쿨캣의 블로그 놀이

요즘 USB 메모리나 외장형 하드디스크를 통해 전파되는 악성코드가 증가하고 있다. 프로세스가 실행 중일 떄는 악성코드 실행 파일과 autorun.inf 파일을 삭제해도 다시 생성해 사용자 입장에서는 지워도 지워도 치료가 안되는 것처럼 보이게 한다. 발견된지는 오래되었지만 USB 드라이브에 자신의 사랑을 얘기하는 악성코드가 존재한다. - 생성 파일명 : Edelin_X.exe - 파일길이 : 32,768 바이트 - MD5 : 3ca1a6fe4c3eb75f580b988d06ae26c4 - V3 진단명 : Win32/Autorun.worm.32768.B (2007.10.26.00 엔진 이후 진단) 이 악성코드는 실행 파일과 autorun.inf 외에 Surat Untuk Edelin.txt 파일이 생성되며 아..

안랩의 멕시코 협력 업체에서 보낸 샘플로 2007년 10월 5일 현재 McAfee 만 진단하고 나머지는 진단되지 않는다. - 파일길이 : 32768 bytes - MD5: 463998904a6a61fd67d33a07aadd16b3 - V3 진단명 : Win-Trojan/QHost (2007.10.06.00 이후 엔진) HOSTS 파일을 변경해 banamex.com 으로 접속하는 주소를 변경한다. 사용자가 Banamex 로 접속하면 변경된 IP 로 접속하는데 해당 IP 를 추적해보면 미국이다. Ft Lauderdale, FL, UNITED STATES 실행을 위해서는 VB6ES.DLL 파일이 필요해 한글 윈도우에서는 제대로 실행되지 않는다. 여러나라에서 은행계정 정보를 빼내기 위한 시도는 계속되는 것으로 ..

안티 바이러스 오진 문제는 항상 있었지만 샘플이 많이 증가하면서 상대적으로 샘플을 꼼꼼히 볼 시간이 부족하다보니 타업체의 진단을 참고하는데 한곳에서 오진하면 같이 오진이 나는 경우가 많다. - 파일길이 : 61440 bytes - MD5: 3a9bcde21a8d27f0c4b7f43615e0e821 해당 샘플은 안랩으로 2006년 11월 22일에 처음 샘플이 접수되었고 그때 정상파일로 분석되었다. 하지만, 이 샘플에 대한 재분석 요청이 들어왔는데 샘플을 봤는데 마더보드 (Mother Board) 관련 프로그램으로 보인다. 0000B054 0040B054 0 \auto.ini 0000B06C 0040B06C 0 SETUP%d 0000B074 0040B074 0 ============= 0000B090 004..

안티 바이러스 프로그램인 NOD32 폴란드 버전에서 바이럿 변형(V3 진단명 Win32/Virut.D)이 발견된 사건이 있었다. 2007년 6월에 일로 제법 오래된 일이다. 감염된 파일명은 아래와 같으며 모두 2007년 6월 11일로 되어 있다. Autorun.exe (460,800 bytes) 7c863693179cb054304fe9a2769e9b1f wersjaad.exe (317,952 bytes) d612407a8fc740f8998883bd2f8bcd69 wersjast.exe (317,952 bytes) d1eb12b4d46a5301092ec6fef0c580d8 이전에도 안랩을 포함한 여러 보안업체에서도 제품 혹은 엔진 파일이 신종 혹은 구종 바이러스에 감염되어 배포된 일이 있었다. 바이러스 감..

http://www.zdnet.com.au/video/play/22172504 CA (예전 Vet) 바이러스 분석실의 내부 동영상이다. 자세한 내용은 나오지 않지만 그냥 바이러스 분석실 내부 소개 정도 ? Virus Bulletin 2007 컨퍼런스에서 CA 사람들을 만났는데 최근 엔진을 하나로 통일했다고 한다. 아쉽게도(?) 오스트레일리아의 Vet 엔진을 버리고 이스라엘쪽 엔진만 사용하는 것으로 보인다.

