쿨캣의 블로그 놀이

주로 보는 샘플이 악성코드(바이러스, 웜, 트로이목마)이다보니 스파이웨어(애드웨어, 허위 안티 스파이웨어 포함)쪽은 크게 신경을 쓰지 못하는데 마침 다운로더 하나를 보게되었는데 이 샘플이 바로 허위 안티스파이웨어 제품을 사용자 몰래 설치하는 프로그램이다. 배포 제휴 업체에서 제작한 프로그램으로 보이며 해당 업체에 파트너 ID 와 설치된 시스템 MAC 어드레스를 보낸다. (껀당 얼마인지 ?! 그리고 맥어드레스를 넘기는건 좀 심한거 아닌가 ?!) 그래. 백번 양보해서 설치된 안티 스파이웨어 제품 성능이라도 좋다면 ..... 설치되자마자 자동으로 실행된다. 조금 시간 지나니까 악성코드 감염되었다며 당장 치료하라고 난리 난리 쳤다. 그런데.... 검사 내역을 확인했다. ADW-Win32.Alexa : 윈도우 설..

* 기사 - 전국 법원망 바이러스 감염 '사고' http://www.inews24.com/php/news_view.php?g_menu=080204&g_serial=265892 - 법원 전산망 '바이러스' 다운, 8일 대부분 복구 http://www.inews24.com/php/news_view.php?g_serial=265927&g_menu=020200 * VirusTotal 검사 결과 (2007년 6월 8일 오전) 발견 당시부터 많은 제품에서 진단되지 않았다. 또한 진단되는 제품도 치료를 못하고 삭제하거나 치료하면 파일이 깨지는 경우도 존재했다. STATUS: FINISHEDComplete scanning result of "cvftp.exexx", received in VirusTotal at 06...

안랩에서 강제 설정 파일(주로 기업체에서 사용)을 몇개 업체에서 진단한다. AutoIt 으로 작서되어서 인가 ? 해당 업체에는 제외 요청 메일을 보냈다. * 파일명: RunSu.exe * 파일길이 (File size) : 121,038 bytes * MD5 : e79c6b1c175c172eb24f8ca51d187356 -------------------- * 타백신 진단명 AhnLab-V3 2007.5.24.0 05.25.2007 no virus found AntiVir 7.4.0.27 05.25.2007 no virus found Authentium 4.93.8 05.23.2007 no virus found Avast 4.7.997.0 05.24.2007 no virus found AVG 7.5.0.4..

2007년 5월 21일 MSN 메신저를 통해 아래와 같은 내용이 뿌려졌다. xxx 님의 말: www.whoadmit****.com

virus.gr 에서 2007년 4월 테스트 결과가 나왔습니다. http://www.virus.gr/english/fullxml/default.asp?id=85&mnu=85 virus.gr 은 명확한 인증기관이 아닌 언더그라운드 성격이 강하고 공정성과 신뢰도에 대한 이슈가 많이 제기되고 있지만 그런 부분은 여러번 언급되었고 안랩 제품 진단율이 낮게 나온게 또 사실이니 이런 저런 확인 중에 다음 사실을 되었습니다. 오늘 확인된 바로는 테스트된 V3 의 경우 스파이웨어 검사는 안하고 바이러스만 검사 했다고 하네요. Malware 샘플 수는 총 12,463개이고 V3 진단율은 22.18 % 나왔습니다. Malware = Adware, DoS, Constructors, Exploit, Flooders, Nuke..

개인적으로 보면서 도움을 받았던 책을 정리해봤다. * 악성코드 및 보안 - 웹 해킹 패턴과 대응 (황순일, 김관진, 사이텍미디어) - Virus Research and Defense (Peter Szor) - Virus Bulletin (www.virusbtn.com 에서 과월호 PDF 다운로드 가능) * 윈도우 - Microsoft Windows Internals, Fourth Edition: Microsoft Windows Server 2003, Windows XP , and Windows 2000 (Russinovich Solomon, Microsoft) - Microsoft Windows Internals, Fourth Edition: Microsoft Windows Server 2003, Win..

