이번에는 글 보내고 바로 실렸네요.

- 대한민국을 변화시킨 악성코드 10가지
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=18999&dir_group_dist=0


다행히(?) 내용도 크게 변경되지 않았습니다.

다음은 야동과 악성코드에 대해 쓸 생각입니다.
부제.. 안전한 야동 다운로드... ?!

해당 칼럼이 결혼 전 마지막 칼럼이 되지 않을까 합니다.
지연되면 이 글이 마지막 글이 될 수도 있겠죠.






신고
Posted by mstoned7

댓글을 달아 주세요

  1. MaJ3stY 2012.02.06 16:17 신고  댓글주소  수정/삭제  댓글쓰기

    다음 글 흥미롭네요 ㅋ

  2. 카레 2012.02.14 08:03 신고  댓글주소  수정/삭제  댓글쓰기

    즐겁게 잘봤습니다. 다음 글 은 어떻게 될지 궁금합니다.^^;

  3. 2012.02.18 08:17  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  4. 30대 숫총각 2012.02.18 08:21 신고  댓글주소  수정/삭제  댓글쓰기

    인터넷에 youtube와 같이 널렸는데
    다운로드 받는 놈들이 어리석음
    윈도우에 익스플로어에 백신,방화벽도 않 쓰면서 바이러스 걱정?하는 것은 더 어리석음

  5. 2012.02.18 08:39  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • mstoned7 2012.02.19 10:50 신고  댓글주소  수정/삭제

      제 기억에 댓글 지운적은 없구요 (그렇다면 실수 였을 겁니다.) 답변은 요즘 이런저런 이유로 블로그 접속 자체를 잘 안해서 최근에는 다른 분들도 거의 댓글 못 달았습니다. 이해해주세요 ^^

  6. 30대 숫총각 2012.02.18 08:44 신고  댓글주소  수정/삭제  댓글쓰기

    막으면 또 생기겠지만...
    그래도 외국어 사이트들이랑 ncity, 소xx...
    ...
    정부나 기관들에서 좀 막아주시면 좋겠네요...
    ...
    구글링에서 나온 ncity는 쪽바리계인 것 같은...
    ...
    바이러스 투성인 p2p,웹하드 쓰는 종족들도 인터넷을 차단시켜 버려야...


 - 커져가는 시그니처, 어디에 보관할까?
http://kr.ahnlab.com/info/securityinfo/secuinfo/newSecuNewsView.ahn?category=001&mid_cate=001&cPage=2&seq=15381


제목이... 흠..
원래 이글은 과거 악성코드 샘플을 어떻게 처리할 것인가에 대한 질문과 답에 대한 글이었습니다.
그러다보니 악성코드 진단 데이터를 담고 있는 시그니처 얘기가 나오고..
증가되는 시그니처 크기에 대한 내용으로 바뀌어 버렸습니다.

사실 글 쓰면서 주제가 바뀌어서....
제 자신도 혼란스러웠다는... ㅎ


신고
Posted by mstoned7

댓글을 달아 주세요

  1. 백냥 2009.12.09 09:55 신고  댓글주소  수정/삭제  댓글쓰기

    네.그러게요. 과연 어떻게 보관할까 하고 읽다보니...요점이 벗어난거 같긴했습니다. ^^;;;;
    늘 감사히 구독하고 있습니다.

  2. 하나뿐인지구 2009.12.13 08:43 신고  댓글주소  수정/삭제  댓글쓰기

    고민중이신가요? 해결이 되어가시는 중이신지? 흠...

  3. 철이 2010.01.16 21:18 신고  댓글주소  수정/삭제  댓글쓰기

    답은 클라우드!! 100메가를 1kb로 압축하지 못한다면 클라우드가 정답일듯.

2007년 8월 22일 오전 국내에 새로운 메신저 웜이 발견되었다.

