728x90
반응형

악성코드 362

Vaccine 에서 V3 까지 (도스 버전 V3)

백신 시리즈입니다. 순서는 백신(Vaccine) -> 백신2 (Vaccine) -> V2Plus -> V3 -> V3+ -> V3+ Neo 입니다. 먼저 1988년 Brain 바이러스 퇴치를 위해 제작된 백신(Vaccine) 프로그램입니다. 1989년 발견된 LBC 바이러스를 퇴치하기 위해 백신 II (Vaccine II)가 제작됩니다. 예루살렘 바이러스(Jerusalem virus)가 발견되면서 파일을 검사 할 수 있는 기능이 추가된 백신2 플러스 (V2Plus) 1.0 입니다. V2Plus 의 진단법 등을 새롭게 개선한 백신3(Vaccine III, 줄여서 V3) 입니다.정식버전은 37개 바이러스를 진단/치료 할 수 있었습니다. 1995년 안철수컴퓨터바이러스연구소(헉.. 길다)가 만들어지면서 어셈블리..

내 tistory 블로그로 악성코드가 배포 ?! (2) 패킷 분석편

페북 모님으로 부터 패킷을 받았습니다.(다시 한번 감사합니다.) fiddler에서 사용하는 saz 이군요.(실제 파일은 zip 파일입니다.) 1. fiddler 설치 fiddler은 .Net 을 필요로 합니다.윈도우 7에서는 닷넷 4.x가 포함되어 있으니(저는 별도 설치한 기억이 없으니) fiddler v4 버전을 설치합니다. http://www.telerik.com/download/fiddler 에서 다운로드 합니다. 회사에서는 대체로 자동화된 시스템에서 샘플이 수집 되어서 패킷을 보는 경우는 많지 않은데 요즘은 fiddler 를 많이 사용하더군요. 몇 번 사용 안 해봐서 아직 익숙하지는 않습니다. 2. saz 열기 [File] -> [Load Archive]로 saz 파일을 엽니다. 그럼 주고 받은 ..

내 tistory 블로그로 악성코드가 배포 ?! (1)

* 2014년 3월 15일 tistory가 차단 당했는데요. 이에 대한 분석 내용입니다. 일반분은 이번 내용만 보면 되고 분석가 혹은 분석에 관심 있는 분들은 그 다음 글도 읽으시면 됩니다. 2014년 3월 15일 블로그에 글 올리려고 들어왔더니 파이어폭스(Firefox)가 차단해 버립니다. '오진인가.. 아니면 티스토리나 포함된 플러그인으로 악성코드가 배포되나'하는 생각이 들더군요. 아무래도 이렇게 라이브한건(?) 처음보다 보니 신기해서 [차단 이유 상세 정보]를 클릭해 봅니다.하지만, 이쪽 일을 하는 저도 헷갈리는 문구 뿐이네요. (...) 제 블로그가 악성코드를 배포한적은 없고 실제 악성코드는 다른 곳(happy*.co.kr, car*.net)에서 배포 -> 1개 도메인(allb*.net)이 그 악..

사진관에서 발견한 몇 가지 보안 문제

2014년 3월에 공개된 칼럼은 '사진관에서 발견한 몇 가지 보안 문제' 입니다. http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=22263&dir_group_dist=0 어느 순간 부터 칼럼이 다음과 같이 흘러가는 듯 합니다.어디감 -> 일상에서 보안 문제 발견 -> 걱정이다 -.-;;; 이번도 그런데... 50일 된 아기 사진을 찍으러(50일 밖에 안된 아기를 왜 !!!!) 사진관에 갔다가 경험한 일입니다 사실 개인 병원이나 사진관 같은 조그마한 (그래도 종업원 10명 가까이 되는) 사업장은 보안이 엉망입니다.내부는 컴퓨터로 운영되도록 했지만 거의 외주 줬을 테고 그 외주 업체가 보..

2 KB 초미니 백도어(?) 분석 과정

해킹 사건이 있었습니다. - The Plague" returns to deface EC Council websitehttp://blogs.csoonline.com/malwarecybercrime/3010/plague-returns-deface-ec-council-website 관련 악성코드가 알려졌습니다. - md5 : fb0cafbd79778b50ae884af1164b9c2b- filesize : 2,048 달랑 2 KB ! 그래서 처음에는 다운로더가 아닐까 생각했습니다. (하지만 이런 예상은 빗나가곤 합니다.) 난이도가 낮고 일반적으로 쉽게 접하기는 어려운 형태의 샘플입니다.그래서, 앞으로 신입 사원 교육 때 이 샘플을 사용할까 합니다. 분석 결과가 인터넷에 있네라고 할 수 있지만 분석가에게는 단순 ..

