쿨캣의 블로그 놀이

http://www.zdnet.co.kr/news/network/security/0,39031117,39169379,00.htm ZDNet Korea에 난 기사 인데 2007년에 11월에 올린 '정품의 안정성' 이란 글을 참조해서 작성된 기사이다. (물론 기자분이 저자의 동의를 받은 내용이다.) 원본 출처 http://kr.ahnlab.com/info/securityinfo/virusNIFocusVirus_View.ahn?news_dist=02&site_dist=01&category=VNI003&mid_cate=001&sub_cate=&cPage=3&seq=11281&key=&related= 참고로 해당 내용도 Virus Bulletin, 바이러스 뉴스 1,2 호 등 다양한 글을 참조해서 작성되었다.

2008년 5월 23일 오전부터 'Adobe사 고소장 접수에 대한 안내문'이란 제목의 메일이 배포된다. -> 5월 23일(금)보다 더 일찍 배포가 된 것으로 확인되었습니다. 첨부된 파일 정보 - 고소장접수결과보고.zip 내 고소장접수결과보고.exe - 파일길이 : 69,306 바이트 - MD5 : 26151dd2af6c3f572d15b54ff58e1b04 V3 진단명 : Dropper/Zepik.69306 http://kr.ahnlab.com/info/smart2u/virus_detail_15953.html?svccode=ac3001&contentscode=024 제작지는 중국이며 한국내 사용자를 대상으로 메일이 발송된 것으로 보인다.

2008년 4월 무비스트에서 사과문을 올렸다. http://www.movist.com/comm/view.asp?table=notice&id=107&page=1&sort= 내용은 그동안 자사의 홈페이지가 악성코드 유포에 이용된 점에 대한 사과이다. 단발성 대처인지 잠재적 문제점을 해결했는지는 더 지켜봐야할 것이다. 물론 무비스트만의 문제는 아니고 많은 사이트가 계속 문제를 가지고 있지만 이렇게 적극적으로(?) 해결하려는 업체는 많지 않다. 무비스트의 용기와 노력에 박수를... (짝!짝!짝!)

이스트 소프트에서 알약 기업용을 출시했다. 통합운영 관리 솔루션과 함께 기업용 확장 DB는 업무상 불필요한 프로그램들을 제거한다고 한다. (게임, 증권 관련 프로그램이지 않을까 ?) [관련기사] - 이스트소프트, 알약 기업용 제품 출시 http://itnews.inews24.com/php/news_view.php?g_serial=325780&g_menu=020200&fm=rs - 이스트소프트, '알약' 기업용 제품 출시 http://www.ddaily.co.kr/news/news_view.php?uid=36772

http://mtc.sri.com/live_data/av_rankings/ 처음 들어보는 곳인데 자체 허니팟으로 구축된 생생한(?) 샘플들을 대상으로 진단 테스트를 했습니다. in-the-wild 샘플도 중요하지만 한달이라는 기간, 하루에 2,500 개 이상 발견되는 현재 시점에서 현재 활동하는 악성코드에 대한 진단율은 테스트는 의미있겠죠. 물론 여기에도 한계는 있습니다. 어느 정도 공신력을 얻기 위해서는 허니팟 수나 분포 지역 등이 넓어야겠죠. 안랩은 1030개 파일 중 134개를 미진단해 87% 진단율로 32개 업체중 14위에 올랐네요.

[기사] - HP, 악성코드 담긴 USB 출하 http://www.zdnet.co.kr/news/network/security/0,39031117,39167651,00.htm 발견된 악성코드는 시만텍 진단명이다. [V3 진단명] 안랩에서 보유 중인 해당 진단명의 샘플을 찾아 검새해보니 모두 기진단되었다. (2007년 1,2월 발견된 과거 악성코드들) 단, 정확하게 발견된 악성코드가 어떤 샘플인지는 추가 확인이 필요할 것으로 보인다. Fakerecy\9fb40000.aa2 - Win-Trojan/Recycled.20480 Fakerecy\9fb40001.97b - Win-Trojan/Recycled.20480 Fakerecy\9fb40002.bfe - Win-Trojan/Recycled.20480 Fake..

최근 개인고객 대상의 무료 백신이 유행하고 있다. 이에 국내 무료 백신 현황을 정리해봤다. 이스트 소프트 알약 이전에도 외국 개인용 무료 제품과 초고속인터넷 사용자 대상의 무료 제품이 존재했었다. * 2007년 11월 이스트 소프트 알약 배포 * 2008년 1월 21일 - 이스트 소프트 알약 사용자 200만명 돌파 http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2008012112082166354&outlink=1 * 2008년 1월 27일 - NHN PC 그린 시범 서비스 시작 * 2008년 3월 27일 - 하우리 NHN 에 바이로봇 엔진 공급 계약 http://www.boannews.com/media/view.asp?idx=9216&kind=1 * 20..

cpqsetver.exe 는 HP 에서 제작한 파일이다. * 파일 정보 MD5 : a5e52c58c47e3233417a3816ff275607 파일길이 : 40,960 바이트 * 등록 정보 4.20.3.1 Hewlett-Packard CpqsetVer --------- 몇몇 제품에서 진단했다. 하지만, 수상한 코드를 찾을 수 없어 구글로 검색해봤다. CpqsetVer.exe 로 검색하면 진단했던 Avira 에서 오진임을 밝히고 있다. http://forum.avira.com/thread.php?postid=316513 하지만, 이건 2007년 얘기인데 왜 아직 진단할까했지만 VirusTotal의 검사 결과를 보면 2008년 1월 18일 결과였다. 다시 검사하니 진단되지 않았다. (여전히 몇몇 제품은 진단하..

