쿨캣의 블로그 놀이

[기사] 미백악관 전산망 중국 해커에 '또 뚫렸다(!)' 는 제목으로 뉴스에 떴다. http://www.cbs.co.kr/Nocut/Show.asp?IDX=842332 하지만, 아쉽게도(?) 기자가 착각 한것으로 보인다. 이 사건은 이미 5월 22일 경에 발생한 사건으로 사이트 중단은 5월 30일 이뤄졌다. 하지만, 해킹된 사이트는 백악관이 아니라 백악관 패러디 사이트이다. 미국 백악관 사이트는 http://www.whitehouse.gov 로며 해킹된 사이트는 http://www.whitehouse.org 로 현재 백악관은 정상적으로 사이트가 뜬다.

2008년 5월 23일 오전부터 'Adobe사 고소장 접수에 대한 안내문'이란 제목의 메일이 배포된다. -> 5월 23일(금)보다 더 일찍 배포가 된 것으로 확인되었습니다. 첨부된 파일 정보 - 고소장접수결과보고.zip 내 고소장접수결과보고.exe - 파일길이 : 69,306 바이트 - MD5 : 26151dd2af6c3f572d15b54ff58e1b04 V3 진단명 : Dropper/Zepik.69306 http://kr.ahnlab.com/info/smart2u/virus_detail_15953.html?svccode=ac3001&contentscode=024 제작지는 중국이며 한국내 사용자를 대상으로 메일이 발송된 것으로 보인다.

[기사] - HP, 악성코드 담긴 USB 출하 http://www.zdnet.co.kr/news/network/security/0,39031117,39167651,00.htm 발견된 악성코드는 시만텍 진단명이다. [V3 진단명] 안랩에서 보유 중인 해당 진단명의 샘플을 찾아 검새해보니 모두 기진단되었다. (2007년 1,2월 발견된 과거 악성코드들) 단, 정확하게 발견된 악성코드가 어떤 샘플인지는 추가 확인이 필요할 것으로 보인다. Fakerecy\9fb40000.aa2 - Win-Trojan/Recycled.20480 Fakerecy\9fb40001.97b - Win-Trojan/Recycled.20480 Fakerecy\9fb40002.bfe - Win-Trojan/Recycled.20480 Fake..

2008년 3월 21일 금요일 미래에셋 DDoS 공격이 발생했다. 본인도 미래에셋을 이용하는데 사이트가 접속되지 않았는데 이후 기사를 통해 공격 사실을 알았다. [관련기사] - 해킹당한 미래에셋…해커들 5000만원 대가 요구 http://www.dt.co.kr/contents.html?article_no=2008032102019960713002 - 보안 허술 미래에셋 "DDoS 공격은 예견된 결과" http://itnews.inews24.com/php/news_view.php?g_serial=319819&g_menu=020200 - 미래에셋 DDoS 공격 피해 '인재' http://www.dt.co.kr/contents.html?article_no=2008032402010351713002 관련 기사를 보..

http://www.newsva.co.kr/uhtml/read.jsp?idxno=295075&section=S1N5&section2=S2N232 대통령 출국 일정.xls 을 첨부 파일로 배포되었다. 주로 정부 기관으로 보내진 것으로 보인다. V3에서는 W97M/Exploit-OleData 로 진단된다. 최근에 발생한 오피스 취약점을 이용한 문서이다 .

록스라는 신종 바이러스에 대한 기사가 나왔다. http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2008030311150034835 확인 결과 해당 바이러스는 V3에서 디스크젠(Win32/Diskgen) 변형으로 확인되었다.

팀내 분석가 중에서 흥미로운(?) 샘플을 발견했다. 아마도 10대로 추정되는 학생이 만든 것으로 보인다. 배치 파일을 Quick Batch File Compiler 로 EXE 파일로 만들었다. 배치 파일은 Fucker!!! Ahnlab V3 Internet Security 란 메시지를 여러번 출력하고 CMD 를 여러번 실행한다. 이후 안랩의 스마트업데이트를 강제 종료시키고 파일을 삭제한다. - 파일이름 : SMART.EXE (변경될 수 있음) - 파일길이 : 150,734 바이트 - MD5 : 3188f561faad1469b178a523a8f76ad5

- '침묵의 뱅커' 바이러스 공격에 비상 걸린 은행들 (연합뉴스) http://www.yonhapnews.co.kr/economy/2008/01/18/0303000000AKR20080118096200009.HTML - 네이버 뉴스 http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=001&aid=0001928730 해당 기사는 18일 캐나다에서 나온 얘기가 국내에 알려졌다. 관련 내용은 1월 14일 시만텍 블로그에 처음 올려졌다. - Banking in Silence http://www.symantec.com/enterprise/security_response/weblog/2008/01/banking_in_silence.html - Ban..