주식거래시스템 해킹 시연의 반응 그리고 아쉬운 점

2014년 2월 14일(금) 국회 헌정기념관에서 정보보호산업 육성과 인재양성을 목적으로 K·BoB 시큐리티 포럼 창립총회 및 기념세미나가 개최되었다고 합니다. 여기서 개인 컴퓨터로 주식거래를 하는 주식거래시스템(Home Trading System)에 대한 공격 시연이 있었습니다. - 주식거래시스템 취약점 해킹시연 영상 (데일리시큐, 2014년 2월 14일)http://www.dailysecu.com/news_view.php?article_id=6211 시연, 반응 그리고 언론 보도를 보면서 몇가지 생각이 들어서 정리해 봤습니다. 1. 악성코드 이용한 해킹 * 악성코드를 이용한게 아니라고 합니다. 따라서 아래 내용은 이번 시연과 상관이 없습니다. 동영상을 보면 HTS 시스템에 악성코드를 감염시켜 해킹 한 ..

걸프전은 최초의 사이버 전쟁일까?

신문 기사에서 걸프전이 최초의 사이버전이라는 내용을 보고 "또 !"라는 생각이 들었습니다. 제가 알기로 걸프전 때 미국에서 바이러스로 이라크 방공망을 무력화 했다는건 사실이 아니라고 알고 있었죠. 내용을 한번 정리해 봐야 겠다고 생각해 자료 조사를 해봤습니다. - 걸프전은 최초의 사이버 전쟁일까?http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=22158&dir_group_dist=0 생각보다 시간이 오래 걸린건 사실 유무 확인이었습니다. 1. 인포월드의 1991년 4월 1일 만우절 장난 내용은 알고 있었고 구글신의 도움으로 당시 기사까지 확보 했습니다. 2. 1992년 1월 미국의 US..

Amazon에서 보낸 걸로 가장한 Your invoice 메일 분석 (1)

2014년 1월 30일 네이버로 메일 한통 왔습니다 'Your Invoice xxxx@naver.com' 그리고 report.450205.zip 파일이 첨부되어 있습니다.바로 악성코드라는 느낌이 왔습니다. 메일 헤더는 다음과 같습니다. 1월 31일(금) 설날 오후 60일 지난 아기 때문에 고향에 못 내려가고 집에서 뒹구르르하다가 어제 받은 악성코드나 한번 봐야지 생각했죠.zip 파일을 풀면 report.exe 가 있습니다. md5는 3b292522fd8e51eda5bca943db90a4c6 https://www.virustotal.com/ko/file/c6bd553a6b3714de53dd7f889b6468bb3d371945506ec247489dfad13326a1b7/analysis/ 아차... 어제 출근..

여기는 고전 악성코드 분석 입니다.

2014년 1월 30일 설날 전날 회사 출근해서 정신 없이 100개 가까운 샘플을 처리했죠. 다 처리하고 엔진 빌드 시켜놓고 V3 엔진 소스코드 잠깐 보다가 눈에 띄는 옛날 악성코드가 보였습니다. '그때는 시간도 없고 실력도 부족해 제대로 분석 못했는데...' 라는 생각이 들었죠. 그러다가 문득 생각이 떠올랐습니다. 바로 ... 재미있었던(?) 1990년대-2000년대 초의 추억의 악성코드를 다시 분석해서 정리해보자 !!!! 다음과 같은 기준을 정해봤습니다. 1. 대상은 1990년 대 - 2000년 대 초 고전 악성코드 고전 악성코드 기준을 어떻게 정할까... 생각해 봤는데 바이러스 제작자들이 DOS에서 윈도우로 넘어가는 과도기 시절의 악성코드인 1990년대 말에서 2000년 대 초가 아닐까 생각됩니다...

