쿨캣의 블로그 놀이

일시 : 2007년 5월 18일 시만텍 노턴 안티 바이러스에서 중국어 윈도우 XP SP2 파일인 netapp32.dll 과 lsass.exe 을 Backdoor.Haxdoor 로 오진했다. 벌써 꽤 시간이 지난 사건이지만 중국에서 시만텍을 상대로 소송을 준비 중이라는 얘기도 있다. 소성 관련 내용 : http://english.people.com.cn/200705/29/eng20070529_379005.html [관련 사이트] * 영어 http://sbin.cn/blog/2007/05/18/symantec-anti-virus-software-damages-system-files/ http://www.cisrt.org/enblog/read.php?100 http://isc.sans.org/diary.htm..

출처 : 정보보호 21c 2007.04 p.36 - 37 정보보호 직업들 - Chief Security Strategist - Security Engineer - Security Architect - Developer - Director, Information Security - Manager, Information Security - Threat Analyst - Security Researcher - Disater Recovery Coodinator - Forensics Engineer - Customer Service - Security Consultant - Technical Writer 주변에서 정보보호 업계에 관심을 가지는 사람들이 있는데 정보 보호도 분야가 굉장히 많아서 어디에 관심있냐고 부..

여러 안티 바이러스 프로그램으로 검사해 주는 바이러스토털 사이트가 개편했다. 뭔가.. 뽀사시해졌다.

최근에 중국에서 온라인 게임 계정 탈취에서 홈트레이드 대상의 중국 주식 계좌 탈취 프로그램이 기승을 부린다는 기사가 알려졌다. (현재 기사 검색 중) 안랩의 한 연구원이 중국의 보안업체에 문의해본 결과 2004년에 발견된 일이 있었다는 답장을 받았다고 한다. 해당 샘플 확인 결과 V3에서는 Win-Trojan/Delf.201216, Win-Trojan/Delf.236070 으로 진단되며 V3에 2004.12.03.00 엔진에 추가된 샘플이다. 즉 3년 가까이 된 샘플이라는 점이다. 중국 로컬 제품의 진단명은 다음과 같다. Jiangmin : Trojan.Spy.Stock, Trojan.Spy.Stock.a Rising : Trojan/PSW.Soufan, Trojan/PSW.Soufan 이전에도 이 문제..

* 샘플코드 : IK07061311568-000199 * 길이 : 24,785 * MD5 : 36af4b74ade9a895385ced6263e8b40b 악성코드의 프로그램 방해는 여러가지가 있지만 지금까지 못보던 방법이 나왔다. (물론 이미 사용되었겠지만..) HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 에 실행을 막을 파일 이름을 악성코드 자신으로 지정한 것이다. 만약 악성코드가 삭제되면 해당 파일을 실행하면 오류가 발생한다. REGEDIT 나 AUTORUNS.EXE 로 키를 삭제해야한다. 하지만, AUTORUNS.EXE는 실행을 막고 있으므로 AUTORUN.EXE 과 같은 이름으로 변경해서 실행하면 된다.

한가지 알아둘 점은 이 샘플을 진단 못한다고해서 제품이 안 좋은건 아니라는 점이다. 이 샘플은 1989년 초에 발견된 한국산 최초의 바이러스인 Honey virus 의 드롭퍼로 트로이목마로 분류되어 한동안 V3 에도 추가되지 않았고 (예전에는 V3 는 바이러스만 추가되었음) 예전 플로피 디스크 정리하다가 발견되어 2006년 3월에 V3 에 반영된 샘플이다. 트로이목마를 실행한다고해도 현재 윈도우 환경에서는 제대로 실행되지도 않는다. 그냥 흥미차원에서 테스트 해 본것 ~

* V3 진단명 : Win32/IRCBot.worm * 샘플코드 : EC07070303998-000001 * MD5 : 596fc1018ab4148924b92cf5f12c69ef * 파일 길이 : 64273 Mutex 부분에 PhatBot 2007 (0.4.2) "Release" on "Win32" 을 생성하는 악성코드가 있다. PhatBot ??!?! 예전에 많이 보던 이름인데 제작자가 잡혔지 않나 ? PhatBot 2007 로 주장하는데 과거의 PhatBot 의 영광을 이용한건지는 추가 확인이 필요할 것으로 보인다. 떨어지는 svc.dll 파일은 tftp.exe, ftp.exe 로 악성코드인 svc.exe 를 복사하는 것으로 보인다. * MD5 : 41a8e7d0b4c7b23cdefe412fc4965..