제가 뮤즈를 선택한건 마침 경품 이벤트 때문이기도했지만 멜론의 정말 기괴한 약관에 대한 실망이 컸던 이유도 있습니다. - 멜론 플레이어 이용약관 : http://xcoolcat7.tistory.com/50 하지만, 뮤즈도 과거에 사용자 동의 없이 바탕 화면 바로가기 아이콘 만들기나 무차별 적인 광고를 한 적이 있더군요. 뭐.. 벅스에서는 2004년에 사용자가 어떤 검색어를 입력하는지 모니터링하는 TCP.EXE 를 플레이어에 같이 배포 한적이 있으니 벅스야 말로 최강이겠죠. 한참 문제가 되어 결국 빠졌긴 하지만 이런 마케팅이 회사 이미지에 얼마나 먹칠을 하는지 담당자는 생각했을까요 ? * 뮤즈 플레이어 동작 방식 TCPVIEW 로 보면 뮤즈 플레이어를 보면 다음과 같이 실행되더군요. - 웹사이트에서 플레이..

2007년 5월 2일 다음과 같은 Hoax 가 국내에 퍼졌습니다. - 다시 한번 얘기하지만 존재하지 않는 허위 바이러스 정보입니다. 개인적으로 후배로부터 문의 전의 왔었는데 회사 사람들도 받았다고하니 꽤 퍼졌나 봅니다. Hoax 를 읽어보니 Hoax 의 구성 요건을 모두 갖추었네요. 1. 언론사, 마이크로소프트웨어사, 보안 회사 처럼 공신력 있는 회사에서 경고한 것으로 위장 2. 메일을 여는 것 만으로 시스템이 모두 파괴 3. 어떤 백신 프로그램으로도 치료 할 수 없음 4. 사본을 만들어 여러 친구에게 알리도록 권고 명심하세요. 이런 조건을 갖추었다면 Hoax 일 가능성이 매우 높습니다. [Life is beautiful hoax 관련 사이트] http://www.symantec.com/security_..

2007년 4월에 추가된 샘플을 정리하다가 아주 엽기적인 샘플을 발견했습니다. 파일길이는 무려 247,273,510 바이트 ! 오타아닙니다. 235 MB 입니다. V3 진단명은 Win-Trojan/Killfiles.247273510 악성코드 제작자들 중 머리속이 궁금한 사람이 존재하지만 이 제작자도 무척 궁금하네요. 특히나 다음 메시지를 파일 가득 넣어두었네요. Do not say to the police.!! Is killed!! Please Call Me TEL:0774 22 2202 이 문자열을 계속 반복합니다. 이 샘플을 보기 위해 실행한 텍스트 뽑아 주는 프로그램, 윈도우 헥사 에디터 모두 죽었습니다. (정확하게는 엄청나게 오래걸리거나 무한루프에 빠졌겠죠. 프로그램을 보니 데이터를 모두 읽고 이..

ANI 파일 취약점을 이용한 악성코드가 계속 등장하고 있다. 최근에 등장한 변형은 백신이 앞부분에서 주로 취약점 코드를 검사해 진단되지 않도록 exploit 코드를 파일 뒷부분으로 옮겨 두었다. 이로써 진단 루틴의 수정은 불가피해졌다.

캄보디아 로컬 백신 Khmerscan KHMER SCAN 7.0 - 홈페이지 : http://khmerscan.somee.com/?go=Programs.asp (현재 접속 안됨) - 제작자 : Mr. Cheam kunthy - 메일주소 : c_kunthy2004@yahoo.com - 기능 : 초간단. 인스톨도 필요없음. 그냥 실행하면됨. 실시간 감시 없음 - 전통 안티 바이러스라기 보다는 안티 스파이웨어 제품에 가까운 것으로 보임

FSG.EXE FSG packer 1.0 false positive 현재 상당수 프로그램이 실행 압축 프로그램인 FSG 1.0 을 트로이목마로 진단하고 있다. 오진 확인 접수되어 샘플을 봤는데 다운로더 기능을 찾을 수 없어 V3에는 제외했다. File size: 15,024 bytes MD5: 97f0c03be2c303dd75246d519bb3985e * VirusTotal result AhnLab-V3 2007.4.5.0 04.04.2007 Win-Trojan/Downloader.15024.B AntiVir 7.3.1.48 04.04.2007 no virus found Authentium 4.93.8 04.04.2007 is a destructive program Avast 4.7.936.0 04.04..

