쿨캣의 블로그 놀이

휴... 오랜 기간 동안 바빠서 못 썼는데... 악성코드 역사 1999년이 끝났습니다. 최근으로 오면서 자료가 많아서 이것 저것 정리할 게 많네요. 방금 자료를 넘겼으니 곧 안랩 홈페이지에 자료가 올라갈 것으로 보입니다. 1999년을 정리하면 메일, 네트워크를 통한 새로운 전파 방법 그리고 취약점 이용 등 악성코드의 패러다임 변화이다. * 악성코드의 역사 http://kr.ahnlab.com/info/securityinfo/infoView.ahn?seq=9252&category=01 * 1999년 내용 http://kr.ahnlab.com/securityinfo/infoView.ahn?seq=10493&category=01

MSN 에서 2007년 8월 6일 경고 뜬 악성코드 정보가 있다. http://windowslive.msn.co.kr/wlm/customer/view.asp?sectionDiv=2&seq=161 내용에 사용된 진단명은 잉카 인터넷으로 Backdoor/W32.IRCBot.120832.B 이다. V3 진단명은 Win32/Agent.worm.120832 으로 2007.07.24.01 엔진에 추가되었다.

McAfee 진단명을 보면 예전 도스 바이러스 진단명 중 Univ 가 자주 눈에 띈다. 특정 바이러스에 대한게 아니라 궁금했는데 Univ 는 바로 Universal Generics 이다. 예전 도스 바이러스 시절에 PS-MPC, VCL 등 바이러스 생성 도구로 만들어진 프로그램을 위해 사용되었다고 한다. 1999년 11월까지 McAfee 는 10 개의 Universal Generics 가 있었다는 사실 ~ 이걸로 McAfee 는 시그니처 수를 줄였다. 하지만, 요즘같은 시대에는 쉽지 많은 않은 일이다.

여러 백신 프로그램에서 악성코드로 진단하지만 모 회사에서 진행하는 한글키워드 서비스의 일종이다. 프로그램이 전형적인 다운로드 기능이 있어 대부분의 제품에서 트로이목마라고 진단하는데 개발회사 입장에서는 억울하겠지만 자신의 프로그램이 왜 악성코드로 오인 받는지 한번 생각해볼 필요가 있을 듯 싶다. 다음 사항이 있는 건 어떨까 ? 1. 파일 다운로드 할 때 사용자 동의 구함 (특히 실행 파일을 다운로드할 경우) 2. 파일 내 프로그램 이름, 목적, 회사, 연락처 표기 (이 파일에는 존재함) * VirusTotal 결과 Antivirus Version Last Update Result AhnLab-V3 2007.8.9.1 2007.08.09 Win-Trojan/Downloader.172032.F --> 제외 예..

아침에 제 네이버 블로그에 올린 '곰플레이어 개인정보 유출 의혹' 글이 명예훼손으로 곰플레이어측 요청으로 임시 차단되었더군요. 아래 글은 네이버와 같은 글입니다. http://xcoolcat7.tistory.com/121 처음에 테스트하면서 곰플레이어측 주장도 함께 담으며 객관성을 지키려고 했고 제 의견과 바램도 적었습니다. 저는 곰플레이어측의 실수라고 믿고 싶고 진실에 대해 물어보는 기자분에게도 실수일꺼라고 했습니다. 그런데 ! 제 글을 차단했습니다. 네이버에 다시 게재 요청을 하려니 신분증 보내야한다는군요. (이런...) 귀찮기도 하지만 글 살릴려고 제 개인정보있는 신분증 왜 보냅니까 ? 네이버에는 다시 글 올렸습니다. 다시 한번 제글 잘 읽어보시고 그래텍 측은 어느 부분에 대해서 문제 있는지 지적해..

