쿨캣의 블로그 놀이

요즘 고전게임하는데 한참 빠져있죠. - 정확하게는 고전게임 정리.. 지금 1992년 게임 정리 중입니다. 오래된 게임부터 하나씩 하고 있죠. 오늘 플레이한 게임은 세가 엔터프라이즈 (Sega Enterprises Inc.)의 1984년 작 Zaxxon 입니다. 어느 정도 나이가 있는 컴퓨터 사용자라면 해봤을 가능성이 높은 게임이죠. 좌우 뿐 아니라 높낮이가 있는 당시에는 혁신적인(?) 슈팅 게임입니다. 파일을 정리하다보니 실행 파일이 총 3개 나오더군요. (저도 다른 사람이 정리한걸 다시 정리하는거라...) 167ba69413c3312311d916b26b0c3f77 *zaxxon.com bd4908612f628879b513ab2c291fa375 *zaxxon.nosound.1984.com 26facda4..

제가 활동하는 카페에 들렸다가 삼성 임직원 아웃백 할인쿠폼(50%) 생성기란 프로그램을 접했습니다. 제작 날짜는 2007년 12월로 되어 있어 2년 전쯤에 작성된 프로그램이네요. 사람들 댓글을 보고.. 기대 없이 실행했습니다. 역시 결과는.... 퀵하게 봤는데.. 악성코드는 아닌 듯 합니다. 프로그램보면 2007년 12월 14일(금) 오후 2시 쯤에 만들었네요. 제작자가 직장인 이라면 점심 먹고... 문듯 아이디어가 생각나서 만들어본게 아닐까 생각합니다.

접수된 파일을 분석하다 몇 몇 제품에서 바이럿 바이러스(Virut virus)라고 진단이 되었습니다. 파일을 보니 윈도우 로그온에 사용되는 LOGONUI.EXE 파일이더군요. 파일을 비교해보니 과거 바이럿 바이러스에 감염되었다가 치료된 파일이었습니다. 바이러스에서 감염 여부를 확인할 때 사용하는 지문을 진단에 이용한 걸로 보이는데... 이런 진단 방법은 바이러스에 치료된 파일을 오진하는 문제가 발생할 수 있습니다.

- 파일이름 : is-61BTR.EXE - 파일길이 : 55,808 바이트 - MD5 : 16b9cad831ffb94dad8ac991f3bf1e4f 이노셋업을 이용해 패키지 설치시 설치되는 임시 파일입니다. ----------- 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.24 Backdoor.Win32.Hupigon!IK AhnLab-V3 2009.2.24.0 2009.02.24 - AntiVir 7.9.0.88 2009.02.24 BDS/Hupigon.aojt Authentium 5.1.0.4 2009.02.24 - Avast 4.8.1335.0 2009.02.24 Win32:Trojan-gen {Other} AVG 8.0.0.237 2009.02.24..

IEInspector의 IEWebDeveloperV2 모듈 정상입니다. - File size: 125440 bytes - MD5...: 471ed11e1d30767ec4fa49b1d060ef22 - SHA1..: 4a341663e03d36203f65384111781e68fac4fbc8 - SHA256: 6508260b7c67df8801235787a27253a189739dead9f2ad1bd1b3941ccb50c43f - SHA512: 56e11fd469eff44e4cc2de3b6684fe669ba9bfcf7b59cdd17f37fbd1997d504b 222fec0da51b0fa13ce1cbb16036572b2f26240b60aadb162dbd12e23988aebe 안티바이러스 엔진 버전 정의 날짜 검사 결..

대한약사회에서 배포하는 PM2000 v5 파일이라고 한다. - 파일이름 : svrhostc.exe 로 추정 - 파일길이 : 1,544,704 바이트 - MD5 : f34e7302fca6768905c16c11985e5cb3 UPX로 압축되어 있다. 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.73 2009.01.21 - AhnLab-V3 5.0.0.2 2009.01.21 - AntiVir 7.9.0.57 2009.01.20 - Authentium 5.1.0.4 2009.01.20 - Avast 4.8.1281.0 2009.01.20 - AVG 8.0.0.229 2009.01.20 - BitDefender 7.2 2009.01.21 - CAT-QuickHeal 10.00 2009..

