쿨캣의 블로그 놀이

* 파일명 : scrun.exe File size: 155,648 bytes MD5: f7c5586ff9b16a05f0f1073eb9be535a File Size : 155,648 MD5 : 34848277563dc80fd8d2252e2f2607f5 SpyZero 진단명 : Win-Adware/Kperfect.155648 * 설명 : 팝업 광고창을 띄우는 애드웨어 네이버에 검색해보면 2007년 2월 중순부터 scrun.exe 파일에 오류가 발생했다면서 문제가 발생하는 경우가 있었다. * 관련 사이트 - 안철수연구소 Win-Adware/Kperfect.155648 정보 http://kr.ahnlab.com/info/smart2u/virus_detail_7333.html

* 파일명 : mdmDropTarget.dll * 설명 : Zip+ 의 구성 파일. Zip 파일 위에 파일을 떨어뜨렸을 때 파일 압축 시키는 모듈 현재 일부(라고 하기에는 상당수) 외산 백신에서 트로이목마로 오진 해당 업체들에게 확인을 요청하는 메일을 보냄 * 제작 : 엔터코 인터렉티브 * 제작자 : 이정욱 http://zipnall.net/english/main.html : English http://zipnall.net : Korean * MD5 : 017a61f89ea9bfa76327b9ce08399bfd * 파일길이 : 136,192 * VirusTotal 진단결과 ( 2007.03.23 ) AhnLab-V3 2007.3.23.0 03.22.2007 no virus found AntiVir 7.3..

1980년대 후반 부터 시작된 안티 바이러스 제품들 많이 등장 했지만 또 많이 사라졌다. 이에 과거 제품을 한번 정리해 보았다. - Carmel Turbo AntiVirus(이스라엘) : CPAV의 모체가 된 제품으로 시장에서 철수 (1998년 말) - Central Point CPAV (미국) : 시만텍에 인수됨 (1994년) - Cheyenne Inoculan (미국): CA 에 인수됨. - Cybec Vet (오스트레일리아) : CA 에 인수됨 (1991년 1월) - Dr Solomon's AVTK (영국): McAfee 에 인수됨 (1998년 6월) - EliaShim/eSafe (이스라엘) : Aladdin Knowledge Systems (AKS)에 인수 (1998년 12월) - ESaSS T..

Virus Bulletin 지에 실린 각국 초기 바이러스 현황 - 대한민국 (South Korea) : Virus Bulletin 1999.04 p.13-14 by Charles Ahn at AhnLab. - 체코, 슬로바키아(Czech & Slovakia) : Virus Bulletin 1998.03 p.8 - 9 by Pavel Baudis at Alwil - 프랑스 (French) : Virus Bulletin 1997.08 p.10 - 11 & 1999.12 p.16-17 - 그리스(Greece) : Virus Bulletin 2000.09 p.14-15 - 인도 (India) : Virus Bulletin 1997.04 p.16 - 17 - 루마니아 (Romania) : Virus Bulleti..

예전에 멜론 플레이어를 설치하려다가 약관 보고 포기했다. * 멜론 플레이어 약관 http://www.melon.com/utility/contents/melonplayer.jsp 문제가 되는건 제 8조이다. (특히 2007년 3월 28일 약관에는 더 새로운 내용이 추가되었다.) 제8조 (데이터 및 기타 자료의 수집 및 사용 ) ① 회사는 소프트웨어와 관련하여 이용자에게 제공되는 제품 지원 서비스의 일환으로 이용자PC의 데이터를 수집하고 사용할 수 있습니다. ② 회사는 제1항의 자료를 소프트웨어를 개선하거나 이용자의 사용환경에 적합한 서비스 또는 기술을 제공하기 위한 목적으로만 사용하며 그 외의 다른 목적으로 사용하지 않습니다. ③ 회사는 대용량 데이터를 더욱 원활히 전송하기 위해 이용자의 PC 및 네트워크..