- V3 진단명 : Win32/Fuas.worm.81408
- 엔진 : 2007.08.22.01 이후

- 샘플코드 : EC07082100063-000001
- MD5 : 3cc4dfe64efd52d43fa15d1fc3b86344
- 파일길이 :  81,408 바이트


MSN 메신저로 전파시 사용되는 문구

OMG I broken my foot, look!
Is this you?
Accept dis picture homie
Hahahahahahahaha
look @ my new car
Look @ my new house
Did you see this picture of Paris Hilton?
OMG, this picture is so sad :(
Look how cute we look in this picture?
Should I tag you in this picture?
Hey, check out my new picture
Are you going to accept this?
Look at this image!!!
LoL, have you seen this?
Hi, did you see this picture from our summer?

신고
Posted by mstoned7

댓글을 달아 주세요

오늘 접수된 새로운 론다 웜은 자신의 블로그로 접속하게 한다.

- 샘플코드 : EC07072600074-000001
- MD5 : cb0a07279af5c7f4d13f6c3e56a46587
- 파일길이 : 184441
- V3 진단명 : Win32/Ronda.worm (2007.07.27.00 이후 엔진)

접수된 파일이름은 co방어기.exe 였다.
아마도 카페 등에 게임 관련 유틸리티로 올리게 아닐까 싶다.

악성코드는 SVKP 로 압축되어 있으며 이 패커는 디버거나 모니터링 프로그램이 있으면 실행되지 않는다. 따라서, 분석하기 좀 까다롭다.

실행되면 특정 주소 (http://****.ze.to) 사이트로 접속을 시도한다.

2007년 7월 26일 오후 6시 12분 현재 오늘만 311명이 접속했다.
총 16025 명 접속.

글은 달랑 1개 올라와있기 때문에 악성코드에 감염된 사용자 수가 아닐까 싶다.

사용자 삽입 이미지

자신의 블로그로 접속을 시도하는 론다 웜 변형


[증상]

- C:\boot.ini 파일을 변경해 안전모드(Safe Mode)로 부팅

c:\boot.ini 의 부팅 관련 설정을 변경해 (/safeboot:minimal 추가) 무조건 안전모드로 부팅되게 함

- 윈도우 9X, 윈도우 XP 에 맞게 작성되어 윈도우 2000에서는 에러 발생

아마도 내부 버그로 보이는데 파일을 찾을 수 없다는 에러가 발생함

다음과 같은 문자열을 포함하고 있다.
"Ronda VIrus - Error _ 404"
"Don't mess with me..., You want to die,.."

[복구방법]

1. 백신으로 진단 치료 혹은 실행된 악성코드를 찾아 삭제

등록되는 레지스트리 키값

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = 실행된 파일명

2. boot.ini 에 등록된 /safeboot:minimal 삭제

boot.ini 에서 /safeboot:minimal 을 제거해야지 안전모드로 부팅되지 않는다. 하지만, boot.ini 파일은 히든 속성을 가지고 있어 수정하기 힘들다.

1) 도스창(명령프롬프트, cmd.exe)을 연다.
2) ATTRIB -R -H -S -A C:\BOOT.INI 입력
3) BOOT.INI 수정
4) 재부팅
신고
Posted by mstoned7

댓글을 달아 주세요

  1. 2007.08.03 17:38 신고  댓글주소  수정/삭제  댓글쓰기

    으ㅡㅡ 프루나에서 받다가날라갔다는


2007년 7월 18일 저작권 협회 사칭 악성코드 내용이 기사화되었다.

[관련기사]

- 소프트웨어저작권 사칭 악성 바이러스 유포 (이델일리)
http://www.edaily.co.kr/news/stock/newsRead.asp?sub_cd=DB41&newsid=02043446583195832&clkcode=00203&DirCode=0030503&curtype=read

- 저작권 협회 사칭하는 신종 바이러스 등장
http://www.segye.com/Service5/ShellView.asp?SiteID=&OrgTreeID=3118&TreeID=1051&PCode=0070&DataID=200707181043001157


www.spc.or.kr 에 접속하면 주의 공지가 떴다.

사용자 삽입 이미지

SPC에 접속했을 때 볼 수 있는 공지





- V3 진단명 : Win-Trojan/Xema.45568.B (2007.07.10.02 이후)
- 파일길이 : 45,568 바이트
- MD5 : 9838406911e0d20e367e92ac9a89b95a

V3 에 추가된건 2007년 7월 10일 이후 엔진이라 8일이나 지난 지금 기사화되어서 과연 동일 샘플인지 새로운 변형인지는 확실하지 않다.


