쿨캣의 블로그 놀이

Virus Bulletin 2008 in 오타와(Ottawa) 관계로 일찍 공개되었다. http://www.virusbtn.com/vb100/archive/2008/10 V3는 이번 테스트에 통과했다. [안랩보도 자료] http://kr.ahnlab.com/company/pr/comIntroKoNDView.ahn?B_SEQ=143172 이번 테스트의 경우 TS 엔진으로 변경된 후 최초 인증이다. 이전 윈도우 XP SP3가 첫번째 테스트였지만 진단 중 발생한 문제로 인증을 받지 못했었다.

VB100 award October 2008: Windows Server 2008. Submission for this review has closed. 10월에 있을 Windows Server 2008 용 제품을 어제 제출하고 결과를 기다리고 있다. 생각외로 이래저래 작업할 일이 많아서 며칠 동안 야근하고 주말에 출근하고... 그리고 2008년 8월 Windows XP 결과를 보면 와일드리스트가 2개 미진단으로 나와있는데 http://www.virusbtn.com/vb100/archive/2008/08 다시 확인 결과 모두 진단했다고 한다. 진단 도중 다형성진단 함수 쪽의 버그로 블루스크린이 떠서 떨어졌다. 이번에는 좋은 결과 기다리며.. 향후 일정은 다음과 같다. December 2008: Windo..

2008년 8월 27일 스페인 판다(Panda Security)에서 신제품 출시가 발표되었습니다. http://www.pandasecurity.com/about/corporate-news/new-48.htm [특징] Panda Antivirus Pro 2009, Panda Internet Security 2009 and Panda Global Protection 2009로 구성되어 있습니다. 2009제품의 특징을 다음과 같이 정의하고 있습니다. - Faster and better detection rate (빠르고 향상된 진단율) - Faster and better disinfection rate (빠르고 향상된 치료율) - Minimum PC resources and bandwidth consumpti..

영국 BBC 뉴스에 국제 우주 정류장 컴퓨터에 악성코드가 함께 우주로 갔다고 발표났습니다. 기사를 보면 해당 샘플은 온라인 게임 계정 탈취 트로이목마로 판단됩니다. (현재 V3 진단 여부를 확인 중) 메이플스토리 게임 계정도 탈취합니다. 역시 중국에서 제작된 악성코드로 보입니다. [파일정보] MD5 : b4577479c3953e1ea59d8ec3a13688ba V3 진단명 : Win-Trojan/AVKiller.115760 (2008.01.01.00 이후 엔진) [진단명] - Kaspersky : Worm.Win32.Autorun.bhx http://www.viruslist.com/en/viruses/encyclopedia?virusid=264464 - McAfee : PWS-Gamania.gen.a h..

2008년 이스트 소프트사의 알약은 선풍적 인기를 끌고 있다. 현재 총 사용자 수 1,185 만명으로 (비록 무료라해도) 안랩의 V3 뒤를 바짝 쫓고 있다. (참고로 안랩 V3는 13,804.069 으로 41.9%, 알약은 11.859,959 로 35%) 그동안 엔진을 해외업체와 국내업체에서 라이센스해 보안 전문업체가 아니라는 인식 때문인지 본격적으로 보안을 시작하기 위해서는 자체 엔진이 필요하다고 생각해서인지 이스트 소프트측은 시큐리티인사이트(과거 비전파워 PC지기 제작팀)를 인수했다. 향후 목표를 2008년 사용자 점유율 1위, 2010년 기업 시장 점유율 20%(150 억)을 목표로 제시했다. 뛰어난 작명 센스와 알툴즈의 명성으로 보이는 폭발적인 사용자수 증가가 과연 2010년까지 기업 시장 점유율..

악성코드 역사 - 2008년가지 올라왔습니다. * 2005년 - 금전적 이득을 위한 제작 동기의 변화 http://kr.ahnlab.com/info/securityinfo/virusNIFocusVirus_View.ahn?news_dist=02&site_dist=01&category=VNI003&mid_cate=001&sub_cate=&cPage=1&seq=12681&key=&related= * 2008년 악성코드 폭증 ! 폭증 ! http://kr.ahnlab.com/info/securityinfo/secuinfo/newSecuNewsView.ahn?category=001&mid_cate=001&cPage=1&seq=13902