사실 50만개 돌파는 꽤 되었는데 진단수에 신경을 쓰지 않다보니 몰랐는데 2007.07.03.01 엔진 기준으로 진단수는 51만 8549 개 입니다. 오늘이나 내일 중으로 52만개 돌파하겠군요. 이제는 진단수에 무감각해지는... 단순 진단수보다는 고객에게 실제 피해를 입히는 녀석을 잘 진단하는게 중요하겠죠.

* M2 (http://ohoo.net/m2/) * 위치 : 홍대 (럭셔리 수 근방) - 행사 : be trendy (동아TV 이벤트 당첨) - 일시 : 2007년 6월 28일(목) 8시 30분 ~ - 무대 크기 : 일반적인 소규모 클럽 - 화장실 : 남녀 구분 확실. 남성 좌석 1개. 깨끗한 편 (굿 !) - 물건 맡김 : 2,000원. 바구니에 담아둠 * 바뀐 춤 문화 10년 전은 나이트클럽과 락 카페 세상이었다. 어쨌든 이제 확실한 30대에 들어서 클럽을 가게되었는데 조금 뻘쭘하다. 그건 2005년 당시 새내기의 "클럽에서 변태는 봤어도 아저씨는 못봤어요." 파문 때문이기도 하다. * m2 ... m2 ... 8시 30분이 훌쩍 지난 9시 쯤 이벤트 당첨으로 클럽에 들어갔다. 남성 잡지인 (이후 한..

CALL FOR PAPERS AVAR 2007 10th Association of anti Virus Asia Researchers International Conference SEOUL Plaza Hotel, Korea November 29th & 30th, 2007 AVAR Conference is an annual event organized by the Association of anti Virus Asia Researchers since 1998. This conference will be a great opportunity to meet people in anti-virus and security industry and learn new technology information and stra..

봉천동 성암식당 * 가격 소한마리 1 kg 39,000 원 * 찾아가는 길 나름대로(?) 미식가인 친구를 따라 집 근처인 서울대입구역 7번 출구쪽 '성암식당' 하지만 길을 찾아 헤맬 때 114에 전화해서 성암식당이라고 하니 등록안되어 있다고 했다. 성암축산 ? 성암정육 ? 그렇게 간판에는 적혀있었다. 7번 출구로 나와서 건널목 한번 건너서 왼쪽 길로 올라가다보면 재래식 시장이 나온다. 재래식 시장쪽으로 올라가서 갈림길에서 오른쪽으로 올라가다 다시 갈림길에서 왼쪽으로 가면 나왔다. (기억력 정확하겠지 ?!) * 음식평 일단 이곳은 싼 가격... 고기의 출처는 모르겠지만(...워낙 싸서) 5명이 소한마리 1 kg 을 먹었다. 소 한마리는 다양한 부위가 나왔고 맛있게 구워먹었다. 종업원은 동치미 국물을 칭찬했..

2007년 6월 20일 바이러스체이서에서 Win32.HLLM.Limar.based 로 진단되는 웜이 메신저로 국내에 퍼지고 있다는 기사가 났다. V3 에는 작년에 추가된 Win32/Stration.worm.Gen 으로 기진단된다. [관련기사] - 뉴테크웨이브, MSN 메신저를 이용한 웜 주의보 http://www.pbj.co.kr/news/read.php?idxno=33550 - 뉴테크웨이브, 메신저 웜 주의 당부 http://www.etnews.co.kr/news/detail.html?id=200706200098 - 뉴테크웨이브, MSN 메신저 이용한 웜 '리마르' 주의 http://www.inews24.com/php/news_view.php?g_serial=267685&g_menu=020200 [파일..

