728x90
반응형

악성코드/악성코드 소식 128

웜 확산보다 소문이 빨랐던 2090 바이러스

2009년 2월 9일 시스템 날짜를 2090년 1월 1일로 변경하는(변경되지 않을 수도 있음) 신종 악성코드가 발견되었다. - 파일명 : system.exe - 파일길이 : 15,872 바이트 - MD5 : 9420396e9264918f50155b577ceda82e - V3 진단명 : Win32/AimBot.worm.15872 ( 2009.02.09.03 엔진에서 Win-Trojan/Agent.15872.KM 로 진단) 사람들 사이에 2090 바이러스, 2090년 바이러스로 알려진 이 웜은 특징적인 증상으로 감염된 시스템에 따라 2090년 1월 1일로 시스템 날짜가 변경되고 로그인이 안 될 수 있다. (안전모드로 부팅이 안 될 수 있다.) - 안철수연구소 분석 자료 http://kr.ahnlab.com/..

이스라엘 가자 지구 침공 관련 악성코드

2009년 1월 9일(한국시간) 이스라엘의 가자 지구 침공을 이용한 관련 악성코드가 발견되었다. 다음과 같은 메일 제목으로 보내졌다고 한다. - 제목 : THE ISRAELI OFFENSIVE IN GAZA: CON: Israel is at war with citizens Religious war in Gaza - Israel Opinion, Ynetnews 메일 본문의 링크를 통해 Adobe_Player10.exe 파일을 다운로드 한다고 한다. [파일 정보] - MD5 2074b8f39931103b3b8b24dd72de2980 Adobe_Player10.exe (9,790 바이트) 1f337515a3e96fd317dfb24e9fe67448 servicepack1.exe (36,352 바이트) - V3 ..

국내 환경에 진화된(?) 악성코드

다음 리스트 보면 많이 보던 제품들 파일일 겁니다. 바이러스체이서, V3, 알약 등 국내 제품들 리스트가 보이네요. 물론 Avast!, Kaspersky, AVG 등도 보이네요. 다른 제품도 있겠지만 파일 이름을 정확히 몰라서... 국내 환경에 맞게 진화된(?) 악성코드로 보입니다. 000033e8 : LIVESRV.EXE 000036e8 : VCRMON.EXE 000037a8 : Update.exe 000039e8 : AHNSD.EXE 00003aa8 : SUpdate.exe 00003acc : autoup.exe 00003ce8 : CCSVCHST.EXE 00003d08 : ALUSCHEDULERSVC.EXE 00003dcc : luall.exe 00003fe8 : ASHDISP.EXE 000040a..

Win32/Conficker.worm 변형 확산

작년 말부터 조금씩 등장하기 시작한 Win32/Conficker.worm 이 2009년 1월 초부터 극성을 부리고 있다. MS08-067 취약점을 이용하는 새로운 Win32/Conficker.worm 변형이 확산되고 있다. 이 웜은 치료를 어렵게하는 방해하는데 좀 더 기능이 보강되었다. 안철수연구소는 2009년 1월 7일 저녁 국내에서 새로운 변형에 대한 보고를 받아서 전용 백신을 제공하고 있으며 새로운 변형이 계속 발견되고 있다. [기사]------------------------------------------------------------------------------- - 안철수연구소, 인터넷 장애 유발하는 웜 확산 경고 (디지털데일리) http://www.ddaily.co.kr/news/ne..

MS08-067 Server Service Expliot 공격 중 !