2007년 5월 중순 오픈오피스(OpenOffice)에서 활동하는 악성코드가 등장한다. [기사] - OpenOffice worm Badbunny hops across operating systems http://news.com.com/OpenOffice+worm+Badbunny+hops+across+operating+systems/2100-7349_3-6189961.html - Worm targets Windows, Mac and Linux computers http://www.sophos.com/security/analyses/sbbadbunnya.html 다행히 개념 증명 수준이라 큰 이슈는 되지 않았다. 또한 오픈오피스 악성코드는 이미 여러차례 우려가 되었다.

한국시간으로 2007년 7월 27일 오전 다음과 같은 내용을 MSN 메신저로 받았다. MSN에서 경고없이 누가 당신을 삭제하였는지 알아 보십시오 http://*******.*****.tk 예전에 발생했던 일과 비슷하지 않는가 ?! [관련자료] - MSN 메신저를 이용한 사기 마케팅 http://xcoolcat7.tistory.com/82 이에 해당사이트에 접속해보니 구글 애드센스 광고도 보인다. 역시 애드센서 클릭수를 노린 사람의 짓인데 이제는 한글로도 보낼 줄 안다. 현재 파악중이다.

오늘 접수된 새로운 론다 웜은 자신의 블로그로 접속하게 한다. - 샘플코드 : EC07072600074-000001 - MD5 : cb0a07279af5c7f4d13f6c3e56a46587 - 파일길이 : 184441 - V3 진단명 : Win32/Ronda.worm (2007.07.27.00 이후 엔진) 접수된 파일이름은 co방어기.exe 였다. 아마도 카페 등에 게임 관련 유틸리티로 올리게 아닐까 싶다. 악성코드는 SVKP 로 압축되어 있으며 이 패커는 디버거나 모니터링 프로그램이 있으면 실행되지 않는다. 따라서, 분석하기 좀 까다롭다. 실행되면 특정 주소 (http://****.ze.to) 사이트로 접속을 시도한다. 2007년 7월 26일 오후 6시 12분 현재 오늘만 311명이 접속했다. 총 16..

2007년 7월 25일 오전에 MSN 메신저를 이용한 웜 등장 기사가 나왔다. - MSN 메신저를 이용한 웜 등장 http://www.ddaily.co.kr/news/news_view.php?uid=27092 - MSN 메신저 신종 웜 주의하세요. (머니투데이) http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2007072509483914628 MD5 : 6889bc7b62929dd98d29310e5fc73055 파일명 : pictures04.sc2513 파일크기 : 121,344 bytes V3 진단명 : Win32/Agent.worm.121344 (V3,진단버전:2007.07.24.01/치료버전:2007.07.24.01) [관련정보] http://www..

제가 가지고 있는 백신의 엔진(주로 DLL)과 시그니처 파일의 크기입니다. 부가적인 프로그램은 빠진 순수 엔진과 시그니처 길이 입니다. 압축 후에도 길이 비교해서 큰 변화없는건 이미 압축되어 있다는 얘기겠죠. Fortinet : 44 MB -> 44 MB (압축 추정) Trend : 35.2 MB -> 22.2 MB (미압축. 34.1 MB 시그니처 파일만 압축할 때 21.6 MB 로 줄어듬) Rising : 28.1 MB -> 24.2 MB (압축 추정. DLL 파일이 30개로 많음) V3 : 26.1 MB -> 14.4 MB Microsoft : 20 MB --> 18.6 MB (압축 추정) AntiVir : 18.3 MB --> 16 MB (압축 추정) F-PROT : 17.9 MB -> 8.6 M..

곰플레이어 개인정보 유출 의혹 사건 주) 본 글은 곰플레이어를 비난만 하는 글이 아닙니다. 곰플레이어측도 나름대로 이번 일로 고생 많이하고 있는 것으로 알고 있습니다. (개발자가 예전에 같이 일했던 분이고 그분도 소스코드까지 검토했다고 하더군요.) 다만, 사실 나열과 곰플레이어측에서 관련 글을 다 차단한건 분명 문제가 있는 행동이라 생각해서 이슈를 제기한 것입니다. 제가 개발자와 통화하면서 이점을 얘기했고 이후에 정책이 어떻게 변경되었는지는 모르겠습니다. 실수는 누구나 할 수 있은까요. ----------------------------------------------------- 2007년 7월 18일 "곰플레이어 이용자 70%가 성인물 본다."라는 기사가 나왔다. http://www.yonhapnew..