FireEye, Mandiant 인수로 본 업계 변화

* 악성코드 분석가 입장이라 단편적으로 볼 수 있어 놓치는 부분이 분명이 있을 겁니다. 2014년 1월 2일 새해 첫 출근 후 사람들과 대화하다가 미국의 보안회사인 Mandiant 얘기를 했습니다.많은 보안회사가 그러하듯 Mandiant도 유명하지만 적자로 회사가 어렵다고 하더군요.보안관제와 포렌식을 주로 하지만 미국쪽도 소프트웨어 만큼 남기는 어려운가 봅니다. 그리고, FireEye Announces Acquisition of Mandiant가 떴습니다. http://www.fireeye.com/news-events/press-releases/read/fireeye-announces-acquisition-of-mandiant FireEye가 Mandiant를 인수했습니다. FireEye가 전통적인 백신..

한컴 오피스 2014 설치 파일 내 제품 번호 보관 문제

* 한컴오피스 시리얼넘버 노출…라이선스 관리 비상 (전자신문, 2013년 12월 23일자)http://www.etnews.com/news/computing/security/2890271_1477.html 한번 확인해 봤습니다. 한컴 오피스 2014 홈 에디션을 구매하면 2014HancomDN_Home.exe를 다운로드 합니다. 2014HancomDN_Home.exe 실행하면 실제 설치 파일을 다운로드 할 수 있습니다. 제품 번호를 입력하면 다운로드 경로에 파일을 다운로드 합니다. 다운로드한 파일을 별도 보관하고 있다 생각나서 설치하려고 Install.exe를 실행해 봤습니다. 제품 번호 입력하려고 패키지 찾아 키를 가지고 있었는데 어라 ?!제품 번호가 자동으로 입력되어 있네요. 분명 어떤 파일이 보관되어..

엔하위키에서 말하는 백신 프로그램 평가

백신 회사에서 일하는 사람이라면 이런 고민(?)에 빠지게 됩니다."왜 우리 회사 제품은 진단을 잘못할까 ?" 그런데, 업체 사람들을 만나다보면 다들 똑같은 생각을 하더군요.경쟁사는 잘하는데 자사는 못하는 것처럼 느낄 수 밖에 없는게 잘하는건 고객 항의(!)가 잘 안들어오겠죠. 건담 정보를 찾다가 종종 들어가본 엔하위키에서 백신 프로그램에 대한 평이 있더군요.일반인이 얼마나 알겠어하는 생각으로 글을 봤는데... 역시 잉여력(?) !! 틀린 내용도 조금 있지만 잘 정리되어 있다.(몇몇 부분은 업계에 있지 않으면 알기 힘든 내용도 있다는) 잘 알지 못했던 여러 제품의 장단점과 오진 사례에 대해서 잘 정리되어 있네요. * 국내 제품 (회사 이름과 제품이 혼재)- 에브리존 : http://mirror.enha.k..

애플 비트코인 채굴 가짜 소문

애플에서 2009년 부터 비트코인 채굴 기능이 포함되었다는 hoax가 돌고 있다고 합니다.Apples secret mining feature 라는 내용입니다. 내용을 보면 확 깹니다. 바로 sudo rm -rf /* 관리자 모드에서 파일 싹 지워버리는거죠.(Mac 아니 Unix 계열이 보안 철저하다고 알려져있지만 root 권한에는 딱히 대책 없습니다.) 이걸 실제로 따라한 사람들이 있었나 봅니다. http://www.dailydot.com/lifestyle/apple-secret-bitcoin-mining-feature/ 비트코인 필요하신 분은 직접 채굴 프로그램 다운로드 받아서 사용하시면 됩니다.

[기사] OS 없는 컴퓨터와 악성코드 감염 관계

2013년 10월 11일 여러 언론 매체를 통해서 다음과 같은 기사가 보도되었습니다. - 운영체제 없는 '깡통PC' 잘못 구매했다가는… (조선일보, 2013년 10월 11일)http://review.chosun.com/site/data/html_dir/2013/10/11/2013101103142.html?life - 깡통PC 구입자, 100% 불법복제SW 사용한다 (머니투데이, 2013년 10월 11일)http://news.mt.co.kr/mtview.php?no=2013101111273421827 운영체제가 없는 시스템을 구매하면 아무래도 불법복제 유혹이 커지니 불법복제 부분은 공감이 됩니다. 그런데, 갑자기 악성코드 감염이 나옵니다. 정품 소프트웨어 사용을 안하다보니 악성코드 감염 비율이 높다는 얘기..

728x90
반응형