* 경품 도착 : 2007년 6월 20일(수) * 당첨 된 곳 : 야후 금융 설문 조사 ~ 오랫만에 거금 5만원에 당첨되었다. 야후 코리아와는 인연이 많아 꽤 많은 당첨이 되었다. (절대 메일로 안 알려줘서 이벤트 당첨되어서 알지만....) 아령도 곧 올듯 한데 그걸로 열심히 운동이나 해야지 ~

TLS 콜백을 이용해서 Entry Point 로 가기 전에 실행되는 악성코드나 패커가 등장하고 있다. 이에 TLS 와 관련된 정보는 다음과 같다. [관련 정보] http://blog.dkbza.org/2007/03/pe-trick-thread-local-storage.html

지난주 (2007년 6월 15일)부터 net.exe, net1.exe 프로세스 점유율이 증가하는 문제가 접수되었다. 하지만, 2007년 6월 20일 문제를 발생시키는 것으로 보이는 악성코드가 발견된다. [관련기사] - 'net.exe', 'net1.exe' 경보, 전자신문 http://www.etnews.co.kr/news/detail.html?id=200706180190 여러 정보를 확인하면 다음 악성코드를 제거하면 문제가 사라진다고 한다. (V3 진단명 기준이며 2007.06.21.00 엔진에 추가) - Win-Trojan/AutoRun.27705 - Win-Trojan/Backdoor.221184

검은집 Black House (2006) 2007.06.20 개봉 / 18세 이상 / 104분 / 공포,스릴러 / 한국 * 감 독 : 신 태라 * 출 연 : 황 정민(전준오), 강 신일(박충배), 유 선(신이화), 김 서형(장미나) * 공식홈페이지 : http://www.psychopath.co.kr/ (국내) * 20자평 : 우리 주위에 있는 사이코패스의 광란과 우리에게 주는 경고 * 개인평 : 보통 (기대를 너무 많이 했나 ? 다소 짧은 영화 시간과 그냥 사이코패스의 광기만 화면 가득) * 시사회장 황정민 씨 한국 영화 시사회라면 언제나 배우들의 무대 인사를 조금 기대한다. 이번에는 황정민씨가 나오셔서 인사했다. 다른 배우들 처럼 잘 부탁한다는 말과 특유의 순박함이 느껴졌다. (사실 2층 제일 뒷쪽이..

요즘 중국에서 제작되는 웜 중에 USB 드라이브를 통해 퍼지는 형태가 상당히 많다. 오늘 접수되어 Win32/Drom.worm 으로 이름 붙인(시만텍 진단명. 나머지 회사는 Autorun 과 같은 조금은 무의미한 진단명) 샘플 변형이 들어왔다. 아래와 같은 autorun.inf 를 생성해 USB 드라이브가 꽂힐 때 자동 실행을 유도한다. [autorun] open=Ghost.pif shellexecute=Ghost.pif shell\Auto\command=Ghost.pif shell=Auto C:\Program Files\Internet Explorer 폴더에 생성되는 romdrivers.dll은 아래와 같은 등록정보로 MS 관련 파일인것 처럼 위장한다. Microsoft Corporation Micro..

어제 올렸던 제품과 매우 흡사하죠 ?! http://xcoolcat7.tistory.com/trackback/88 참조 제작사를 방문했는데 두 회사의 회사 소개가 너무 흡사하네요. 흔히 허위 안티스파이웨어 제품 개발사들은 여러 업체를 만들고 유사 제품을 마구 배포하는 것으로 알고 있습니다. 문제가 많이 발생하면 한 업체를 그냥 없애버리면 되니까요. 제품 UI 도 비슷하고 제품 구성도 비슷하고 회사 홈페이지도 비슷하고 .... 회사 소개도 비슷하고... 같은 회사일까요 ? 아니면 우연히 같은 걸까요 ? 진실은 무엇일까요 ? 알고 있는 분은 답 좀....

