쿨캣의 블로그 놀이

한국시간으로 2007년 7월 27일 오전 다음과 같은 내용을 MSN 메신저로 받았다. MSN에서 경고없이 누가 당신을 삭제하였는지 알아 보십시오 http://*******.*****.tk 예전에 발생했던 일과 비슷하지 않는가 ?! [관련자료] - MSN 메신저를 이용한 사기 마케팅 http://xcoolcat7.tistory.com/82 이에 해당사이트에 접속해보니 구글 애드센스 광고도 보인다. 역시 애드센서 클릭수를 노린 사람의 짓인데 이제는 한글로도 보낼 줄 안다. 현재 파악중이다.

오늘 접수된 새로운 론다 웜은 자신의 블로그로 접속하게 한다. - 샘플코드 : EC07072600074-000001 - MD5 : cb0a07279af5c7f4d13f6c3e56a46587 - 파일길이 : 184441 - V3 진단명 : Win32/Ronda.worm (2007.07.27.00 이후 엔진) 접수된 파일이름은 co방어기.exe 였다. 아마도 카페 등에 게임 관련 유틸리티로 올리게 아닐까 싶다. 악성코드는 SVKP 로 압축되어 있으며 이 패커는 디버거나 모니터링 프로그램이 있으면 실행되지 않는다. 따라서, 분석하기 좀 까다롭다. 실행되면 특정 주소 (http://****.ze.to) 사이트로 접속을 시도한다. 2007년 7월 26일 오후 6시 12분 현재 오늘만 311명이 접속했다. 총 16..

2007년 7월 25일 오전에 MSN 메신저를 이용한 웜 등장 기사가 나왔다. - MSN 메신저를 이용한 웜 등장 http://www.ddaily.co.kr/news/news_view.php?uid=27092 - MSN 메신저 신종 웜 주의하세요. (머니투데이) http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2007072509483914628 MD5 : 6889bc7b62929dd98d29310e5fc73055 파일명 : pictures04.sc2513 파일크기 : 121,344 bytes V3 진단명 : Win32/Agent.worm.121344 (V3,진단버전:2007.07.24.01/치료버전:2007.07.24.01) [관련정보] http://www..

제가 가지고 있는 백신의 엔진(주로 DLL)과 시그니처 파일의 크기입니다. 부가적인 프로그램은 빠진 순수 엔진과 시그니처 길이 입니다. 압축 후에도 길이 비교해서 큰 변화없는건 이미 압축되어 있다는 얘기겠죠. Fortinet : 44 MB -> 44 MB (압축 추정) Trend : 35.2 MB -> 22.2 MB (미압축. 34.1 MB 시그니처 파일만 압축할 때 21.6 MB 로 줄어듬) Rising : 28.1 MB -> 24.2 MB (압축 추정. DLL 파일이 30개로 많음) V3 : 26.1 MB -> 14.4 MB Microsoft : 20 MB --> 18.6 MB (압축 추정) AntiVir : 18.3 MB --> 16 MB (압축 추정) F-PROT : 17.9 MB -> 8.6 M..

곰플레이어 개인정보 유출 의혹 사건 주) 본 글은 곰플레이어를 비난만 하는 글이 아닙니다. 곰플레이어측도 나름대로 이번 일로 고생 많이하고 있는 것으로 알고 있습니다. (개발자가 예전에 같이 일했던 분이고 그분도 소스코드까지 검토했다고 하더군요.) 다만, 사실 나열과 곰플레이어측에서 관련 글을 다 차단한건 분명 문제가 있는 행동이라 생각해서 이슈를 제기한 것입니다. 제가 개발자와 통화하면서 이점을 얘기했고 이후에 정책이 어떻게 변경되었는지는 모르겠습니다. 실수는 누구나 할 수 있은까요. ----------------------------------------------------- 2007년 7월 18일 "곰플레이어 이용자 70%가 성인물 본다."라는 기사가 나왔다. http://www.yonhapnew..