최근 온라인게임 게정 탈취 트로이목마는 계속 변하고 있습니다. 예전에는 델파이로 작성된 형태가 많았지만 언어도 다양하고 패커도 Upack 이 많았는데 다양해지거나 패커(Packer)를 진단하니 패커되지 않은 샘플도 많았죠. 문자열 중 일부를 암호화하는 형태는 많았지만 관련 문자를 거의 암호화하는 형태는 처음봅니다. (물론 제가 처음 보는 샘플이겠지만) 코드는 안 봤지만 딱보니 암호화된 문자열로 보이네요. (경험으로 인한 느낌)

2007년 9월 14일 금요일 대량 네트워크 패킷 발생으로 많은 문제가 있었다. 이 악성코드는 Win-Trojan/Eldo 로 명명되어 졌다. 자세한 정보 : http://kr.ahnlab.com/info/smart2u/virus_detail_10407.html 해당 악성코드는 Win32/Virut 바이러스가 다운로드 받아 온 것으로 알려졌다.

http://www.ddaily.co.kr/news/news_view.php?uid=32185 후지제록스 디지털복합기에서 악성코드가 발견되었다는 보도이다. 가능성은 두가지 있다. 첫째, 윈도우와 리눅스 모두에서 활동하는 악성코드 둘째, 후지제록스 디지털복합기 하드디스크에 악성코드 복사 윈도우에서 활동하는 악성코드가 네트워크로 연결되어 있는 디지털복합기 하드디스크로 그냥 악성코드가 복사된 것일 수 있다. ---------- 샘플을 확보해야 할 것으로 보인다.

오래된 악성코드인 해디펜더(V3 진단명 Win-Trojan/HackDef)가 기사화되었다. 내용의 요점은 PC 의 C 드라이브를 통째로 숨겨버리는 악성코드라는 점이다. 파일길이 : 64,000 bytes MD5 : 6fbe299c0207a5a3dcf92eb95a31da42 [관련기사] http://www.inews24.com/php/news_view.php?g_serial=299431&g_menu=020200

중국에서 영화 색계 관련 악성코드가 퍼지고 있다고 합니다. - 영화 인기에 '색계 바이러스'도 급속 유포 (전자신문) http://www.etnews.co.kr/news/detail.html?id=200711190099 - 중국은 지금 '색계 바이러스' 경보 중 http://www.nownewsnet.com/news/newsView.php?id=20071119601005 하지만, 예상한것 처럼 엄청나게 퍼진 것도 아니고 바이러스도 아닙니다. 자바 스크립트로 작성되어 취약점을 이용해 사용자 시스템에 다른 악성코드를 떨어뜨립니다. 다운로드되는 관련 실행파일형은 총 10개 정도되는 것으로 알려있습니다. V3는 2007.11.21.00 엔진에 아래와 같은 진단명으로 추가되었습니다. (앞에 파일명은 MD5 값입니..

일부 시게이트의 하드디스크에서 악성코드가 발견되었다. 다행히 V3에도 진단이 되는 샘플이다. Antivirus Version Last Update Virus Name AhnLab-V3 2007.10.2.0 2007.10.01 Dropper/OnLineGameHack.21042 한가지 흥미로운건 중국정부의 음모설 얘기도 나오는데 다음과 같은 점 때문에 가능성이 떨어진다.1. 게임 계정 탈취 트로이목마 해당 악성코드의 목적은 온라인 게임 계정 탈취이다. 중국정부에서 의도적으로 했다면 왜 온라인 게임 계정을 탈취할까? 주요 문서를 빼가는게 맞지 않을까? 2. 기진단 샘플 안랩은 해당 샘플 받지도 않았으며 확인해보니 V3에는 2007.06.23.01엔진에서 추가된 샘플이다. 정말 중국정부에서 의도적으로 진행했다..

Jerry 님의 랜섬웨어 업체 마이컴고(MyComGo)를 보면 자료를 숨기고 돈을 요구하는 사례가 있었습니다. http://mireenae.com/157 세계일보에 기사도 났네요. '멋대로 실행..파일 숨기고.. 돈 달라고? PC 보안프로그램 황당한 보안' http://www.segye.com/Service5/ShellView.asp?TreeID=1052&PCode=0007&DataID=200711021638000174 이에 마이컴고측은 공지사항을 통해 2007년 11월 7일 애드웨어로 분류되었으며 자사와 협의가 없었으므로 법적대응을 준비중이며 고객들에게 안철수연구소로 전화해 항의해달라는 내용의 글을 올렸습니다. http://www.mycomgo.com/customer/notice/content.jsp?..

OMG just accept please its only some pics!!라는 내용으로 확산되는 메신저 웜 2007년 11월 5일 외국에서 처음 보고되었으며 국내에는 2007년 11월 6일 오전에 보고되었다. - 파일명 : image24.zip (image24-www.photobucket.com 포함) - 파일길이 : 압축 푼 파일 길이는 10,752 바이트 - MD5 값 : 633fc2332287108885ba0633efd81601 V3 진단명 : Win32/IRCBot.worm.10752.E

허위 안티스파이웨어 업체들이 경찰에 적발되었다. 보안프로그램 알고보니 '악성코드' http://www.hani.co.kr/arti/society/society_general/247125.html '날도둑' 컴퓨터 보안업체 http://www.segye.com/Service5/ShellView.asp?TreeID=1052&PCode=0007&DataID=200710311657000234 이런 사실은 아는 사람은 다 알았지만 교묘하게 법을 위한하는 사람들이기 때문에 경찰에서도 정말 조사를 많이 했을테니 늦장 수사라고 비난하기 보다 빨리 법개정이 되어야 할 듯 싶다. 그리고, 이들 업체는 보안업체가 아니라 사기 업체이다.ps. 어머니께서 기사를 보시더니 "너희 회사는 괜찮냐 ?"라고 하시네요. 윤리경영으로 유..