쿨캣의 블로그 놀이

2009년 7월 7일 저녁부터 네이버, 옥션, 청와대 등의 웹사이트에 대한 악성코드 공격이 있었다. 이들의 정체가 밝혀진건 밤 11시 이후 였다. 이후 여러 변형 샘플들이 발견되었고 보안메일링 리스트를 통해 해외 업체와도 정보가 공유되었다. - 즉, 해외 백신 업체가 모르거나 샘플이 없는건 아니다. 24시간이 지나고 있는 2009년 7월 8일 오후 5시 현재 해외 업체들의 진단 현황은 어떨까 ? - 자칫 타사를 깎아 내리는 듯 할 수 있어 국내에서 잘 알려진 업체들 위주로 진단 현황만 정리했다. (참고로 잉카나 하우리 같은 국내 업체는 모두 진단한다.) 결과적으로 국내에서 크게 문제된 이들 악성코드에 대한 해외 백신 업체 대응은 늦다. 국내 시장에 무관심해서 그런걸까..... TT 올초 2090 바이러스..

Msiexec1.exe (Win-Trojan/Downloader.374651) 실행 : 윈도우 시스템 폴더에 패킷 관련 WinPcap 파일(Packet.dll, WanPacket.dll, wpcap.dll) 및 악성코드 생성(wmcfg.exe 와 wmiconf.dll) 안철수연구소 분석 정보 : http://kr.ahnlab.com/admSIVirusViewForHtml.ahn?seq_no=28838 WinPcap 파일은 패킷 캡쳐에 사용되는 파일이지만 패킷 생성에도 악용되는 파일로 정상 파일임 한가지 재미있는건(?) Mutex 이름이 '_MUTEX_AHN_V3PRO_' 이다. 요즘 안랩 제품을 사칭하는 악성코드가 많이 등장하고 있다. (대부분 중국산이다. 이런 나쁜...) wmiconf.dll (Win..

2009년 7월 7일 영화를 보고 집에 오는 길에 아는 형이 연락했다. "지금 네이버하고 옥션 접속 잘 안되는데 알고 있는 사항 좀 있으면 연락줘." 집에 도착해 확인해보니 별다른 얘기가 없고 기사만 몇가지 올라와 있었다. 7월 7일 오후 6시부터 네이버 메일 및 쪽지 서비스 장애가 발생했다고 한다. 이후 기사를 통해 네이버 메일과 옥션 외에 조선일부와 청와대도 접속 장애가 발생하고 있음을 알 수 있었다. - '사상 초유' 국내 주요사이트 해킹 '인터넷 대란' (제목이 상당히 자극적임...) http://news.chosun.com/site/data/html_dir/2009/07/07/2009070701575.html?254bed50 - 청와대 사이트도 불통... 해커 DDOS 공격 때문? http://..

- 러 카스퍼스키랩, LG전자에 백신 공급 (전자신문, 2009년 6월 29일) http://www.etnews.co.kr/news/detail.html?id=200906280038 기사 제목만 보면 카스퍼스키랩이 LG전자에 백신을 공급하는 것으로 오해할 수 있다. - 현재 LG전자는 안랩 V3를 사용하고 있다. 기사를 읽어보면 LG전자의 다양한 디바이스에 제공한다는 것으로 번들 제공을 알 수 있다. - 이전에 LG전자는 시만텍 제품이 번들로 들어간 것으로 알고 있다. 제 값은 받고 공급될까하는 걱정(?)도 해본다. 이런 번글 공급은 1 컴퓨터당 10원 - 100원 정도라고 알려져있다. 그리고, 카스퍼스키랩 코리아는 "NHN과의 협력으로 별다른 실익이 없어 재계약은 하지 않을 생각"이라고 말했다고하니 P..

- 군, 3000명 규모 해외파병 상설부대 만든다. (한국경제, 2009년 6월 26일) http://www.hankyung.com/news/app/newsview.php?aid=2009062699891 기사를 보면 우리 군은 2012년까지 적의 해킹 등에 대처하고 사이버 전쟁을 수행할 '정보보호사령부'(가칭)를 창설한다고 합니다. 이 부대는 국방부와 국군기무사, 육.해.공군 소속 전문요원들로 편성된다고 하는군요. 알려진것 처럼 우리 군에 대한 사이버 공격이 심해지고 있기 때문에 이런 조직은 꼭 필요하다고 생각했는데 이제부터라도 잘 해야겠죠. - 그런데, 이미 대응 조직이 있을텐데요. 다만, 한가지 우려되는건 이같은 일이 민간 보안 업체에 지나치게(혹은 불필요하게) 업무 가중이 발생하지 않을까하는 우려입..

