쿨캣의 블로그 놀이

[기사] - HP, 악성코드 담긴 USB 출하 http://www.zdnet.co.kr/news/network/security/0,39031117,39167651,00.htm 발견된 악성코드는 시만텍 진단명이다. [V3 진단명] 안랩에서 보유 중인 해당 진단명의 샘플을 찾아 검새해보니 모두 기진단되었다. (2007년 1,2월 발견된 과거 악성코드들) 단, 정확하게 발견된 악성코드가 어떤 샘플인지는 추가 확인이 필요할 것으로 보인다. Fakerecy\9fb40000.aa2 - Win-Trojan/Recycled.20480 Fakerecy\9fb40001.97b - Win-Trojan/Recycled.20480 Fakerecy\9fb40002.bfe - Win-Trojan/Recycled.20480 Fake..

2008년 3월 21일 금요일 미래에셋 DDoS 공격이 발생했다. 본인도 미래에셋을 이용하는데 사이트가 접속되지 않았는데 이후 기사를 통해 공격 사실을 알았다. [관련기사] - 해킹당한 미래에셋…해커들 5000만원 대가 요구 http://www.dt.co.kr/contents.html?article_no=2008032102019960713002 - 보안 허술 미래에셋 "DDoS 공격은 예견된 결과" http://itnews.inews24.com/php/news_view.php?g_serial=319819&g_menu=020200 - 미래에셋 DDoS 공격 피해 '인재' http://www.dt.co.kr/contents.html?article_no=2008032402010351713002 관련 기사를 보..

http://www.newsva.co.kr/uhtml/read.jsp?idxno=295075§ion=S1N5§ion2=S2N232 대통령 출국 일정.xls 을 첨부 파일로 배포되었다. 주로 정부 기관으로 보내진 것으로 보인다. V3에서는 W97M/Exploit-OleData 로 진단된다. 최근에 발생한 오피스 취약점을 이용한 문서이다 .

록스라는 신종 바이러스에 대한 기사가 나왔다. http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2008030311150034835 확인 결과 해당 바이러스는 V3에서 디스크젠(Win32/Diskgen) 변형으로 확인되었다.

팀내 분석가 중에서 흥미로운(?) 샘플을 발견했다. 아마도 10대로 추정되는 학생이 만든 것으로 보인다. 배치 파일을 Quick Batch File Compiler 로 EXE 파일로 만들었다. 배치 파일은 Fucker!!! Ahnlab V3 Internet Security 란 메시지를 여러번 출력하고 CMD 를 여러번 실행한다. 이후 안랩의 스마트업데이트를 강제 종료시키고 파일을 삭제한다. - 파일이름 : SMART.EXE (변경될 수 있음) - 파일길이 : 150,734 바이트 - MD5 : 3188f561faad1469b178a523a8f76ad5

- '침묵의 뱅커' 바이러스 공격에 비상 걸린 은행들 (연합뉴스) http://www.yonhapnews.co.kr/economy/2008/01/18/0303000000AKR20080118096200009.HTML - 네이버 뉴스 http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=001&aid=0001928730 해당 기사는 18일 캐나다에서 나온 얘기가 국내에 알려졌다. 관련 내용은 1월 14일 시만텍 블로그에 처음 올려졌다. - Banking in Silence http://www.symantec.com/enterprise/security_response/weblog/2008/01/banking_in_silence.html - Ban..

최근 온라인게임 게정 탈취 트로이목마는 계속 변하고 있습니다. 예전에는 델파이로 작성된 형태가 많았지만 언어도 다양하고 패커도 Upack 이 많았는데 다양해지거나 패커(Packer)를 진단하니 패커되지 않은 샘플도 많았죠. 문자열 중 일부를 암호화하는 형태는 많았지만 관련 문자를 거의 암호화하는 형태는 처음봅니다. (물론 제가 처음 보는 샘플이겠지만) 코드는 안 봤지만 딱보니 암호화된 문자열로 보이네요. (경험으로 인한 느낌)

2007년 9월 14일 금요일 대량 네트워크 패킷 발생으로 많은 문제가 있었다. 이 악성코드는 Win-Trojan/Eldo 로 명명되어 졌다. 자세한 정보 : http://kr.ahnlab.com/info/smart2u/virus_detail_10407.html 해당 악성코드는 Win32/Virut 바이러스가 다운로드 받아 온 것으로 알려졌다.

http://www.ddaily.co.kr/news/news_view.php?uid=32185 후지제록스 디지털복합기에서 악성코드가 발견되었다는 보도이다. 가능성은 두가지 있다. 첫째, 윈도우와 리눅스 모두에서 활동하는 악성코드 둘째, 후지제록스 디지털복합기 하드디스크에 악성코드 복사 윈도우에서 활동하는 악성코드가 네트워크로 연결되어 있는 디지털복합기 하드디스크로 그냥 악성코드가 복사된 것일 수 있다. ---------- 샘플을 확보해야 할 것으로 보인다.