MMSadari.exe - 사다리게임으로 가장한 다운로더 - 파일이름 : MMsadari.EXE - 파일존재 : C:\Program Files\MMSadari\MMSadari.exe - 파일길이 : 721,408 - MD5 : 148afaf3eed47971087d44dc52c589da - V3 진단명 : Win-Trojan/Downloader.721408 (2007.09.07.00 이후 엔진) 사다리게임으로 나오는데 실제로는 사용자 모르게 neo4.exe (243,712 바이트)를 다운로드 한다. neo4.exe 는 특정 툴바를 다운로드 한다. 즉, 툴바를 사용자 모르게 설치하기 위해 사다리 게임으로 가장한 것이다. 당연히 한국에서 작성되었을테고 한가지 이상한건 포털 등에서 검색해보면 2007년 4월 부..

후배에게 웹브라우저로 사이트를 접속하면 아래와 같이 이상한 문자열이 먼저 뜬다고 한다. BBBBBBB^BB걁BBrBBBBsZ 회사 사람들에게 얘기를 들어보니 ARP (address resolution protocol) 스푸핑에 의한 공격이라고 한다. ARP는 (Address Resolution Protocol)는 주소결정 프로토콜으로 IP 주소를 물리적 네트워크 주소로 대응시키기 위해 사용되는 프로토콜이다. 간단한 조치 방법은 스위치를 껐다 켜는 것이다. 하지만, 내부망에 ARP 스푸핑을 발생하는 악성코드가 존재 할 가능성이 높은 만큼 해당 시스템을 찾아 악성코드를 제거해야한다. 인터넷을 찾아보면 다음과 같은 정보가 있다. * 스위치 재밍(Switch Jamming) 테스트 http://blog.nave..

[1] 네이버 무료 백신 베타 테스트 http://www.etnews.co.kr/news/detail.html?id=200708310184 NHN (네이버)에서 무료 백신인 PC그린을 베타 테스트에 들어갔다고 한다. KT에서 자사 사용자를 대상으로 메가닥터를 배포했는데 NHN에서 무료 백신을 배포하면 예상했던것 처럼 국내 개인 시장은 거의 끝난게 아닐까 싶다. 개인적으로는 개인 사용자는 무료 버전을 배포해 수익적인 면에서는 다소 떨어지겠지만 보안업체의 공공성에 대한 상징성, 개인 무료 사용자를 대상으로한 인지도 상승, 개인 무료 사용자를 통한 유용한 자료 수집 (사용자 동의하에 검사 결과 수집을 통한 악성코드 실제 분포도 혹은 확산 정도 등) 등도 고려해보는건 어떨까 싶다. [2] 안랩 빛자루도 서비스 ..

6월 이탈리아에서 Mpack 을 이용한 대규모 웹사이트 해킹 공격이 있었다. 일단 서버를 해킹하고 Mpack 을 설치하면 HTML 문서에 취약점을 이용해 접속하는 사용자 공격하는 코드를 심어둔다. Mpack 은 러시아에서 제작된 것으로 알려져있으며 돈을 받고 팔고 있다. [참고자료] http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/06/19/More-about-Mpack.aspx http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/07/20/More-about-Mpack-II.aspx

2007년 8월 22일 오전 국내에 새로운 메신저 웜이 발견되었다. - V3 진단명 : Win32/Fuas.worm.81408 - 엔진 : 2007.08.22.01 이후 - 샘플코드 : EC07082100063-000001 - MD5 : 3cc4dfe64efd52d43fa15d1fc3b86344 - 파일길이 : 81,408 바이트 MSN 메신저로 전파시 사용되는 문구 OMG I broken my foot, look! Is this you? Accept dis picture homie Hahahahahahahaha look @ my new car Look @ my new house Did you see this picture of Paris Hilton? OMG, this picture is so sad ..

미국에서 여교사인 Julie Amero 가 수업 시간에 아이들에게 포르노 사이트를 보여주는걸 방치했다고 2007년 3월 2일 유죄를 선고 받았다고 한다. 무려 40년 형을 선고 받았다고하는데 포르노가 금지된 한국이지만 사실상 포르노가 방치되는 한국과 달리 미국이나 유럽은 유아 포르노 및 아이에게 성인물을 노출되는건 무척 큰 죄인가 보다. 하지만, 여교사는 애드웨어가 설치되어 발생한 일이라고 주장하고 있고 실제로 시스템에서 성인 광고를 띄우는 애드웨어가 발견되었다고 한다.이후 선고는 취소 되었다고 한다. http://www.drumsnwhistles.com/2007/06/08/julie-amero-heroes-and-villains/ * 참고 사이트 http://tinyurl.com/3au7cz http:..