요즘 MS08-067 취약점을 이용하는 악성코드 공격이 증가하고 있습니다. 제 컴퓨터로 들어온 공격을 V3 인터넷 시큐리티에서 차단한 화면입니다. 윈도우 업데이트 안하신 분들은 빨리 업데이트 하시기 바랍니다. 해당 취약점을 이용하는 악성코드 중 국내 활동 보고된 건 다음과 같습니다. - Win32/Conficker.worm.62976 - Win32/Conficker.worm.86016 c:\windows\system32\umithx.dll V3에서 치료가 안될 경우 전용 백신을 사용하면 됩니다. http://kr.ahnlab.com/dwVaccineView.ahn?num=80&cPage=1

XML 파싱 취약점

* [XML 파싱 취약점] 2008년 12월 둘째주 새로운 취약점이 발견되었다. XML 파싱 취약점을 이용한 제로데이 공격이다. - 인터넷익스플로러 7.0 XML 파싱 취약점을 이용한 제로데이 공격 http://kr.ahnlab.com/virusNIAsecAdvisor_View.ahn?news_dist=02&site_dist=01&category=VNI002&mid_cate=&sub_cate1=&sub_cate2=&cPage=1&seq=13473&key=&related= - JS/Mult 정보 http://kr.ahnlab.com/info/smart2u/virus_detail_23817.html * [공격 상황] 2008년 12월 15일 월요일 출근해보니 이미 13일, 14일 주말에 국내 사이트를 해킹해..

악성코드는 우주 여행 중 ?!

영국 BBC 뉴스에 국제 우주 정류장 컴퓨터에 악성코드가 함께 우주로 갔다고 발표났습니다. 기사를 보면 해당 샘플은 온라인 게임 계정 탈취 트로이목마로 판단됩니다. (현재 V3 진단 여부를 확인 중) 메이플스토리 게임 계정도 탈취합니다. 역시 중국에서 제작된 악성코드로 보입니다. [파일정보] MD5 : b4577479c3953e1ea59d8ec3a13688ba V3 진단명 : Win-Trojan/AVKiller.115760 (2008.01.01.00 이후 엔진) [진단명] - Kaspersky : Worm.Win32.Autorun.bhx http://www.viruslist.com/en/viruses/encyclopedia?virusid=264464 - McAfee : PWS-Gamania.gen.a h..

autorun 웜의 진화 - 탐색기에서 숨는 웜

최근 USB 플래쉬 같은 외장형 드라이브로 전파되는 악성코드 (흔히 autorun 웜)가 점점 진화하고 있습니다. 예전에는 autorun.inf 에 실행될 파일을 지정하는 형태였죠. V3 진단명 기준 Win-Trojan/IRCBot.71680.B (VS08081300380-000001)을 보던 중 USB 플래쉬 메모리로도 전파되더군요. USB 플래쉬 메모리에 다음 파일을 생성합니다. - autorun.ini : RECYCLERS-1-6-21-6875689567-0328346474-238463292-3211 폴더 - Desktop.ini : 폴더 설정 - usbdriver.exe : 악성코드 autorun.inf 는 다음 내용으로 구성되어 있습니다. [autorun] open=RECYCLERS-1-6-21..

네이버 접속 장애

2008년 7월에 발생한 네이버 카페 장애는 10대의 공격으로 밝혀졌다. 네이버 카페에서 강퇴 당한데 앙심은 품고 30만원에 공격툴을 구매해 공격한 것으로 알려졌다. 기사를 종합해보면 7월 9일부터 16일까지 다른 이용자의 컴퓨터 200대에서 해당 프로그램을 이용해 네이버 사이트에 공격을 가했다고 한다. 공격에 사용된 툴은 2007년부터 제작되었고 올해 초부터 유행하기 시작한 툴이라고 한다. 특히 제작자 웹 사이트는 중국어뿐 아니라 한국어로도 동시 표기되어 있다고 한다. [관련기사] - 단돈 ‘30만 원’으로 네이버·청와대 홈피 농락? http://www.kukinews.com/news/article/view.asp?page=1&gCode=soc&arcid=0920978360&cp=nv - 카페 강제 탈..