VietKey2000 이라는 베트남어 관련 프로그램으로 베트남에서 문의가 들어왔다. * 파일 정보 File size: 78848 bytes MD5...: 84ad9adebd9fa8a2346b9f71d5d55605 SHA1..: bd7af32621f735bf12fe7b581c0a26d93d6a2125 현재 오진하고 있는 회사가 여럿있다. (2009.01.15 08:35:18 검사 결과) ---------------------------------------------------------------------------------- a-squared 4.0.0.73 2009.01.15 Virus.Win32.Agent.YIC!IK AhnLab-V3 2009.1.15.0 2009.01.15 - AntiVir ..

외국 보안 프로그램인 퍼펙트 디펜더 2009 (Perfect Defender 2009)를 테스트해보니 정상 파일을 오진하지는 않았다. 이에 프로그램을 더 살펴보니 시그니처 파일이 무료 공개 백신인 ClamAV 것으로 보인다. 재주는 곰이 부르고 돈은 주인이 챙긴다더니.... 설마 정식 라이센스일까 ? - 아. 그래도 껍데기는 만들었구나. 하지만, 배포 과정에 문제가 있는지 해외에서는 제거 방법에 대한 문의가 있었다.

cpqsetver.exe 는 HP 에서 제작한 파일이다. * 파일 정보 MD5 : a5e52c58c47e3233417a3816ff275607 파일길이 : 40,960 바이트 * 등록 정보 4.20.3.1 Hewlett-Packard CpqsetVer --------- 몇몇 제품에서 진단했다. 하지만, 수상한 코드를 찾을 수 없어 구글로 검색해봤다. CpqsetVer.exe 로 검색하면 진단했던 Avira 에서 오진임을 밝히고 있다. http://forum.avira.com/thread.php?postid=316513 하지만, 이건 2007년 얘기인데 왜 아직 진단할까했지만 VirusTotal의 검사 결과를 보면 2008년 1월 18일 결과였다. 다시 검사하니 진단되지 않았다. (여전히 몇몇 제품은 진단하..

LucasArts 게임들 저도 좋아합니다. 중학생 시절 원숭이 섬의 비밀 엔딩을 보고 '이제 컴퓨터 끄고 자라'는 메시지를 보고 그렇게 했었죠. 루카스아츠의 게임 엔진을 구현해주는 프로그램인 scummvm 이 있습니다. (http://www.scummvm.org/, 한국어 사이트 : http://scummkor.kldp.net/ ) 게임 구성이 어떻게 되는지 모르겠지만 타사에서는 진단되는에 V3 에서 진단안되는다는 파일이 들어왔는데 제가 분석한 바로는 오진입니다. 배치 파일을 실행 파일로 만들어주는 Quick Batch File Compiler 로 제작되었는데 내용은 다음과 같습니다. @echo off scummvm -f -n maniac ----------- @echo off scummvm -f -n ..

독일에서 걱정하는 어떤 사람이 샘플을 보냈는데... (아마도 우리에게만 보낸게 아니라 다른 회사에도 보낸거겠지 ?) 제품 구매자는 아니겠지만 한글이 아닌 영어로 설명을 읽으면서 샘플을 한번 봤는데... 정식으로 진단하는건 없고 대부분 의심스러움이나 패커 자체 진단이었다. 프로그램의 실체는... 시리얼넘버 생성 프로그램 물론 이 안에 몰래 꽁꽁 악성코드를 숨겨두었을지 모르겠지만... 테스트와 간단한 분석했을 때 악의적인 코드는 볼 수 없었다. 패커 진단의 문제점이라고할까.. 그래도 이런 비공식적인 패커는 언더그라운드에서 주로 사용되는거니.. 다 잡아버리는게 맞으려나 ?!