최근 USB 플래쉬 같은 외장형 드라이브로 전파되는 악성코드 (흔히 autorun 웜)가 점점 진화하고 있습니다. 예전에는 autorun.inf 에 실행될 파일을 지정하는 형태였죠. V3 진단명 기준 Win-Trojan/IRCBot.71680.B (VS08081300380-000001)을 보던 중 USB 플래쉬 메모리로도 전파되더군요. USB 플래쉬 메모리에 다음 파일을 생성합니다. - autorun.ini : RECYCLERS-1-6-21-6875689567-0328346474-238463292-3211 폴더 - Desktop.ini : 폴더 설정 - usbdriver.exe : 악성코드 autorun.inf 는 다음 내용으로 구성되어 있습니다. [autorun] open=RECYCLERS-1-6-21..

그분이 오셨다. '공부 잘하는 학생은 시험 환경을 탓하지 않는다.'라는 말이 있는 것 처럼 여러가지 제한 (샘플 셋 구성, 오진 여부 미검증, 등)이 있지만 그냥 참고할 만하다. 특히 이상하게(다른 나라도 그런가 ?) 국내에서 이슈가 되는 테스트 이기에... 2008년 6월에는 28위 75.23% 이다. http://www.virus.gr/portal/en/content/2008-06%2C-1-21-june 2007년 4월 테스트에서는 33위 55.09 % 33. V3 Internet Security version 2007.04.21.00 - 55.09% http://www.virus.gr/portal/en/content/2007-04%2C-23-april-10-may 1년 사이 20% 정도의 진단율 향..

WinSpywareProtect는 허위안티스파이웨어 제품으로 실행하면 제품을 설치하는 화면을 보여주며 파일을 다운로드한다. WinSpywareProtect 폴더에 파일이 생성되며 파일명은 wspwprtc.exe 이다. 제품이 실행되면 가짜 진단결과가 나온다. 이 제품 역시 치료(제거)를 선택하면 제품 구매를 요구한다.

2008년 7월에 발생한 네이버 카페 장애는 10대의 공격으로 밝혀졌다. 네이버 카페에서 강퇴 당한데 앙심은 품고 30만원에 공격툴을 구매해 공격한 것으로 알려졌다. 기사를 종합해보면 7월 9일부터 16일까지 다른 이용자의 컴퓨터 200대에서 해당 프로그램을 이용해 네이버 사이트에 공격을 가했다고 한다. 공격에 사용된 툴은 2007년부터 제작되었고 올해 초부터 유행하기 시작한 툴이라고 한다. 특히 제작자 웹 사이트는 중국어뿐 아니라 한국어로도 동시 표기되어 있다고 한다. [관련기사] - 단돈 ‘30만 원’으로 네이버·청와대 홈피 농락? http://www.kukinews.com/news/article/view.asp?page=1&gCode=soc&arcid=0920978360&cp=nv - 카페 강제 탈..

2008년 7월 14일 (현지 시간) 시만텍은 노턴안티 바이러스 2009 베타를 공개했다. 그동안 문제로 지적 받은 시스템 부하를 줄이고 속도를 올린 것이 특징이라고 한다. [기사] - 시만텍 '노턴2009' 베타 공개 ... "빠르고 가벼워졌다" http://www.zdnet.co.kr/news/network/security/0,39031117,39171023,00.htm 국내에서는 시만텍 제품이 무겁고 진단 속도가 느려 큰 인기가 없었다. 하지만, 이런 문제가 없다면 국내에서 어떻게될까 ? 시만텍은 전세계 시장 점유율 1위 업체이며 인도에서 1위는 로컬업체가 아닌 시만텍이며 러시아에서 2위는 닥터웹이 아닌 시만텍이라고 한다. (1위는 카스퍼스키랩) 시만텍이 국내에서 크게 인기 없는건 그들이 국내 시장..

인터넷을 검사해보면 2008년 6월 30일부터 네이트온 쪽지로 다음과 같은 유형의 쪽지가 보내졌다. 안철수연구소는 2008년 7월 2일부터 조금씩 문의가 오기 시작했지만 정확한 샘플이 들어오지는 않았고 7월 4일 처음 샘플이 접수되었다. '당신에게 매우 흥미로운 내가 찍은 사진을 보냅니다. http:// '우리집에 애완견인데 이뻐요 ? http://' 사용자가 그림을 클릭하면 해킹된 웹 서버로 접속되며 실행 파일을 다운로드 한다. WinRAR SFX 파일로 4개 파일을 포함하고 있다. 26.exe (27,091 바이트) : 80.exe (82,432 바이트) error.jpg (11,656 바이트 ) : 강아지 사진 kiagen.exe (10,240 바이트) error.jpg 는 강아진 사진을 포함하고 ..