네이트온 쪽지로 퍼진 악성코드 - 나티스(Natice)

인터넷을 검사해보면 2008년 6월 30일부터 네이트온 쪽지로 다음과 같은 유형의 쪽지가 보내졌다. 안철수연구소는 2008년 7월 2일부터 조금씩 문의가 오기 시작했지만 정확한 샘플이 들어오지는 않았고 7월 4일 처음 샘플이 접수되었다. '당신에게 매우 흥미로운 내가 찍은 사진을 보냅니다. http:// '우리집에 애완견인데 이뻐요 ? http://' 사용자가 그림을 클릭하면 해킹된 웹 서버로 접속되며 실행 파일을 다운로드 한다. WinRAR SFX 파일로 4개 파일을 포함하고 있다. 26.exe (27,091 바이트) : 80.exe (82,432 바이트) error.jpg (11,656 바이트 ) : 강아지 사진 kiagen.exe (10,240 바이트) error.jpg 는 강아진 사진을 포함하고 ..

삼성SDS Anyframe 에서 바이러스에 변조된 파일 배포

삼성 SDS에서 오픈한 anyframe 에서 델보이 바이러스(Win32/Dellboy virus)에 변조된 파일이 올려졌다. [기사] -삼성SDS사이트, 바이러스로 '헤프닝' http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2008061715233917600&outlink=1 이에 Anyframe 오픈소스 커뮤니티는 공지를 올렸다. http://www.anyframejava.org/node/435 처음 예상처럼 자료실에 업로드된 파일이 바이러스에 의해 변조된 파일이고 현재 동작하지 않으므로 문제 없다. 하지만, 일반인들이 웹사이트가 해킹되었거나 웹사이트 방문 만으로 바이러스에 감염되는게 아닌가 걱정할 수 있다. (실제 댓글 보면 그런 걱정이나 오해를 볼 수..

Adobe Flash 업데이트

Adobe Flash 의 취약점을 이용한 악성코드가 배포되고 있다. 마이크로소프트 제품 업데이트는 많은 사용자들이 하지만 플래쉬까지 신경 쓰는 사람이 얼마나될까 ? 본인 역시 테스트 PC로 웹 서핑 중 V3에서 진단을 하는걸 보고 국내에도 변조된 플래쉬 파일이 새로운 공격 방법이 된걸 알 수 있었다. 하우리에서 이에 대한 경고를 냈다. - Adobe Flash Player 취약점 http://www.hauri.co.kr/aboutus/notice_view.html?menu=VzY=&news_uid=8347 사이트에서 다운로드 해도되며 이미 설치되어 있다면 직접 업데이트 해도된다. (업데이트 주기가 길어서 자동 업데이트 보다는 사용자 업데이트가 빠르다.) - Adobe Flash 업데이트 방법 1) 윈도우..

[기사] 백악관 해킹 소동 ?!

[기사] 미백악관 전산망 중국 해커에 '또 뚫렸다(!)' 는 제목으로 뉴스에 떴다. http://www.cbs.co.kr/Nocut/Show.asp?IDX=842332 하지만, 아쉽게도(?) 기자가 착각 한것으로 보인다. 이 사건은 이미 5월 22일 경에 발생한 사건으로 사이트 중단은 5월 30일 이뤄졌다. 하지만, 해킹된 사이트는 백악관이 아니라 백악관 패러디 사이트이다. 미국 백악관 사이트는 http://www.whitehouse.gov 로며 해킹된 사이트는 http://www.whitehouse.org 로 현재 백악관은 정상적으로 사이트가 뜬다.

Adobe 사 고소장 가장 악성코드 배포

2008년 5월 23일 오전부터 'Adobe사 고소장 접수에 대한 안내문'이란 제목의 메일이 배포된다. -> 5월 23일(금)보다 더 일찍 배포가 된 것으로 확인되었습니다. 첨부된 파일 정보 - 고소장접수결과보고.zip 내 고소장접수결과보고.exe - 파일길이 : 69,306 바이트 - MD5 : 26151dd2af6c3f572d15b54ff58e1b04 V3 진단명 : Dropper/Zepik.69306 http://kr.ahnlab.com/info/smart2u/virus_detail_15953.html?svccode=ac3001&contentscode=024 제작지는 중국이며 한국내 사용자를 대상으로 메일이 발송된 것으로 보인다.

728x90
반응형