2007년 7월 18일 저작권 협회 사칭 악성코드 내용이 기사화되었다. [관련기사] - 소프트웨어저작권 사칭 악성 바이러스 유포 (이델일리) http://www.edaily.co.kr/news/stock/newsRead.asp?sub_cd=DB41&newsid=02043446583195832&clkcode=00203&DirCode=0030503&curtype=read - 저작권 협회 사칭하는 신종 바이러스 등장 http://www.segye.com/Service5/ShellView.asp?SiteID=&OrgTreeID=3118&TreeID=1051&PCode=0070&DataID=200707181043001157 www.spc.or.kr 에 접속하면 주의 공지가 떴다. - V3 진단명 : Win-Tro..

일시 : 2007년 5월 18일 시만텍 노턴 안티 바이러스에서 중국어 윈도우 XP SP2 파일인 netapp32.dll 과 lsass.exe 을 Backdoor.Haxdoor 로 오진했다. 벌써 꽤 시간이 지난 사건이지만 중국에서 시만텍을 상대로 소송을 준비 중이라는 얘기도 있다. 소성 관련 내용 : http://english.people.com.cn/200705/29/eng20070529_379005.html [관련 사이트] * 영어 http://sbin.cn/blog/2007/05/18/symantec-anti-virus-software-damages-system-files/ http://www.cisrt.org/enblog/read.php?100 http://isc.sans.org/diary.htm..

여러 안티 바이러스 프로그램으로 검사해 주는 바이러스토털 사이트가 개편했다. 뭔가.. 뽀사시해졌다.

최근에 중국에서 온라인 게임 계정 탈취에서 홈트레이드 대상의 중국 주식 계좌 탈취 프로그램이 기승을 부린다는 기사가 알려졌다. (현재 기사 검색 중) 안랩의 한 연구원이 중국의 보안업체에 문의해본 결과 2004년에 발견된 일이 있었다는 답장을 받았다고 한다. 해당 샘플 확인 결과 V3에서는 Win-Trojan/Delf.201216, Win-Trojan/Delf.236070 으로 진단되며 V3에 2004.12.03.00 엔진에 추가된 샘플이다. 즉 3년 가까이 된 샘플이라는 점이다. 중국 로컬 제품의 진단명은 다음과 같다. Jiangmin : Trojan.Spy.Stock, Trojan.Spy.Stock.a Rising : Trojan/PSW.Soufan, Trojan/PSW.Soufan 이전에도 이 문제..

* 샘플코드 : IK07061311568-000199 * 길이 : 24,785 * MD5 : 36af4b74ade9a895385ced6263e8b40b 악성코드의 프로그램 방해는 여러가지가 있지만 지금까지 못보던 방법이 나왔다. (물론 이미 사용되었겠지만..) HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 에 실행을 막을 파일 이름을 악성코드 자신으로 지정한 것이다. 만약 악성코드가 삭제되면 해당 파일을 실행하면 오류가 발생한다. REGEDIT 나 AUTORUNS.EXE 로 키를 삭제해야한다. 하지만, AUTORUNS.EXE는 실행을 막고 있으므로 AUTORUN.EXE 과 같은 이름으로 변경해서 실행하면 된다.

한가지 알아둘 점은 이 샘플을 진단 못한다고해서 제품이 안 좋은건 아니라는 점이다. 이 샘플은 1989년 초에 발견된 한국산 최초의 바이러스인 Honey virus 의 드롭퍼로 트로이목마로 분류되어 한동안 V3 에도 추가되지 않았고 (예전에는 V3 는 바이러스만 추가되었음) 예전 플로피 디스크 정리하다가 발견되어 2006년 3월에 V3 에 반영된 샘플이다. 트로이목마를 실행한다고해도 현재 윈도우 환경에서는 제대로 실행되지도 않는다. 그냥 흥미차원에서 테스트 해 본것 ~