KISA 인터넷침해사고대응지원센터(KrCERT/CC)에서 '스팸메일을 발송하는 악성코드 감염 주의'를 내렸다. http://www.krcert.or.kr/noticeView.do?num=338 기사가 조금 과장된 듯 싶지만... - 제2 인터넷대란 위험수위? ... KISA "PC보안관리시급" (디지털데일리, 2009년 6월 24일) http://www.ddaily.co.kr/news/news_view.php?uid=51338 - [긴급] DNS 접속 트래픽 급증 ... 백신으로 점검필수! (보안뉴스, 2009년 6월 24일) http://www.boannews.com/media/view.asp?idx=16740&kind=0 스팸 메일을 보내는 악성코드들로 밝혀졌다고 한다. 최근 안랩 신고센터를 통해서도..

2009년 6월 23일 허위 MS 아웃룩 업데이트 메일이 보고되었다. - 보낸사람 : Microsoft Customer Support - 제목 : Microsoft has released an update for Microsoft Outlook 다음 제목도 보고되었다고 한다. Install Critical Update for Microsoft Outlook Install Update for Microsoft Outlook Microsoft Outlook Critical Update Update for Microsoft Outlook [전파방식] 첨부파일이 존재하는 형태도 있지만 가짜 주소를 클릭하면 마이크로소프트를 가장한 웹사이트 (update.microsoft.com.[생략].net 등)로 접속하게 한..

- 지금까지 발견된 전체 악성코드 개수는 ?! http://kr.ahnlab.com/info/securityinfo/secuinfo/newSecuNewsView.ahn?category=001&mid_cate=001&cPage=2&seq=14535 ----- 악성코드 개수에 대한 자료를 수집한다고 시간이 좀 걸렸다. 다음에는 테스트에 자주 사용되는 와일드리스트에 대해 작성할 예정이다.

2009년 3월 26일 국내 언론을 통해 현금 자동 입출금기에 대한 기사가 실렸다. - "현금자동인출기 노리는 바이러스 조심" (연합뉴스, 2009년 3월 26일) http://www.yonhapnews.co.kr/culture/2009/03/26/0914000000AKR20090326225600080.HTML ------------------ 자동화기기들이 윈도우를 기본으로 사용하며 여기에 애플리케이션을 구동하고 있다. 여기에 악성코드 제작자들은 현금자동인출기의 정보를 훔치는 악성코드를 제작한 것이다. 물론, 내부자 공모가 있어야한다. 결코 쉬운 일은 아니지만 내부자 공모가 있다면 충분히 가능하다. 자동화기기를 보면서 종종 블루스크린을 보면 걱정하곤했는데... 걱정이 현실로 된 듯 싶다. * V3 진단..

VB100 2009.6 결과가 나왔다. 아쉽게도 오진이 발생해서 통과에는 실패했다. 해당 오진은 제품 제출하고 얼마 후 발견되어 제외된 시그니처이다. - 발표 : 2009년 6월 - 플랫폼 : Windows 2003 Server x64 - 참가업체 : 23개 (17개 업체 통과, 6개 업체 탈락)

2009년 5월 23일 토요일 늦잠을 잤다. 언제나 그러하듯 TV를 켰는데 '대통령 서거'라는 속보가 나왔다. 대통령 ? 누구 ? 이럴 수가 ... 노무현 전 대통령이었다. 처음에 믿기지 않았다. 노 전 대통령을 알게된건 대선 때였다. 개인적으로 경상도에서 태어나고 자라면서 어릴 때 지역 감정을 어디서 들어서 그들이 참 한심하다했는게 그게 내가 살던 지역이었다. 5.18 등은 경상도 출신인 나에게는 죄의식 같은(나와 직접 상관없다고하더라고)게 있었다. 그점에서 경상도 출산에 민주당 대통령 후보인 노 전 대통령은 신선한 모습이었다. 대통령 선거에 그다지 관심이 없었지만 그의 연설을 들으면서 '그래 저사람이라면...'이라는 생각이 들었고 손에 땀을 쥐게하는 선거에서 대통령에 당선될 때 그 기쁨이란. 물론, ..