마이크로소프트(Microsoft)사에서 마이크로소프트 시큐리티 대응 센터(MSRC: Microsoft Security Response Center)를 오픈했다. http://www.microsoft.com/security/msrc/default.mspx 루마니아 GeCAD 사의 제품과 엔진 인수 이후 Sybari 등의 업체를 인수하고 최근 안티 바이러스 업계의 주요 인물을 영입하고 있다. 동료가 마이크로소프트사의 바이러스 연구소와 그에 따른 24 시간 대응에 대해 조사를 했다. (모님께 감사를...) 현재 마이크로소프트사는 다음 지역에 악성코드 분석 및 대응 센터가 존재한다. - 미국 시애틀 - 미국 뉴욕 - 캐나다 밴쿠버 - 아일랜드 더블린 - 일본 도쿄 - 오트레일리아 멜버른 여기에는 지역별 커버도 ..

삼성 SDS에서 오픈한 anyframe 에서 델보이 바이러스(Win32/Dellboy virus)에 변조된 파일이 올려졌다. [기사] -삼성SDS사이트, 바이러스로 '헤프닝' http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2008061715233917600&outlink=1 이에 Anyframe 오픈소스 커뮤니티는 공지를 올렸다. http://www.anyframejava.org/node/435 처음 예상처럼 자료실에 업로드된 파일이 바이러스에 의해 변조된 파일이고 현재 동작하지 않으므로 문제 없다. 하지만, 일반인들이 웹사이트가 해킹되었거나 웹사이트 방문 만으로 바이러스에 감염되는게 아닌가 걱정할 수 있다. (실제 댓글 보면 그런 걱정이나 오해를 볼 수..

Adobe Flash 의 취약점을 이용한 악성코드가 배포되고 있다. 마이크로소프트 제품 업데이트는 많은 사용자들이 하지만 플래쉬까지 신경 쓰는 사람이 얼마나될까 ? 본인 역시 테스트 PC로 웹 서핑 중 V3에서 진단을 하는걸 보고 국내에도 변조된 플래쉬 파일이 새로운 공격 방법이 된걸 알 수 있었다. 하우리에서 이에 대한 경고를 냈다. - Adobe Flash Player 취약점 http://www.hauri.co.kr/aboutus/notice_view.html?menu=VzY=&news_uid=8347 사이트에서 다운로드 해도되며 이미 설치되어 있다면 직접 업데이트 해도된다. (업데이트 주기가 길어서 자동 업데이트 보다는 사용자 업데이트가 빠르다.) - Adobe Flash 업데이트 방법 1) 윈도우..

국정원도 업계라고 해야할까 ? http://whois.nis.go.kr/app/recruit/news/view?dataNo=63349&hcode=1347753293711611839603372&viewNo=1 국가정보원에서 사람을 뽑고 있는데 (2008.05.23 에 올라옴) 바이러스 분석이 존재한다. 바이러스분석 전산학 등 관련분야 학사학위이상 소지자로서 악성코드 및 보안취약점 분석 등 연구·근무경력 5년 이상자 그런데, 근무경력 5년 이상 .... 대한민국에 과연 몇명이나 될지.. 하지만, 결정적으로 다음 문제가 있다. 76.1.1 이후 출생자(남자는 병역필 또는 면제자) 1976년 이후 태어났으며 경력 5년 이상되는 사람이 몇명이나 있을까 ? o 원서접수 기간 : 2008.6.16(月) 10:00 -..

[기사] 미백악관 전산망 중국 해커에 '또 뚫렸다(!)' 는 제목으로 뉴스에 떴다. http://www.cbs.co.kr/Nocut/Show.asp?IDX=842332 하지만, 아쉽게도(?) 기자가 착각 한것으로 보인다. 이 사건은 이미 5월 22일 경에 발생한 사건으로 사이트 중단은 5월 30일 이뤄졌다. 하지만, 해킹된 사이트는 백악관이 아니라 백악관 패러디 사이트이다. 미국 백악관 사이트는 http://www.whitehouse.gov 로며 해킹된 사이트는 http://www.whitehouse.org 로 현재 백악관은 정상적으로 사이트가 뜬다.