쿨캣의 블로그 놀이

국내에 무료 백신 출시가 붐이다. 개인용 백신 시장의 대부분을 차지하고 있던 안랩의 입장에서는 아쉽지만(?) 시대의 흐름 같다. - 메가닥터 (http://megadoctor.megapass.net/part4/main.jsp, 메가패스 사용자에게 제공. 바이러스체이서(닥터웹) + PC지기 엔진) - Avast! (http://www.avast.com/eng/download-avast-home.html, 체코 Alwil 사의 개인 무료버전, 특이하게 한글판이 있음) - 알약 (http://alyac.altools.co.kr/main, 알툴바 설치 되므로 필요 없으면 제외 가능, 비트디펜더 + PC지기 엔진) - 야후! 툴바 실시간 무료 백신 (야후에서 '무료백신'으로 검색, 바이러스체이서(닥터웹) + PC..

- 파일 이름 : svsupdates.exe - 파일길이 : 75,736 - MD5 : 19482fa125f3364078c34331365798a0 팩은 처음 보는건데 OllyDbg 와 프로세스 뷰어를 강제 종료해서 압축을 풀어보니 전형적인 악성 IRCBot 이더군요. 바이러스 토털 검사 결과를 보니 아무도 진단 안하네요. 어.. 27일에 최초 검사된 샘플이군요. 안랩은 한국시간으로 2007년 12월 27일 오후 3시 58분에 국내 고객으로 부터 접수 받았습니다. 제가 샘플을 본게 28일 저녁이고 다시 검사해보니 현재까지도 어떤 업체도 진단하지 않네요. (한국 시간으로는 밤 늦게 검사했지만 이곳 시간으로는 오후 1시 10분이군요) 잘 작동하는 샘플인데 하루가 지나도 어떤 업체도 진단 못하는 샘플. 아쉽게도..

최근 온라인게임 게정 탈취 트로이목마는 계속 변하고 있습니다. 예전에는 델파이로 작성된 형태가 많았지만 언어도 다양하고 패커도 Upack 이 많았는데 다양해지거나 패커(Packer)를 진단하니 패커되지 않은 샘플도 많았죠. 문자열 중 일부를 암호화하는 형태는 많았지만 관련 문자를 거의 암호화하는 형태는 처음봅니다. (물론 제가 처음 보는 샘플이겠지만) 코드는 안 봤지만 딱보니 암호화된 문자열로 보이네요. (경험으로 인한 느낌)

2007년 9월 14일 금요일 대량 네트워크 패킷 발생으로 많은 문제가 있었다. 이 악성코드는 Win-Trojan/Eldo 로 명명되어 졌다. 자세한 정보 : http://kr.ahnlab.com/info/smart2u/virus_detail_10407.html 해당 악성코드는 Win32/Virut 바이러스가 다운로드 받아 온 것으로 알려졌다.

http://www.ddaily.co.kr/news/news_view.php?uid=32185 후지제록스 디지털복합기에서 악성코드가 발견되었다는 보도이다. 가능성은 두가지 있다. 첫째, 윈도우와 리눅스 모두에서 활동하는 악성코드 둘째, 후지제록스 디지털복합기 하드디스크에 악성코드 복사 윈도우에서 활동하는 악성코드가 네트워크로 연결되어 있는 디지털복합기 하드디스크로 그냥 악성코드가 복사된 것일 수 있다. ---------- 샘플을 확보해야 할 것으로 보인다.

타사에서 진단된다며 들어온 파일인데 다음(Daum)에서 배포하는 정상 파일이다. (2007년 12월 11일 밤 현재) - 파일 : xmaninf.dll - 파일길이 : 193,888 바이트 - MD5 : d515651308270579e21e3f9742ba95b5

책 저자인 Peter Szor 가 직접 싸인을 해서 책을 줬다. 난 단지 싸인을 받을 수 있을까 했는데 이런게 책을 보내주다니.. 그래서 보답으로 한국 전통 목각 인형을 Yoshihiro 편으로 보내줬다.

오래된 악성코드인 해디펜더(V3 진단명 Win-Trojan/HackDef)가 기사화되었다. 내용의 요점은 PC 의 C 드라이브를 통째로 숨겨버리는 악성코드라는 점이다. 파일길이 : 64,000 bytes MD5 : 6fbe299c0207a5a3dcf92eb95a31da42 [관련기사] http://www.inews24.com/php/news_view.php?g_serial=299431&g_menu=020200

http://www.boannews.com/media/view.asp?idx=8273&kind=0 이번 AVAR 2007 Seoul에 CEO 와 개발자가 왔다. - Dr. Web 이 아닌 뉴테크웨이브 소속으로 참석했다. 인터뷰 기사를 보면 러시아 (넓게 동부유럽)쪽에서 왜 안티 바이러스가 강세인지 비슷한 생각을 하는 것으로 보인다. 교육 인프라, 수학 등.... 그리고 한국은 외부와 단절되어 자국민으로만 제품을 개발하고 있는 한계점(?)도 있지 않을까 ? 유럽, 미국 업체들은 세계 각지의 개발자들이 옮기면서 다른 기술도 수용하는 편이다.