휴... 오랜 기간 동안 바빠서 못 썼는데... 악성코드 역사 1999년이 끝났습니다. 최근으로 오면서 자료가 많아서 이것 저것 정리할 게 많네요. 방금 자료를 넘겼으니 곧 안랩 홈페이지에 자료가 올라갈 것으로 보입니다. 1999년을 정리하면 메일, 네트워크를 통한 새로운 전파 방법 그리고 취약점 이용 등 악성코드의 패러다임 변화이다. * 악성코드의 역사 http://kr.ahnlab.com/info/securityinfo/infoView.ahn?seq=9252&category=01 * 1999년 내용 http://kr.ahnlab.com/securityinfo/infoView.ahn?seq=10493&category=01

MSN 에서 2007년 8월 6일 경고 뜬 악성코드 정보가 있다. http://windowslive.msn.co.kr/wlm/customer/view.asp?sectionDiv=2&seq=161 내용에 사용된 진단명은 잉카 인터넷으로 Backdoor/W32.IRCBot.120832.B 이다. V3 진단명은 Win32/Agent.worm.120832 으로 2007.07.24.01 엔진에 추가되었다.

McAfee 진단명을 보면 예전 도스 바이러스 진단명 중 Univ 가 자주 눈에 띈다. 특정 바이러스에 대한게 아니라 궁금했는데 Univ 는 바로 Universal Generics 이다. 예전 도스 바이러스 시절에 PS-MPC, VCL 등 바이러스 생성 도구로 만들어진 프로그램을 위해 사용되었다고 한다. 1999년 11월까지 McAfee 는 10 개의 Universal Generics 가 있었다는 사실 ~ 이걸로 McAfee 는 시그니처 수를 줄였다. 하지만, 요즘같은 시대에는 쉽지 많은 않은 일이다.

여러 백신 프로그램에서 악성코드로 진단하지만 모 회사에서 진행하는 한글키워드 서비스의 일종이다. 프로그램이 전형적인 다운로드 기능이 있어 대부분의 제품에서 트로이목마라고 진단하는데 개발회사 입장에서는 억울하겠지만 자신의 프로그램이 왜 악성코드로 오인 받는지 한번 생각해볼 필요가 있을 듯 싶다. 다음 사항이 있는 건 어떨까 ? 1. 파일 다운로드 할 때 사용자 동의 구함 (특히 실행 파일을 다운로드할 경우) 2. 파일 내 프로그램 이름, 목적, 회사, 연락처 표기 (이 파일에는 존재함) * VirusTotal 결과 Antivirus Version Last Update Result AhnLab-V3 2007.8.9.1 2007.08.09 Win-Trojan/Downloader.172032.F --> 제외 예..

아침에 제 네이버 블로그에 올린 '곰플레이어 개인정보 유출 의혹' 글이 명예훼손으로 곰플레이어측 요청으로 임시 차단되었더군요. 아래 글은 네이버와 같은 글입니다. http://xcoolcat7.tistory.com/121 처음에 테스트하면서 곰플레이어측 주장도 함께 담으며 객관성을 지키려고 했고 제 의견과 바램도 적었습니다. 저는 곰플레이어측의 실수라고 믿고 싶고 진실에 대해 물어보는 기자분에게도 실수일꺼라고 했습니다. 그런데 ! 제 글을 차단했습니다. 네이버에 다시 게재 요청을 하려니 신분증 보내야한다는군요. (이런...) 귀찮기도 하지만 글 살릴려고 제 개인정보있는 신분증 왜 보냅니까 ? 네이버에는 다시 글 올렸습니다. 다시 한번 제글 잘 읽어보시고 그래텍 측은 어느 부분에 대해서 문제 있는지 지적해..

2007년 5월 중순 오픈오피스(OpenOffice)에서 활동하는 악성코드가 등장한다. [기사] - OpenOffice worm Badbunny hops across operating systems http://news.com.com/OpenOffice+worm+Badbunny+hops+across+operating+systems/2100-7349_3-6189961.html - Worm targets Windows, Mac and Linux computers http://www.sophos.com/security/analyses/sbbadbunnya.html 다행히 개념 증명 수준이라 큰 이슈는 되지 않았다. 또한 오픈오피스 악성코드는 이미 여러차례 우려가 되었다.