쿨캣의 블로그 놀이

영국 소포스(Sophos)에서 악성코드 이름을 김치 바이러스로 했다. [관련 사이트] - 소포스 김치 바이러스 정보 http://www.sophos.com/security/analyses/viruses-and-spyware/w32kimchia.html http://www.sophos.com/security/analyses/viruses-and-spyware/w32kimchib.html 다양한 이름이 붙여지다보니 재미있는 이름이군했는데 관련 내용이 기사화되었다. [관련 뉴스] - 해외서 악성 PC바이러스에 '김치' 명명 (국민일보 쿠키뉴스, 2009년 2월 20일) http://www.kukinews.com/news2/article/view.asp?page=1&gCode=int&arcid=092119872..

네이트온 메신저를 통해 전파된 새로운 악성코드가 등장했다. - MD5 : 5b6e8792f733b4860be6320e1cfeac21 - 파일길이 : 331,776 바이트 - V3 진단명 : Win-Trojan/Fakecodecs.331776 (2009.02.16.01 이후 엔진에서 진단) 실행되면 중국 소녀로 추정되는 사진이 출력된다. 역시 국내 환경에 철저하게 맞춰진 악성코드이다. 0000636c : \Program Files\Virus Chaser 000063a8 : SYSTEM\CurrentControlSet\Services\MpsSvc 00006400 : SYSTEM\CurrentControlSet\Services\WinDefend 0000645c : SYSTEM\CurrentControlSet\..

2009년 2월 13일과 16일 Win32/AimBot.worm.15872 변형 (일명 2090 바이러스)이 발견되었다. - 파일 길이 : 15,872 bytes - 13일 발견 샘플 MD5 : 78cca634365997473577caa64fcb9aaa- 16일 발견 샘플 MD5 : d745556b05c3b68d27465cb4f1cf6d72 하지만, 아직 일반에 얼마나 퍼졌는지 버그는 수정되었는지 확인되지 않았다. 13일에 발견된 변형은 시스템 날짜를 2090년으로 변경하고 16일에 발견된 샘플은 시스템 날짜를 2070년으로 변경한다. 기존에 접속하는 서버 주소는 바뀌었다. 2090년으로 변경되는 새로운 변형이 등장되었으며 최신 윈도우 업데이트와 최신 백신에서 예방 가능하므로 새로운 변형에 대해서 크게 ..

시큐리티대응센터가 '17인치 대응센터'로 불리는 것보다는 양호하지만요. A/S E.C 도 재미있네요 ^^; - 출처 : 안철수연구소 ASEC 부서원에게 온 우편물 (허락없이 올렸지만 괜찮을 듯...)

허위 안티스파이웨어 중 제품으로 허위 진단을 하는게 아니라 가짜 진단 웹사이트로 유도해서 접속하면 사용자 컴퓨터에 악성코드가 감염되었다고 속이는 경우가 있다.

2009년 2월 초 카스퍼스키 연구소 미국 홈페이지가 해킹 당했다. - 카스퍼스키 해킹, "해커가 버그 고지 후 해킹 실행" (IDG, 2009년 2월 10일) http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=53558 이후 2월 9일 비트디펜더 포루투칼어에도 취약점이 존재한다고 보도된다. 참고로 해당 웹사이트는 비트디펜더에서 관리되는게 아닌 협력사에서 운영하는 사이트라고 한다. [기사] - Kaspersky web site reportedly leaky http://www.heise-online.co.uk/news/Kaspersky-web-site-reportedly-leaky--/112592 - BitDefender website als..

2009년 2월 9일 시스템 날짜를 2090년 1월 1일로 변경하는(변경되지 않을 수도 있음) 신종 악성코드가 발견되었다. - 파일명 : system.exe - 파일길이 : 15,872 바이트 - MD5 : 9420396e9264918f50155b577ceda82e - V3 진단명 : Win32/AimBot.worm.15872 ( 2009.02.09.03 엔진에서 Win-Trojan/Agent.15872.KM 로 진단) 사람들 사이에 2090 바이러스, 2090년 바이러스로 알려진 이 웜은 특징적인 증상으로 감염된 시스템에 따라 2090년 1월 1일로 시스템 날짜가 변경되고 로그인이 안 될 수 있다. (안전모드로 부팅이 안 될 수 있다.) - 안철수연구소 분석 자료 http://kr.ahnlab.com/..

독일에서 제작된 샘플로보이며 내부에 재미있는(?) 문자열이 존재한다. Hi AV Companies, this is the Schwarze Sonne Crypter made by Slayer616. Please make a special Detection for me :) 안녕 백신회사, 이건 Slayer616이 만든 Schwarze Sonne Crypter (쉬왈제 소네로 읽나 ?)야. 제발 특별 진단법을 만들어죠. 하지만, 특별하지 않으므로 그냥 기본 진단법으로 진단 ! 끝 [파일정보] - 파일길이 : 216,622 바이트 - MD5 : 884c06c1d6d71370337364f1e22e385c

- ‘위기에 빠진 알약’ 이스트소프트 공공시장 편법영업 논란' (디지털 데일리) http://www.ddaily.co.kr/news/news_view.php?uid=46462 기사 제목이 조금 자극적이었지만(?) 내용을보면 위기까지는 아니고 공공시장에서 편법 영업 의혹이 제기 되었다 정도이다. 개인적인 의견 언급은 여기까지..