- 파일명 : UDA.EXE - 파일길이 : 14336 bytes - MD5: 79b719f5c3bf7e1025e041df8b92a125 - 프로그램 설명 : 중국 압축 프로그램 중국에서 타사에서 진단하는데 V3 에서 진단 못한다고 샘플이 접수되었는데 확인 결과 중국에서 제작된 압축 프로그램이었다. 이에 진단되는 타사에 메일을 보내 제외 요청을 했는데 Rising, Ediwo, Fortinet, Panda 에서 빼겠다는 답장이 왔다. 2007년 3월 20일 현재 VirusTotal의 진단 결과

VForum VForum은 안티 바이러스 연구원들이 서로 정보를 논의하는 곳이다. 메일링 리스트 서버는 현재는 플로리다에 있지만 예전에는 AV-TEST 가 있는 독일 함부르크(Hamburg)에 있었다. 1990년대 중반까지는 주로 기술적 논의(Technical discussion)가 있었다고 한다. 직접 디스어셈블된 내용이 오고가면서 분석 내용을 공유했다고 한다. 1990년 말 Vforum의 멤버가 변경되면서 기술적인 논의는 줄어들었다. 2005년 EICAR 2005 컨퍼런스에서 사이트를 함부르크 대학에서 플로리다(Florida)로 옮겼다고 한다. 또한 안티 바이러스 전문가 뿐 아니라 IT 보안쪽으로도 멤버를 확대했다. 메일링 리스트 가입은 추천 후 투표를 통해 결정된다. 따라서, 가입을 위해서는 가입된..

BKAV2006 Home Edition * 홈페이지 : http://www.bkav.com.vn/) * 지원언어 : 베트남어, 영어 * 제작자 * 실행 화면 * 관련기사 - Top-notch Vietnamese software BKAV raises antivirus bar http://news.cnet.com/8301-17938_105-10109507-1.html?part=rss&tag=feed&subj=News-Security

* V3 진단명 : Win-Trojan/Mapler.52736 * MD5 : 89bd7da769eae27d7b3d9e49a3073811 * 파일길이 : 52,736 안랩 ASP 제품을 무력화하기 위해 C:\Program Files\AhnLab\ASP 을 C:\Program Files\AhnLab\ASPS 로 변경한다. 00007898 00408498 0 C:\Program Files\AhnLab\ASPS 000078C0 004084C0 0 C:\Program Files\AhnLab\ASP ASP 폴더에는 다음 보안 관련 폴더들이 존재한다. Components MyFirewall 2.0 MyKeyDefense 2.0 Smart Update i 국내 겨냥 중국 해커들에게는 공공의 적이 국내 보안 제품인가 보..

* 출처 http://swbae.egloos.com/tb/1522499 * 일본 번역 기사 http://j2k.naver.com/j2k_frame.php/korean/itpro.nikkeibp.co.jp/article/NEWS/20070306/264036/?ST=security 예전 Apple iPod 기기에 발견된 악성코드와 유사한 사건으로 보인다. 다행히 V3에서 기진단되는 샘플이다. ----- * 정보 - V3 진단명 : Win32/Xema.worm.47104 (2006.06.28.00 엔진에 추가) - MD5 : 3779e1cbfd20a5e300e15eccbed54b2a - 길이 : 47,104 타백신 진단명은 다음과 같다. (윽.. MS 가 진단을 못하네. 씹기 좋아하는 사람들에게는 또 입에 오..

2007년 3월 4일 '국산 악성코드 제작도구 발견' http://www.etnews.co.kr/news/detail.html?id=200703020171 이란 내용으로 기사화 되었다. 정확하게는 조크 프로그램 생성기 이다. 이전부터 알고는 있었지만 조크 생성기라 크게 신경쓰지 않았다. (변명하지면 조크 생성기보다 급한 악성코드들이 더 많기 때문이다.) 팀 사람중 한번이 검색해보고 진단 안되는 최신 버전을 어제 추가했다. 생성기 1.4 버전은 다음과 같다. - V3 진단명 : Constructor/Ghost.389120 - MD5 : a5d4005afaa512ae73bd5f1d9b9a9756 조크라고 하지만 시스템 종료, 마우스 먹통과 같은 기능은 장난을 넘어선 악의적인 기능으로 볼 수 있다. 게다가 1..