2007년 7월 18일 저작권 협회 사칭 악성코드 내용이 기사화되었다. [관련기사] - 소프트웨어저작권 사칭 악성 바이러스 유포 (이델일리) http://www.edaily.co.kr/news/stock/newsRead.asp?sub_cd=DB41&newsid=02043446583195832&clkcode=00203&DirCode=0030503&curtype=read - 저작권 협회 사칭하는 신종 바이러스 등장 http://www.segye.com/Service5/ShellView.asp?SiteID=&OrgTreeID=3118&TreeID=1051&PCode=0070&DataID=200707181043001157 www.spc.or.kr 에 접속하면 주의 공지가 떴다. - V3 진단명 : Win-Tro..

일시 : 2007년 5월 18일 시만텍 노턴 안티 바이러스에서 중국어 윈도우 XP SP2 파일인 netapp32.dll 과 lsass.exe 을 Backdoor.Haxdoor 로 오진했다. 벌써 꽤 시간이 지난 사건이지만 중국에서 시만텍을 상대로 소송을 준비 중이라는 얘기도 있다. 소성 관련 내용 : http://english.people.com.cn/200705/29/eng20070529_379005.html [관련 사이트] * 영어 http://sbin.cn/blog/2007/05/18/symantec-anti-virus-software-damages-system-files/ http://www.cisrt.org/enblog/read.php?100 http://isc.sans.org/diary.htm..

여러 안티 바이러스 프로그램으로 검사해 주는 바이러스토털 사이트가 개편했다. 뭔가.. 뽀사시해졌다.

최근에 중국에서 온라인 게임 계정 탈취에서 홈트레이드 대상의 중국 주식 계좌 탈취 프로그램이 기승을 부린다는 기사가 알려졌다. (현재 기사 검색 중) 안랩의 한 연구원이 중국의 보안업체에 문의해본 결과 2004년에 발견된 일이 있었다는 답장을 받았다고 한다. 해당 샘플 확인 결과 V3에서는 Win-Trojan/Delf.201216, Win-Trojan/Delf.236070 으로 진단되며 V3에 2004.12.03.00 엔진에 추가된 샘플이다. 즉 3년 가까이 된 샘플이라는 점이다. 중국 로컬 제품의 진단명은 다음과 같다. Jiangmin : Trojan.Spy.Stock, Trojan.Spy.Stock.a Rising : Trojan/PSW.Soufan, Trojan/PSW.Soufan 이전에도 이 문제..

* 샘플코드 : IK07061311568-000199 * 길이 : 24,785 * MD5 : 36af4b74ade9a895385ced6263e8b40b 악성코드의 프로그램 방해는 여러가지가 있지만 지금까지 못보던 방법이 나왔다. (물론 이미 사용되었겠지만..) HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 에 실행을 막을 파일 이름을 악성코드 자신으로 지정한 것이다. 만약 악성코드가 삭제되면 해당 파일을 실행하면 오류가 발생한다. REGEDIT 나 AUTORUNS.EXE 로 키를 삭제해야한다. 하지만, AUTORUNS.EXE는 실행을 막고 있으므로 AUTORUN.EXE 과 같은 이름으로 변경해서 실행하면 된다.

한가지 알아둘 점은 이 샘플을 진단 못한다고해서 제품이 안 좋은건 아니라는 점이다. 이 샘플은 1989년 초에 발견된 한국산 최초의 바이러스인 Honey virus 의 드롭퍼로 트로이목마로 분류되어 한동안 V3 에도 추가되지 않았고 (예전에는 V3 는 바이러스만 추가되었음) 예전 플로피 디스크 정리하다가 발견되어 2006년 3월에 V3 에 반영된 샘플이다. 트로이목마를 실행한다고해도 현재 윈도우 환경에서는 제대로 실행되지도 않는다. 그냥 흥미차원에서 테스트 해 본것 ~