* Virus Total 검사결과 (2007년 7월 18일 15시 15분 현재)

Antivirus Version Last Update Result
---------------------------------------------------------
AhnLab-V3 2007.7.18.0 2007.07.18 Win-Trojan/Xema.45568.B
AntiVir 7.4.0.42 2007.07.17 TR/Agent.45568.6
Authentium 4.93.8 2007.07.18 no virus found
Avast 4.7.997.0 2007.07.17 no virus found
AVG 7.5.0.476 2007.07.17 Generic5.IJU
BitDefender 7.2 2007.07.17 Generic.Malware.SN!!hid.E1027B44
CAT-QuickHeal 9.00 2007.07.17 (Suspicious) - DNAScan
ClamAV devel-20070416 2007.07.18 no virus found
DrWeb 4.33 2007.07.18 WIN.SCRIPT.Virus
eSafe 7.0.15.0 2007.07.17 suspicious Trojan/Worm
eTrust-Vet 30.8.3790 2007.07.17 no virus found
Ewido 4.0 2007.07.17 no virus found
FileAdvisor 1 2007.07.18 no virus found
Fortinet 2.91.0.0 2007.07.18 W32/Gen!worm.p2p
F-Prot 4.3.2.48 2007.07.17 no virus found
F-Secure 6.70.13030.0 2007.07.17 P2P-Worm.Win32.gen
Ikarus T3.1.1.8 2007.07.18 Win32.SuspectCrc
Kaspersky 4.0.2.24 2007.07.18 P2P-Worm.Win32.gen
McAfee 5076 2007.07.17 W32/Generic.worm!p2p
Microsoft 1.2704 2007.07.17 no virus found
NOD32v2 2404 2007.07.17 probably unknown NewHeur_PE virus
Norman 5.80.02 2007.07.17 no virus found
Panda 9.0.0.4 2007.07.17 Suspicious file
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.18 VIPRE.Suspicious
Symantec 10 2007.07.18 Bloodhound.W32.5
TheHacker 6.1.7.148 2007.07.16 W32/gen
VBA32 3.12.2 2007.07.17 no virus found
VirusBuster 4.3.23:9 2007.07.17 no virus found
Webwasher-Gateway 6.0.1 2007.07.17 Trojan.Agent.45568.6


신고
Posted by mstoned7

댓글을 달아 주세요

요즘 중국에서 제작되는 웜 중에 USB 드라이브를 통해 퍼지는 형태가 상당히 많다.

오늘 접수되어 Win32/Drom.worm 으로 이름 붙인(시만텍 진단명. 나머지 회사는 Autorun 과 같은 조금은 무의미한 진단명) 샘플 변형이 들어왔다.

아래와 같은 autorun.inf 를 생성해 USB 드라이브가 꽂힐 때 자동 실행을 유도한다.

[autorun]
open=Ghost.pif
shellexecute=Ghost.pif
shell\Auto\command=Ghost.pif
shell=Auto


C:\Program Files\Internet Explorer 폴더에

생성되는 romdrivers.dll은 아래와 같은 등록정보로 MS 관련 파일인것 처럼 위장한다.

   Microsoft Corporation   Microsoft Corporation Windows DLL

신고
Posted by mstoned7

댓글을 달아 주세요

* 기사

- 전국 법원망 바이러스 감염 '사고'
http://www.inews24.com/php/news_view.php?g_menu=080204&g_serial=265892

- 법원 전산망 '바이러스' 다운, 8일 대부분 복구
http://www.inews24.com/php/news_view.php?g_serial=265927&g_menu=020200


* VirusTotal 검사 결과 (2007년 6월 8일 오전)

발견 당시부터 많은 제품에서 진단되지 않았다. 또한 진단되는 제품도 치료를 못하고 삭제하거나 치료하면 파일이 깨지는 경우도 존재했다.