타사에서 진단된다며 들어온 파일인데 다음(Daum)에서 배포하는 정상 파일이다. (2007년 12월 11일 밤 현재) - 파일 : xmaninf.dll - 파일길이 : 193,888 바이트 - MD5 : d515651308270579e21e3f9742ba95b5

Reg2Exe 파일 파일길이 : 9,216 바이트 MD5 : 103d82155d97f288d1d2fb3c70c3a0dd 정상 파일이지만 V3 를 포함한 많은 보안 프로그램에서 오진했었다. AhnLabV3 : Win-Trojan/StartPage.9301 A-Squared : Trojan.Win32.StartPage.apq ALWIL avast! ashCmd : NO_VIRUS Avira AntiVir/Win32 : NO_VIRUS GRISoft AVG : Startpage.BLK Kaspersky Lab AVP32 : Trojan.Win32.StartPage.apq SOFTWIN AVXC/BDC : Trojan.Startpage.YR Doctor Web DrWebCL : Trojan.StartPage.2..

안티 바이러스 오진 문제는 항상 있었지만 샘플이 많이 증가하면서 상대적으로 샘플을 꼼꼼히 볼 시간이 부족하다보니 타업체의 진단을 참고하는데 한곳에서 오진하면 같이 오진이 나는 경우가 많다. - 파일길이 : 61440 bytes - MD5: 3a9bcde21a8d27f0c4b7f43615e0e821 해당 샘플은 안랩으로 2006년 11월 22일에 처음 샘플이 접수되었고 그때 정상파일로 분석되었다. 하지만, 이 샘플에 대한 재분석 요청이 들어왔는데 샘플을 봤는데 마더보드 (Mother Board) 관련 프로그램으로 보인다. 0000B054 0040B054 0 \auto.ini 0000B06C 0040B06C 0 SETUP%d 0000B074 0040B074 0 ============= 0000B090 004..

MMSadari.exe - 사다리게임으로 가장한 다운로더 - 파일이름 : MMsadari.EXE - 파일존재 : C:\Program Files\MMSadari\MMSadari.exe - 파일길이 : 721,408 - MD5 : 148afaf3eed47971087d44dc52c589da - V3 진단명 : Win-Trojan/Downloader.721408 (2007.09.07.00 이후 엔진) 사다리게임으로 나오는데 실제로는 사용자 모르게 neo4.exe (243,712 바이트)를 다운로드 한다. neo4.exe 는 특정 툴바를 다운로드 한다. 즉, 툴바를 사용자 모르게 설치하기 위해 사다리 게임으로 가장한 것이다. 당연히 한국에서 작성되었을테고 한가지 이상한건 포털 등에서 검색해보면 2007년 4월 부..

여러 백신 프로그램에서 악성코드로 진단하지만 모 회사에서 진행하는 한글키워드 서비스의 일종이다. 프로그램이 전형적인 다운로드 기능이 있어 대부분의 제품에서 트로이목마라고 진단하는데 개발회사 입장에서는 억울하겠지만 자신의 프로그램이 왜 악성코드로 오인 받는지 한번 생각해볼 필요가 있을 듯 싶다. 다음 사항이 있는 건 어떨까 ? 1. 파일 다운로드 할 때 사용자 동의 구함 (특히 실행 파일을 다운로드할 경우) 2. 파일 내 프로그램 이름, 목적, 회사, 연락처 표기 (이 파일에는 존재함) * VirusTotal 결과 Antivirus Version Last Update Result AhnLab-V3 2007.8.9.1 2007.08.09 Win-Trojan/Downloader.172032.F --> 제외 예..

안랩에서 강제 설정 파일(주로 기업체에서 사용)을 몇개 업체에서 진단한다. AutoIt 으로 작서되어서 인가 ? 해당 업체에는 제외 요청 메일을 보냈다. * 파일명: RunSu.exe * 파일길이 (File size) : 121,038 bytes * MD5 : e79c6b1c175c172eb24f8ca51d187356 -------------------- * 타백신 진단명 AhnLab-V3 2007.5.24.0 05.25.2007 no virus found AntiVir 7.4.0.27 05.25.2007 no virus found Authentium 4.93.8 05.23.2007 no virus found Avast 4.7.997.0 05.24.2007 no virus found AVG 7.5.0.4..