고 노무현 대통령 1997년 6월 18일 부산에서 개최되었던 IT전시회인 SEK 안철수연구소(당시 안철수컴퓨터바이러스 연구소)로 중년신사가 방문했다고 한다. 부산 지역구 국회의원 후보로 나왔지만 낙선하고 야인 생활을 하던 시기라고 한다. 그는 전시회에서 V3를 구매했고 5공 청문회 스타인 '노무현'이라는걸 사람들이 알아보고 제품을 공짜로 주려고했지만 "그래서야 우리 소프트웨어 기업이 밥먹고 살 수 있겠습니까"라며 지갑에서 돈을 꺼냈다고 한다. 이 얘기는 2005년에도 알려졌었다. [기사] - SW 제값주고 사는 대통령 http://stock.mt.co.kr/view/mtview.php?no=2009052513485845395&type=1&HEV1 이 사진은 1997년 당시 찍었던 사진 1997년 6월 1..

- 신종 인플루엔자와 안전 불감증 http://kr.ahnlab.com/info/securityinfo/secuinfo/newSecuNewsView.ahn?category=001&mid_cate=001&cPage=1&seq=14439

일본은 현재 자국 백신(안티 바이러스) 제품이 없다. 제이드(Jade)사가 맥아피(McAfee)에 인수되면서 맥이 끊어졌다. - 회사명: 주식회사 포티포티 기술 연구소(Fourteenforty Research Institute, Inc) 줄여서 FFR - 소재지: 도쿄도 신주쿠구 텐진쵸8 카구라자카 U빌딩 - 설립: 2007년 7월 3일 - 홈페이지 : http://www.fourteenforty.jp - 사장 : 우카이 유지 (개발자 출신으로 보임) FFR사는 악성코드를 연구회는 보안 업체이며 백신 전문 업체라기 보다는 보안 업체(70건 이상의 취약점 발견)이다. 기사를 보면 국산(일본) 제품임을 강조하는걸 봐서 자국 제품에 목말라(?)하지 않았나하는 생각을 해본다. 이번에 발표된 제품은 Yarai 2..

일본에서 제노 바이러스(Geno virus) 출몰했다는 소문이 돌았다. 하지만, 이는 사용자나 언론에서 부르는 이름으로 보안업체에서는 다른 진단명을 사용한다. 일본판 2090 바이러스으로 볼 수 있다. 2009년 5월 18일 경 일본내 다수의 사이트가 해킹 당했고 PDF, SWF 등의 취약점을 이용해 방문하는 사용자에게 악성코드를 설치하도록 한다. 다운로드되는 파일은 중국에서 다운로드 받는다. 하지만, 이런 공격은 4월부터 증가했다고 한다. 이번일도 2090 바이러스처럼 치료 방법이 없다는 등의 내용이 떠돌고 있지만 당연히(!) 확인되지 않은 내용이다. 새로운 변형이 꾸준히 배포되고 있어 발생한 오해로 보인다. (근본적으로는 사용자가 보안 업데이트를 해야함) 현재 이 공격은 일본에서만 발생하는게 아니라 ..

2009년 5월 스페인 판다시큐리티는 클라우드 기술을 접목시킨 판다 클라우드 백신(Panda Cloud Antivirus)를 공개했다. 현재 6가지 클라우드 기술을 접목 시킨 제품이 존재하며 최초의 무료 버전이라고 한다. - 판다 클라우드백신 다운로드 http://www.cloudantivirus.com/ 설치 파일은 18.5 MB 정도된다. UI는 매우 간단하다. 검사와 동시에 진단/치료된다. 판다 엔진과 Cloud 기술을 접목한 진단으로 보인다. 하지만, 진단명만 봐서는 판다 엔진인지 Cloud 기술이 포함된건지 확실히 알 수 없다. 다만, 분석툴을 상당수 악성코드로 오진해 오진문제 해결이 필요하다. [관련자료] - Panda Security Launches Panda Cloud Antivirus: ..

부다페스트 호텔 무선 인터넷을 통해 들어온 MS08-067 공격이다. 컨피커 웜 등으로 보이는데... 이래저래 많은 공격이 있는 것으로 보인다.