애드웨어 제작자와 인터뷰한 내용 http://philosecurity.org/2009/01/12/interview-with-an-adware-author

IEInspector의 IEWebDeveloperV2 모듈 정상입니다. - File size: 125440 bytes - MD5...: 471ed11e1d30767ec4fa49b1d060ef22 - SHA1..: 4a341663e03d36203f65384111781e68fac4fbc8 - SHA256: 6508260b7c67df8801235787a27253a189739dead9f2ad1bd1b3941ccb50c43f - SHA512: 56e11fd469eff44e4cc2de3b6684fe669ba9bfcf7b59cdd17f37fbd1997d504b 222fec0da51b0fa13ce1cbb16036572b2f26240b60aadb162dbd12e23988aebe 안티바이러스 엔진 버전 정의 날짜 검사 결..

대한약사회에서 배포하는 PM2000 v5 파일이라고 한다. - 파일이름 : svrhostc.exe 로 추정 - 파일길이 : 1,544,704 바이트 - MD5 : f34e7302fca6768905c16c11985e5cb3 UPX로 압축되어 있다. 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.73 2009.01.21 - AhnLab-V3 5.0.0.2 2009.01.21 - AntiVir 7.9.0.57 2009.01.20 - Authentium 5.1.0.4 2009.01.20 - Avast 4.8.1281.0 2009.01.20 - AVG 8.0.0.229 2009.01.20 - BitDefender 7.2 2009.01.21 - CAT-QuickHeal 10.00 2009..

러시아의 바이러스토털을 바탕으로 한 진단율 순위 사이트이다. http://virusinfo.info/index.php?page=testseng

사람들에게 대표적 허위 안티 스파이웨어 제품으로 인식되고 있는 모 프로그램 대표에 대해 무죄가 선고 되었다. 무죄 판결 이유는 트래킹 쿠키 진단을 사기로 볼 수 없다는 것 때문이다. 하지만, 트래킹 쿠키는 사기가 아니라고해도 해당 프로그램 배포 방법에 문제가 있었으며 아직 배포 방법에 대한 규제가 없는 현행 법률의 한계가 있다고 생각된다. 게다가 현행 법률상 스파이웨어(혹은 애드웨어)에 대한 규제도 없다고 할 수 있다. [기사] - 네티즌 돈 92억 갈취 'OO바이러스' 무죄 판결 http://www.kukinews.com/news/article/view.asp?page=1&gCode=soc&arcid=0921152912&code=41121111&cp=nv1 - OO바이러스 무죄판결 논란... 이용자 피..

세계 4위(최근에 카스퍼스키랩에 밀렸다고 하지만 그럼 5위) 영국의 소포스(Sophos)사는 전세계 1억명 이상의 고객이 사용하고 있습니다. AVG가 5천 만명이라고 밝히고 있습니다. 이 업체도 판다시큐리티(Panda)처럼 국내 시장에 많은 관심을 가진 것으로 보입니다만 이미 국내 업체가 시장을 선점하고 있어 직접 진출이 아닌 파트너사만를 두고 있습니다. 아시아 지역은 싱가폴에 사무소가 있고 거기서 한국까지 관리하고 있죠. 국내 파트너사는 시큐리티트러스트사입니다. http://www.securitytrust.co.kr/ 여기 분들은 대체로 개인 사용자가 많아 소포스 제품을 사용할 가능성은 낮아 보입니다. 제가 작년 가을 유럽 여행가서 영국 런던 소프트웨어 소매점을 방문했을 때 시만텍, 맥아피 제품이 주로..

2009년 1월 9일(한국시간) 이스라엘의 가자 지구 침공을 이용한 관련 악성코드가 발견되었다. 다음과 같은 메일 제목으로 보내졌다고 한다. - 제목 : THE ISRAELI OFFENSIVE IN GAZA: CON: Israel is at war with citizens Religious war in Gaza - Israel Opinion, Ynetnews 메일 본문의 링크를 통해 Adobe_Player10.exe 파일을 다운로드 한다고 한다. [파일 정보] - MD5 2074b8f39931103b3b8b24dd72de2980 Adobe_Player10.exe (9,790 바이트) 1f337515a3e96fd317dfb24e9fe67448 servicepack1.exe (36,352 바이트) - V3 ..

다음 리스트 보면 많이 보던 제품들 파일일 겁니다. 바이러스체이서, V3, 알약 등 국내 제품들 리스트가 보이네요. 물론 Avast!, Kaspersky, AVG 등도 보이네요. 다른 제품도 있겠지만 파일 이름을 정확히 몰라서... 국내 환경에 맞게 진화된(?) 악성코드로 보입니다. 000033e8 : LIVESRV.EXE 000036e8 : VCRMON.EXE 000037a8 : Update.exe 000039e8 : AHNSD.EXE 00003aa8 : SUpdate.exe 00003acc : autoup.exe 00003ce8 : CCSVCHST.EXE 00003d08 : ALUSCHEDULERSVC.EXE 00003dcc : luall.exe 00003fe8 : ASHDISP.EXE 000040a..