2007년 3월 29일 McAfee 와 Trend 에서 새로운 변조된 ANI 파일을 이용한 취약점 공격이 알려진다. * V3 진단명 : Win-Trojan/Exploit-ANI.B (2007.03.31.00 이후 엔진) * 기능 : 변조된 ANI 파일을 이용해 취약한 시스템에서 자동으로 파일을 다운로드 물론 다른 악의적인 일도 가능함 [보안패치] 2007년 4월 4일(수)에 MS07-017 보안패치가 나왔다. http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx [관련자료] - MS 윈도 신규 제로데이 취약점 발견 http://www.moneytoday.co.kr/view/mtview.php?type=1&no=200703301327095890..

2007년 3월 27일부터 시스템을 부팅하면 로그온창에서 로그인하고 나면 다시 로그오프되어 버리는 문제가 발생했다. 결과적으로 시스템을 사용할 수 없다. 시스템 확인 결과 아래와 같이 레지스트리에 로그온 정보가 있어야 한다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 이름 : Userinit 데이터 : C:\WINDOWS\system32\userinit.exe, 하지만, 문제의 PC는 아래와 같이 userinit.exe 파일이 없다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 이름 : Userinit 데이터 : exe.exeexe...

Win32/Dellboy 바이러스 제작자는 검거 되었지만 변형은 계속 등장하고 있다. MD5 : 5af7352bc0bd0e356aa1b408aee042c7 파일길이 : 53760 이번 변형은 바이러스 기능은 아직 찾지 못했다. 실행되면 각 드라이브에 autorun.inf 와 RECYCLER.EXE 생성한다. 플로피 디스크가 있는 시스템의 경우 플로피 디스크가 삽입되어 있지 않으면 에러가 발생 한다. No disk There is no disk in the drive, Please insert a disk into drive A: 이는 제작자가 모든 폴더에 RECYCLER.EXE와 AUTORUN.INF 파일을 생성하는데 미처 플로피 디스크인건 확인하지 않았기 때문이다. 시스템에서 확장자가 HTML, SHT..

Win32/ShadoBot 이 2007년 3월 26일과 27일에 퍼졌습니다. 저는 26일에 블로그에 올렸고 27일에 회사에서 보도자료가 나갔지요. 안랩 기준으로 접수보고는 26일 10건, 27일 3건 입니다. 하지만, 실제 보고는 얼마나 되었는지 포털을 통해 검색을 해봤습니다. 네이버는 photo album.zip 이 완성되어 있습니다. 야후는 검색어에 없고 다음은 photo album 은 있지만 다른 결과 내용입니다. 네이트는 photo album.zip, photo album 바이러스, photo album2007.pif 등 다양하게 검색됩니다. 그중에 네이버가 가장 사용자가 원하던(악성코드 정보) 내용이 출력되더군요. 아무래도 사용자가 많아서 이겠죠 ? 제 글이 네이버나 다음 카페에 퍼날라지면서 평..

중국산으로 추정되는 웜에서 사용되는 비밀번호 보안을 위해서는 이런 비밀번호는 사용하지 않아야함 !@#$ !@#$% !@#$%^ !@#$%^& !@#$%^&* 000000 00000000 0123456789 huaxia 1 101010 111 111111 1111111 11111111 1111111111 111222 112233 11223344 121212 12121212 123 123123 123321 1234 12344321 12345 123456 1234567 12345678 123456789 1234567890 1234qwer 123abc 123go 1313 131313 1314520 147258 168168 1p2o3i 1q2w3e 1qaz2wsx 2222 222222 2222222 2222222..