STATUS: FINISHEDComplete scanning result of "cvftp.exexx", received in VirusTotal at 06.08.2007, 05:50:20 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.07.2007  no virus found
AntiVir 7.4.0.32 06.07.2007  no virus found
Authentium 4.93.8 05.23.2007  no virus found
Avast 4.7.997.0 06.07.2007  no virus found
AVG 7.5.0.467 06.07.2007 Win32/Alman
BitDefender 7.2 06.08.2007 Dropped:Win32.Almanahe.B
CAT-QuickHeal 9.00 06.07.2007  no virus found
ClamAV devel-20070416 06.07.2007  no virus found
DrWeb 4.33 06.08.2007  no virus found
eSafe 7.0.15.0 06.06.2007  no virus found
eTrust-Vet 30.7.3701 06.07.2007 Win32/Almanahe.F
Ewido 4.0 06.07.2007  no virus found
FileAdvisor 1 06.08.2007  no virus found
Fortinet 2.85.0.0 06.08.2007 suspicious
F-Prot 4.3.2.48 06.07.2007  no virus found
F-Secure 6.70.13030.0 06.08.2007 Virus.Win32.Alman.b
Ikarus T3.1.1.8 06.07.2007  no virus found
Kaspersky 4.0.2.24 06.08.2007 Virus.Win32.Alman.b
McAfee 5048 06.07.2007 W32/Almanahe.c
Microsoft 1.2503 06.08.2007  no virus found
NOD32v2 2317 06.07.2007 Win32/Alman.NAB
Norman 5.80.02 06.07.2007  no virus found
Panda 9.0.0.4 06.08.2007 Suspicious file
Prevx1 V2 06.08.2007  no virus found
Sophos 4.18.0 06.01.2007  no virus found
Sunbelt 2.2.907.0 06.07.2007  no virus found
Symantec 10 06.08.2007 W32.Almanahe.B!inf
TheHacker 6.1.6.130 06.06.2007  no virus found
VBA32 3.12.0 06.07.2007 Trojan-Downloader.Win32.Agent.bsi
VirusBuster 4.3.23:9 06.07.2007  no virus found
Webwasher-Gateway 6.0.1 06.08.2007 no virus found

--------------

2007년 6월 13일 검사 결과
(더 많은 업체에서 진단됨)

AhnLab-V3 2007.6.12.2 06.12.2007 Win32/Alman.C
AntiVir 7.4.0.32 06.13.2007 W32/Almanahe.C
Authentium 4.93.8 06.12.2007  no virus found
Avast 4.7.997.0 06.12.2007  no virus found
AVG 7.5.0.467 06.13.2007 Win32/Alman
BitDefender 7.2 06.13.2007 Dropped:Win32.Almanahe.B
CAT-QuickHeal 9.00 06.12.2007 (Suspicious) - DNAScan
ClamAV devel-20070416 06.12.2007  no virus found
DrWeb 4.33 06.13.2007 Win32.Alman
eSafe 7.0.15.0 06.12.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3714 06.12.2007 Win32/Almanahe.F
Ewido 4.0 06.12.2007  no virus found
FileAdvisor 1 06.13.2007  no virus found
Fortinet 2.85.0.0 06.13.2007 W32/Alman.B
F-Prot 4.3.2.48 06.12.2007  no virus found
F-Secure 6.70.13030.0 06.13.2007 Virus.Win32.Alman.b
Ikarus T3.1.1.8 06.13.2007 Virus.Win32.Alman.b
Kaspersky 4.0.2.24 06.13.2007 Virus.Win32.Alman.b
McAfee 5051 06.12.2007 W32/Almanahe.c
Microsoft 1.2503 06.13.2007  no virus found
NOD32v2 2325 06.12.2007 Win32/Alman.NAB
Norman 5.80.02 06.12.2007  no virus found
Panda 9.0.0.4 06.13.2007 Suspicious file
Prevx1 V2 06.13.2007  no virus found
Sophos 4.18.0 06.12.2007  no virus found
Sunbelt 2.2.907.0 06.09.2007  no virus found
Symantec 10 06.13.2007 W32.Almanahe.B!inf
TheHacker 6.1.6.132 06.11.2007  no virus found
VBA32 3.12.0.1 06.12.2007 Trojan-Downloader.Win32.Agent.bsi
VirusBuster 4.3.23:9 06.12.2007 Win32.Alman.B
Webwasher-Gateway 6.0.1 06.13.2007 Win32.Almanahe.C


신고
Posted by mstoned7

댓글을 달아 주세요

* 출처

http://swbae.egloos.com/tb/1522499

* 일본 번역 기사

http://j2k.naver.com/j2k_frame.php/korean/itpro.nikkeibp.co.jp/article/NEWS/20070306/264036/?ST=security


예전 Apple iPod 기기에 발견된 악성코드와 유사한 사건으로 보인다.
다행히 V3에서 기진단되는 샘플이다.