오늘(2007년 3월 6일)은 미켈란젤로 바이러스(Michelangelo virus)의 활동일이다. 미켈란젤로 바이러스는 이제 멸종된 바이러스로 요즘 출시되는 시스템에는 달려있지도 않는 플로피 디스크로만 전파되는 부트 바이러스이다. 3월 6일이 1992년 미켈란젤로 바이러스 소동이 있었던 날이라는걸 기억하는 사람이 얼마나있을까 ? 동아일보에 [책갈피 속의 오늘] 1992년 미켈란젤로 바이러스 소동이라고 기사화 되어서 다시 한번 생각해 본다. http://www.donga.com/fbin/output?n=200703060062 본문의 내용 중 안철수연구소 홈페이지에 올려진 내용으로 인용된 자료는 필자의 '악성코드 역사'에서 가져온 부분으로 보인다. ‘미국의 모 백신업체는 최소 500만 대의 컴퓨터가 이 바..

몇몇 온라인 게임 계정 탈취 프로그램은 키로거를 막기 위한 보안 프로그램을 무력화하기 위해 메모리 패치를 하지 않고 파일을 바꿔치기해서 변경하는 것으로 보인다. 프로그램의 메모리 내용 변경 방지 기능 때문이 아닐까 싶다. 최근에 분석하는 샘플 중 마이키디펜스 방해를 방해하는 파일과 동일한 샘플이 발견되었다. %windir%\Downloaded Program Files\AKLMGame.ocx (13,824 바이트) V3 에서는 Win-Trojan/Diskey.13824 로 진단된다. Diskey는 Disable MyKeyDefense 에서 따왔다고 한다. 이 샘플은 안랩의 키로깅 방지 프로그램인 마이키디펜스가 설치안되는 문제에서 발견되었다.

IrmBot 내부 문자열들 제작자는 IrnBot 으로 불리기 원했지만 안랩은(실제로는 옆자리 사람과 쑥덕쑥덕) 제작자의 의도를 무시하고 IrmBot 으로 부르기로했다. (2007년 3월 2일에) * 이름 변경 Win32/IRCBot.worm.206848.I -> Win32/IrmBot.worm.206848 Win32/IRCBot.worm.210944.B -> Win32/IrmBot.worm.210994 Win32/IRCBot.worm.212992.F -> Win32/IrmBot.worm.212992 Win32/IRCBot.worm.214528.F -> Win32/IrmBot.worm.214528 Win32/IRCBot.worm.222720.B -> Win32/IrmBot.worm.222720 ------..

V3 진단명 : Win32/IRCBot.worm MD5 : AD99BFACD166264CA50CCD40BF4670E5 길이 : 214528 메시지 내용) Dear Symantec: For years I have longed for just one thing, to make malware with just the right sting, you detected my creation and got my domains killed, but I will not stop, I can rebuild. P.S. Fuck you assholes, especially Stephen Doherty who is the biggest faggot I know of.

아마도 악성 IRC봇의 IRC 채널을 차단해버리니 Bot 제작자가 이런 활동에 불만을 품은 메시지를 자신의 Bot 에 포함하고 있다. 이중 KISA에서 일하는 분도 계셔 눈길을 끈다. * MD5 : 099196e29c01c0ecd896c7f10d0308e9 *sesvc.exe * 길이 : 210,944 * V3 진단명 : Win32/IRCBot.worm.210944.B -------- You better fuck off SANS.org especially that Johannes Ullrich (*******@****.org, 617-7xx-xxxx) and Kevin Hong (xxxxx@******.or.kr, +82-2-4xx-5xxx). I really don't have anything agai..

Win32/Dellboy(W32/Fujacks, Whboy, 판다 바이러스) 바이러스 제작자와 이 바이러스를 배포한 중국인이 검거되었다고 한다. 다음은 안랩에서 중국어가 가능한 분이 요약한 내용이다. ------------------------- 호북성 무한시(WuHan)의 리준(25세)가 제작자이며 리준은 2006년 10월 16일 현재 이 바이러스를 120 여명에게 팔아 1200 만원을 챙겼다고 한다. 검거된 나머지 5명은 코드를 수정해 배포했다고 한다. 자기가 제작자라고 거짓말한 사람이 있는데 이 사람의 회사는 현재 주기적으로 저녁 8시-12시 사이에 해커들의 공격을 받고 있다고 한다. ---------------------------------- 120여명에게 팔았으므로 제작자가 잡혔다고해서 Del..