2008년 3월 21일 금요일 미래에셋 DDoS 공격이 발생했다. 본인도 미래에셋을 이용하는데 사이트가 접속되지 않았는데 이후 기사를 통해 공격 사실을 알았다. [관련기사] - 해킹당한 미래에셋…해커들 5000만원 대가 요구 http://www.dt.co.kr/contents.html?article_no=2008032102019960713002 - 보안 허술 미래에셋 "DDoS 공격은 예견된 결과" http://itnews.inews24.com/php/news_view.php?g_serial=319819&g_menu=020200 - 미래에셋 DDoS 공격 피해 '인재' http://www.dt.co.kr/contents.html?article_no=2008032402010351713002 관련 기사를 보..

http://www.newsva.co.kr/uhtml/read.jsp?idxno=295075&section=S1N5&section2=S2N232 대통령 출국 일정.xls 을 첨부 파일로 배포되었다. 주로 정부 기관으로 보내진 것으로 보인다. V3에서는 W97M/Exploit-OleData 로 진단된다. 최근에 발생한 오피스 취약점을 이용한 문서이다 .

팀으로 온 메일을 분류하던 중 주소를 보고 쓰러졌다. 그건 바로... 안철수연구소 '17인치대흥센터' 푸하하... '시큐리티대응센터'를 전화로 듣고 타이핑하다가 '17인치대흥센터'로 했나보다. 17인치대흥센터.. 17인치대흥센터. 아주 대박이었다. 17인치 대응하려면... 17인치 모니터 ?! 17인치... 뭐가 또 있나 ㅎㅎㅎ

새로운 국산 안티 바이러스라는 이름으로 '새싹'이라는 프로그램이 2008년 3월 4일 마침내 공개되었다. http://www.sessak.com/ 문구로 보면 독자 엔진으로 예상되어 기대(?) 했다. 하지만, 베타 버전의 경우 ClamAV라는 오픈소스 기반의 안티 바이러스 프로그램 엔진과 시그니처를 이용한 것으로 확인되었다. http://www.clamav.org/ 물론, 아직 베타이고 향후 어떻게 발전할지 알 수 없다. ClamAV를 기반으로 했지만(하지만, 어느 선까지 기반으로 했는지는 확인해봐야겠지만 이걸 누가 하겠는가 ?) 한국실정에 맞게 대폭 수정할 지 ClamAV 시그니처 + 자체 시그니처로 갈지 혹은 듀얼 엔진으로 갈지. 새싹 개발자들만이 알 것이다. ------------- 몇몇 분들이 새..

록스라는 신종 바이러스에 대한 기사가 나왔다. http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2008030311150034835 확인 결과 해당 바이러스는 V3에서 디스크젠(Win32/Diskgen) 변형으로 확인되었다.

팀내 분석가 중에서 흥미로운(?) 샘플을 발견했다. 아마도 10대로 추정되는 학생이 만든 것으로 보인다. 배치 파일을 Quick Batch File Compiler 로 EXE 파일로 만들었다. 배치 파일은 Fucker!!! Ahnlab V3 Internet Security 란 메시지를 여러번 출력하고 CMD 를 여러번 실행한다. 이후 안랩의 스마트업데이트를 강제 종료시키고 파일을 삭제한다. - 파일이름 : SMART.EXE (변경될 수 있음) - 파일길이 : 150,734 바이트 - MD5 : 3188f561faad1469b178a523a8f76ad5

LucasArts 게임들 저도 좋아합니다. 중학생 시절 원숭이 섬의 비밀 엔딩을 보고 '이제 컴퓨터 끄고 자라'는 메시지를 보고 그렇게 했었죠. 루카스아츠의 게임 엔진을 구현해주는 프로그램인 scummvm 이 있습니다. (http://www.scummvm.org/, 한국어 사이트 : http://scummkor.kldp.net/ ) 게임 구성이 어떻게 되는지 모르겠지만 타사에서는 진단되는에 V3 에서 진단안되는다는 파일이 들어왔는데 제가 분석한 바로는 오진입니다. 배치 파일을 실행 파일로 만들어주는 Quick Batch File Compiler 로 제작되었는데 내용은 다음과 같습니다. @echo off scummvm -f -n maniac ----------- @echo off scummvm -f -n ..

독일에서 걱정하는 어떤 사람이 샘플을 보냈는데... (아마도 우리에게만 보낸게 아니라 다른 회사에도 보낸거겠지 ?) 제품 구매자는 아니겠지만 한글이 아닌 영어로 설명을 읽으면서 샘플을 한번 봤는데... 정식으로 진단하는건 없고 대부분 의심스러움이나 패커 자체 진단이었다. 프로그램의 실체는... 시리얼넘버 생성 프로그램 물론 이 안에 몰래 꽁꽁 악성코드를 숨겨두었을지 모르겠지만... 테스트와 간단한 분석했을 때 악의적인 코드는 볼 수 없었다. 패커 진단의 문제점이라고할까.. 그래도 이런 비공식적인 패커는 언더그라운드에서 주로 사용되는거니.. 다 잡아버리는게 맞으려나 ?!

- '침묵의 뱅커' 바이러스 공격에 비상 걸린 은행들 (연합뉴스) http://www.yonhapnews.co.kr/economy/2008/01/18/0303000000AKR20080118096200009.HTML - 네이버 뉴스 http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=001&aid=0001928730 해당 기사는 18일 캐나다에서 나온 얘기가 국내에 알려졌다. 관련 내용은 1월 14일 시만텍 블로그에 처음 올려졌다. - Banking in Silence http://www.symantec.com/enterprise/security_response/weblog/2008/01/banking_in_silence.html - Ban..