으로 메가닥터를 배포했는데 NHN에서 무료 백신을 배포하면 예상했던것 처럼 국내 개인 시장은 거의 끝난게 아닐까 싶다. 개인적으로는 개인 사용자는 무료 버전을 배포해 수익적인 면에서는 다소 떨어지겠지만 보안업체의 공공성에 대한 상징성, 개인 무료 사용자를 대상으로한 인지도 상승, 개인 무료 사용자를 통한 유용한 자료 수집 (사용자 동의하에 검사 결과 수집을 통한 악성코드 실제 분포도 혹은 확산 정도 등) 등도 고려해보는건 어떨까 싶다. [2] 안랩 빛자루도 서비스 ..

6월 이탈리아에서 Mpack 을 이용한 대규모 웹사이트 해킹 공격이 있었다. 일단 서버를 해킹하고 Mpack 을 설치하면 HTML 문서에 취약점을 이용해 접속하는 사용자 공격하는 코드를 심어둔다. Mpack 은 러시아에서 제작된 것으로 알려져있으며 돈을 받고 팔고 있다. [참고자료] http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/06/19/More-about-Mpack.aspx http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/07/20/More-about-Mpack-II.aspx

2007년 8월 22일 오전 국내에 새로운 메신저 웜이 발견되었다. - V3 진단명 : Win32/Fuas.worm.81408 - 엔진 : 2007.08.22.01 이후 - 샘플코드 : EC07082100063-000001 - MD5 : 3cc4dfe64efd52d43fa15d1fc3b86344 - 파일길이 : 81,408 바이트 MSN 메신저로 전파시 사용되는 문구 OMG I broken my foot, look! Is this you? Accept dis picture homie Hahahahahahahaha look @ my new car Look @ my new house Did you see this picture of Paris Hilton? OMG, this picture is so sad ..

미국에서 여교사인 Julie Amero 가 수업 시간에 아이들에게 포르노 사이트를 보여주는걸 방치했다고 2007년 3월 2일 유죄를 선고 받았다고 한다. 무려 40년 형을 선고 받았다고하는데 포르노가 금지된 한국이지만 사실상 포르노가 방치되는 한국과 달리 미국이나 유럽은 유아 포르노 및 아이에게 성인물을 노출되는건 무척 큰 죄인가 보다. 하지만, 여교사는 애드웨어가 설치되어 발생한 일이라고 주장하고 있고 실제로 시스템에서 성인 광고를 띄우는 애드웨어가 발견되었다고 한다.이후 선고는 취소 되었다고 한다. http://www.drumsnwhistles.com/2007/06/08/julie-amero-heroes-and-villains/ * 참고 사이트 http://tinyurl.com/3au7cz http:..