-----

* 정보

- V3 진단명 : Win32/Xema.worm.47104 (2006.06.28.00 엔진에 추가)
- MD5 : 3779e1cbfd20a5e300e15eccbed54b2a
- 길이 : 47,104


타백신 진단명은 다음과 같다.
(윽.. MS 가 진단을 못하네. 씹기 좋아하는 사람들에게는 또 입에 오를 수 있겠구먼...)

AntiVir   Worm/Delf.AJ.13
Avast!   Win32:Delf-AQT [Wrm]
AVG   Downloader.Generic2.RPB (Trojan horse)
BitDefender   Trojan.Agent.LM
ClamAV   Worm.Delf-21
Command   W32/Sillyworm.RE (exact)
Dr Web   Trojan.MulDrop.3780
eSafe   Trojan/Worm [101] (suspicious)
eTrust-VET   Win32/Bypuss.A
eTrust-VET (BETA)   Win32/Bypuss.A
Ewido   Worm.Delf.aj
F-Prot   W32/Sillyworm.RE
F-Secure   Worm.Win32.Delf.aj
F-Secure (BETA)   Worm.Win32.Delf.aj
Fortinet   W32/SillyFDC.AJ!worm
Fortinet (BETA)   W32/SillyFDC.AJ!worm
Ikarus   Worm.Win32.Delf.aj
Kaspersky   Worm.Win32.Delf.aj
McAfee   W32/USBAgent
McAfee (BETA)   W32/USBAgent
Microsoft   -
Nod32   Win32/Delf.AJ worm
Norman   W32/Delf.OMO
Panda   Adware/Look2Me
Panda (BETA)   Adware/Look2Me
QuickHeal   Worm.Delf.aj
Rising   Trojan.Spy.UsbSpy.a
Sophos   W32/SillyFDC-C
Symantec   W32.SillyFDC
Symantec (BETA)   W32.SillyFDC
Trend Micro   WORM_DELF.EFF
Trend Micro (BETA)   WORM_DELF.EFF
UNA   Worm.Win32.Delf 
VBA32   Worm.Win32.Delf.aj
VirusBuster   Worm.Delf.TZU
WebWasher   Worm.Delf.AJ.13
YY_Spybot   -



신고
Posted by mstoned7

댓글을 달아 주세요

몇몇 온라인 게임 계정 탈취 프로그램은 키로거를 막기 위한 보안 프로그램을 무력화하기 위해
메모리 패치를 하지 않고 파일을 바꿔치기해서 변경하는 것으로 보인다.

프로그램의 메모리 내용 변경 방지 기능 때문이 아닐까 싶다.

최근에 분석하는 샘플 중 마이키디펜스 방해를 방해하는 파일과 동일한 샘플이 발견되었다.

%windir%\Downloaded Program Files\AKLMGame.ocx (13,824 바이트)


V3 에서는 Win-Trojan/Diskey.13824 로 진단된다.
Diskey는 Disable MyKeyDefense 에서 따왔다고 한다.

이 샘플은 안랩의 키로깅 방지 프로그램인 마이키디펜스가 설치안되는 문제에서 발견되었다.


신고
Posted by mstoned7

댓글을 달아 주세요

사용자 삽입 이미지

V3 진단명 : Win32/IRCBot.worm
MD5 : AD99BFACD166264CA50CCD40BF4670E5
길이 : 214528

메시지 내용)
 
Dear Symantec: For years I have longed for just one thing, to make malware with just the right sting, you detected my creation and got my domains killed, but I will not stop, I can rebuild. P.S. Fuck you assholes, especially Stephen Doherty who is the biggest faggot I know of.

 
신고
Posted by mstoned7

댓글을 달아 주세요