* V3 진단명 : Win32/IRCBot.worm * 샘플코드 : EC07070303998-000001 * MD5 : 596fc1018ab4148924b92cf5f12c69ef * 파일 길이 : 64273 Mutex 부분에 PhatBot 2007 (0.4.2) "Release" on "Win32" 을 생성하는 악성코드가 있다. PhatBot ??!?! 예전에 많이 보던 이름인데 제작자가 잡혔지 않나 ? PhatBot 2007 로 주장하는데 과거의 PhatBot 의 영광을 이용한건지는 추가 확인이 필요할 것으로 보인다. 떨어지는 svc.dll 파일은 tftp.exe, ftp.exe 로 악성코드인 svc.exe 를 복사하는 것으로 보인다. * MD5 : 41a8e7d0b4c7b23cdefe412fc4965..

CALL FOR PAPERS AVAR 2007 10th Association of anti Virus Asia Researchers International Conference SEOUL Plaza Hotel, Korea November 29th & 30th, 2007 AVAR Conference is an annual event organized by the Association of anti Virus Asia Researchers since 1998. This conference will be a great opportunity to meet people in anti-virus and security industry and learn new technology information and stra..

2007년 6월 20일 바이러스체이서에서 Win32.HLLM.Limar.based 로 진단되는 웜이 메신저로 국내에 퍼지고 있다는 기사가 났다. V3 에는 작년에 추가된 Win32/Stration.worm.Gen 으로 기진단된다. [관련기사] - 뉴테크웨이브, MSN 메신저를 이용한 웜 주의보 http://www.pbj.co.kr/news/read.php?idxno=33550 - 뉴테크웨이브, 메신저 웜 주의 당부 http://www.etnews.co.kr/news/detail.html?id=200706200098 - 뉴테크웨이브, MSN 메신저 이용한 웜 '리마르' 주의 http://www.inews24.com/php/news_view.php?g_serial=267685&g_menu=020200 [파일..

지난주 (2007년 6월 15일)부터 net.exe, net1.exe 프로세스 점유율이 증가하는 문제가 접수되었다. 하지만, 2007년 6월 20일 문제를 발생시키는 것으로 보이는 악성코드가 발견된다. [관련기사] - 'net.exe', 'net1.exe' 경보, 전자신문 http://www.etnews.co.kr/news/detail.html?id=200706180190 여러 정보를 확인하면 다음 악성코드를 제거하면 문제가 사라진다고 한다. (V3 진단명 기준이며 2007.06.21.00 엔진에 추가) - Win-Trojan/AutoRun.27705 - Win-Trojan/Backdoor.221184

요즘 중국에서 제작되는 웜 중에 USB 드라이브를 통해 퍼지는 형태가 상당히 많다. 오늘 접수되어 Win32/Drom.worm 으로 이름 붙인(시만텍 진단명. 나머지 회사는 Autorun 과 같은 조금은 무의미한 진단명) 샘플 변형이 들어왔다. 아래와 같은 autorun.inf 를 생성해 USB 드라이브가 꽂힐 때 자동 실행을 유도한다. [autorun] open=Ghost.pif shellexecute=Ghost.pif shell\Auto\command=Ghost.pif shell=Auto C:\Program Files\Internet Explorer 폴더에 생성되는 romdrivers.dll은 아래와 같은 등록정보로 MS 관련 파일인것 처럼 위장한다. Microsoft Corporation Micro..

어제 올렸던 제품과 매우 흡사하죠 ?! http://xcoolcat7.tistory.com/trackback/88 참조 제작사를 방문했는데 두 회사의 회사 소개가 너무 흡사하네요. 흔히 허위 안티스파이웨어 제품 개발사들은 여러 업체를 만들고 유사 제품을 마구 배포하는 것으로 알고 있습니다. 문제가 많이 발생하면 한 업체를 그냥 없애버리면 되니까요. 제품 UI 도 비슷하고 제품 구성도 비슷하고 회사 홈페이지도 비슷하고 .... 회사 소개도 비슷하고... 같은 회사일까요 ? 아니면 우연히 같은 걸까요 ? 진실은 무엇일까요 ? 알고 있는 분은 답 좀....