악성코드 역사 2000년이 3개월 만에 나왔습니다. 그동안 이런 저런 이유로 바빠서 이제야 글을 올리게되었네요. 안랩 홈페이지에 있습니다. 악성코드 역사 2000년

중국에서 영화 색계 관련 악성코드가 퍼지고 있다고 합니다. - 영화 인기에 '색계 바이러스'도 급속 유포 (전자신문) http://www.etnews.co.kr/news/detail.html?id=200711190099 - 중국은 지금 '색계 바이러스' 경보 중 http://www.nownewsnet.com/news/newsView.php?id=20071119601005 하지만, 예상한것 처럼 엄청나게 퍼진 것도 아니고 바이러스도 아닙니다. 자바 스크립트로 작성되어 취약점을 이용해 사용자 시스템에 다른 악성코드를 떨어뜨립니다. 다운로드되는 관련 실행파일형은 총 10개 정도되는 것으로 알려있습니다. V3는 2007.11.21.00 엔진에 아래와 같은 진단명으로 추가되었습니다. (앞에 파일명은 MD5 값입니..

일부 시게이트의 하드디스크에서 악성코드가 발견되었다. 다행히 V3에도 진단이 되는 샘플이다. Antivirus Version Last Update Virus Name AhnLab-V3 2007.10.2.0 2007.10.01 Dropper/OnLineGameHack.21042 한가지 흥미로운건 중국정부의 음모설 얘기도 나오는데 다음과 같은 점 때문에 가능성이 떨어진다.1. 게임 계정 탈취 트로이목마 해당 악성코드의 목적은 온라인 게임 계정 탈취이다. 중국정부에서 의도적으로 했다면 왜 온라인 게임 계정을 탈취할까? 주요 문서를 빼가는게 맞지 않을까? 2. 기진단 샘플 안랩은 해당 샘플 받지도 않았으며 확인해보니 V3에는 2007.06.23.01엔진에서 추가된 샘플이다. 정말 중국정부에서 의도적으로 진행했다..

Jerry 님의 랜섬웨어 업체 마이컴고(MyComGo)를 보면 자료를 숨기고 돈을 요구하는 사례가 있었습니다. http://mireenae.com/157 세계일보에 기사도 났네요. '멋대로 실행..파일 숨기고.. 돈 달라고? PC 보안프로그램 황당한 보안' http://www.segye.com/Service5/ShellView.asp?TreeID=1052&PCode=0007&DataID=200711021638000174 이에 마이컴고측은 공지사항을 통해 2007년 11월 7일 애드웨어로 분류되었으며 자사와 협의가 없었으므로 법적대응을 준비중이며 고객들에게 안철수연구소로 전화해 항의해달라는 내용의 글을 올렸습니다. http://www.mycomgo.com/customer/notice/content.jsp?..

OMG just accept please its only some pics!!라는 내용으로 확산되는 메신저 웜 2007년 11월 5일 외국에서 처음 보고되었으며 국내에는 2007년 11월 6일 오전에 보고되었다. - 파일명 : image24.zip (image24-www.photobucket.com 포함) - 파일길이 : 압축 푼 파일 길이는 10,752 바이트 - MD5 값 : 633fc2332287108885ba0633efd81601 V3 진단명 : Win32/IRCBot.worm.10752.E

- Costin Rair - Virus Bulletin 1999.12 p.14 - 15 루마니아 태생. BadSectors.3428 바이러스에 감염되면서 바이러스를 분석해 치료하는 프로그램 개발 MSCAN (Main Scan)을 제작해 루마니아 BBS를 통해 배포하고 이후 GeCAD와 함께 상업용 프로그램인 Romanian AntiVirus (RAV) 제작. 이후 회사는 RAV를 마이크로소프트사에 팔고 Costin 은 Kaspersky 로 옮겨 현재 Kaspersky 연구소 루마니아 연구소장을 하고 있음. 불행히(?) 나와는 동갑이며 사교성이 많은 편으로 보여 여러 사람들과 잘 어울림. 개인적으로 친분이 있음. 루마니아 가면 잘해줄거라 생각됨 ~ - Eddy Willems - Virus Bulletin ..

허위 안티스파이웨어 업체들이 경찰에 적발되었다. 보안프로그램 알고보니 '악성코드' http://www.hani.co.kr/arti/society/society_general/247125.html '날도둑' 컴퓨터 보안업체 http://www.segye.com/Service5/ShellView.asp?TreeID=1052&PCode=0007&DataID=200710311657000234 이런 사실은 아는 사람은 다 알았지만 교묘하게 법을 위한하는 사람들이기 때문에 경찰에서도 정말 조사를 많이 했을테니 늦장 수사라고 비난하기 보다 빨리 법개정이 되어야 할 듯 싶다. 그리고, 이들 업체는 보안업체가 아니라 사기 업체이다.ps. 어머니께서 기사를 보시더니 "너희 회사는 괜찮냐 ?"라고 하시네요. 윤리경영으로 유..

Reg2Exe 파일 파일길이 : 9,216 바이트 MD5 : 103d82155d97f288d1d2fb3c70c3a0dd 정상 파일이지만 V3 를 포함한 많은 보안 프로그램에서 오진했었다. AhnLabV3 : Win-Trojan/StartPage.9301 A-Squared : Trojan.Win32.StartPage.apq ALWIL avast! ashCmd : NO_VIRUS Avira AntiVir/Win32 : NO_VIRUS GRISoft AVG : Startpage.BLK Kaspersky Lab AVP32 : Trojan.Win32.StartPage.apq SOFTWIN AVXC/BDC : Trojan.Startpage.YR Doctor Web DrWebCL : Trojan.StartPage.2..