주로 보는 샘플이 악성코드(바이러스, 웜, 트로이목마)이다보니 스파이웨어(애드웨어, 허위 안티 스파이웨어 포함)쪽은 크게 신경을 쓰지 못하는데 마침 다운로더 하나를 보게되었는데 이 샘플이 바로 허위 안티스파이웨어 제품을 사용자 몰래 설치하는 프로그램이다. 배포 제휴 업체에서 제작한 프로그램으로 보이며 해당 업체에 파트너 ID 와 설치된 시스템 MAC 어드레스를 보낸다. (껀당 얼마인지 ?! 그리고 맥어드레스를 넘기는건 좀 심한거 아닌가 ?!) 그래. 백번 양보해서 설치된 안티 스파이웨어 제품 성능이라도 좋다면 ..... 설치되자마자 자동으로 실행된다. 조금 시간 지나니까 악성코드 감염되었다며 당장 치료하라고 난리 난리 쳤다. 그런데.... 검사 내역을 확인했다. ADW-Win32.Alexa : 윈도우 설..

Love Revolution 처음 듣고 이거 모닝구 무스메 곡인데라는 생각이 들었죠. 역시 네이버에는 원곡과 현영 버전을 비교한 글들이 있었습니다. 2000년말에 발매되었으니가 벌써 7년된 노래네요. 개인적으로는 당시 모닝구가 최고 전성기가 아닐까 싶고.. 카코 아이, 츠지 노조미... 88, 87년생들... 따지고 보면 벌써 대학생이네요. 그때는 초등학생이었는데... (저는 이들과 동갑인 애들과도 술 한잔할 기회가 있으니... 거참) 모닝구 아가들의 다양한 귀여운 목소리들이 참 어울렸는데 헌영 목소리로 들으니 조금 어색하네요. (워낙 원곡에 익숙해져일까요 ?) 그냥 번안 수준이네요. 당시 모닝구의 특색이면 워우어 워우어, 예 ~ 이런 부분까지 똑같고 안무도 같네요. 그래도 은근히 중독성이 있네요. 어쨌..

* 기사 - 전국 법원망 바이러스 감염 '사고' http://www.inews24.com/php/news_view.php?g_menu=080204&g_serial=265892 - 법원 전산망 '바이러스' 다운, 8일 대부분 복구 http://www.inews24.com/php/news_view.php?g_serial=265927&g_menu=020200 * VirusTotal 검사 결과 (2007년 6월 8일 오전) 발견 당시부터 많은 제품에서 진단되지 않았다. 또한 진단되는 제품도 치료를 못하고 삭제하거나 치료하면 파일이 깨지는 경우도 존재했다. STATUS: FINISHEDComplete scanning result of "cvftp.exexx", received in VirusTotal at 06...

http://asert.arbornetworks.com/2007/04/free-antirootkit-software/

안랩에서 강제 설정 파일(주로 기업체에서 사용)을 몇개 업체에서 진단한다. AutoIt 으로 작서되어서 인가 ? 해당 업체에는 제외 요청 메일을 보냈다. * 파일명: RunSu.exe * 파일길이 (File size) : 121,038 bytes * MD5 : e79c6b1c175c172eb24f8ca51d187356 -------------------- * 타백신 진단명 AhnLab-V3 2007.5.24.0 05.25.2007 no virus found AntiVir 7.4.0.27 05.25.2007 no virus found Authentium 4.93.8 05.23.2007 no virus found Avast 4.7.997.0 05.24.2007 no virus found AVG 7.5.0.4..

2007년 5월 21일 MSN 메신저를 통해 아래와 같은 내용이 뿌려졌다. xxx 님의 말: www.whoadmit****.com

virus.gr 에서 2007년 4월 테스트 결과가 나왔습니다. http://www.virus.gr/english/fullxml/default.asp?id=85&mnu=85 virus.gr 은 명확한 인증기관이 아닌 언더그라운드 성격이 강하고 공정성과 신뢰도에 대한 이슈가 많이 제기되고 있지만 그런 부분은 여러번 언급되었고 안랩 제품 진단율이 낮게 나온게 또 사실이니 이런 저런 확인 중에 다음 사실을 되었습니다. 오늘 확인된 바로는 테스트된 V3 의 경우 스파이웨어 검사는 안하고 바이러스만 검사 했다고 하네요. Malware 샘플 수는 총 12,463개이고 V3 진단율은 22.18 % 나왔습니다. Malware = Adware, DoS, Constructors, Exploit, Flooders, Nuke..