오래된 악성코드인 해디펜더(V3 진단명 Win-Trojan/HackDef)가 기사화되었다. 내용의 요점은 PC 의 C 드라이브를 통째로 숨겨버리는 악성코드라는 점이다. 파일길이 : 64,000 bytes MD5 : 6fbe299c0207a5a3dcf92eb95a31da42 [관련기사] http://www.inews24.com/php/news_view.php?g_serial=299431&g_menu=020200

중국에서 영화 색계 관련 악성코드가 퍼지고 있다고 합니다. - 영화 인기에 '색계 바이러스'도 급속 유포 (전자신문) http://www.etnews.co.kr/news/detail.html?id=200711190099 - 중국은 지금 '색계 바이러스' 경보 중 http://www.nownewsnet.com/news/newsView.php?id=20071119601005 하지만, 예상한것 처럼 엄청나게 퍼진 것도 아니고 바이러스도 아닙니다. 자바 스크립트로 작성되어 취약점을 이용해 사용자 시스템에 다른 악성코드를 떨어뜨립니다. 다운로드되는 관련 실행파일형은 총 10개 정도되는 것으로 알려있습니다. V3는 2007.11.21.00 엔진에 아래와 같은 진단명으로 추가되었습니다. (앞에 파일명은 MD5 값입니..

일부 시게이트의 하드디스크에서 악성코드가 발견되었다. 다행히 V3에도 진단이 되는 샘플이다. Antivirus Version Last Update Virus Name AhnLab-V3 2007.10.2.0 2007.10.01 Dropper/OnLineGameHack.21042 한가지 흥미로운건 중국정부의 음모설 얘기도 나오는데 다음과 같은 점 때문에 가능성이 떨어진다.1. 게임 계정 탈취 트로이목마 해당 악성코드의 목적은 온라인 게임 계정 탈취이다. 중국정부에서 의도적으로 했다면 왜 온라인 게임 계정을 탈취할까? 주요 문서를 빼가는게 맞지 않을까? 2. 기진단 샘플 안랩은 해당 샘플 받지도 않았으며 확인해보니 V3에는 2007.06.23.01엔진에서 추가된 샘플이다. 정말 중국정부에서 의도적으로 진행했다..

Jerry 님의 랜섬웨어 업체 마이컴고(MyComGo)를 보면 자료를 숨기고 돈을 요구하는 사례가 있었습니다. http://mireenae.com/157 세계일보에 기사도 났네요. '멋대로 실행..파일 숨기고.. 돈 달라고? PC 보안프로그램 황당한 보안' http://www.segye.com/Service5/ShellView.asp?TreeID=1052&PCode=0007&DataID=200711021638000174 이에 마이컴고측은 공지사항을 통해 2007년 11월 7일 애드웨어로 분류되었으며 자사와 협의가 없었으므로 법적대응을 준비중이며 고객들에게 안철수연구소로 전화해 항의해달라는 내용의 글을 올렸습니다. http://www.mycomgo.com/customer/notice/content.jsp?..

OMG just accept please its only some pics!!라는 내용으로 확산되는 메신저 웜 2007년 11월 5일 외국에서 처음 보고되었으며 국내에는 2007년 11월 6일 오전에 보고되었다. - 파일명 : image24.zip (image24-www.photobucket.com 포함) - 파일길이 : 압축 푼 파일 길이는 10,752 바이트 - MD5 값 : 633fc2332287108885ba0633efd81601 V3 진단명 : Win32/IRCBot.worm.10752.E

허위 안티스파이웨어 업체들이 경찰에 적발되었다. 보안프로그램 알고보니 '악성코드' http://www.hani.co.kr/arti/society/society_general/247125.html '날도둑' 컴퓨터 보안업체 http://www.segye.com/Service5/ShellView.asp?TreeID=1052&PCode=0007&DataID=200710311657000234 이런 사실은 아는 사람은 다 알았지만 교묘하게 법을 위한하는 사람들이기 때문에 경찰에서도 정말 조사를 많이 했을테니 늦장 수사라고 비난하기 보다 빨리 법개정이 되어야 할 듯 싶다. 그리고, 이들 업체는 보안업체가 아니라 사기 업체이다.ps. 어머니께서 기사를 보시더니 "너희 회사는 괜찮냐 ?"라고 하시네요. 윤리경영으로 유..

요즘 USB 메모리나 외장형 하드디스크를 통해 전파되는 악성코드가 증가하고 있다. 프로세스가 실행 중일 떄는 악성코드 실행 파일과 autorun.inf 파일을 삭제해도 다시 생성해 사용자 입장에서는 지워도 지워도 치료가 안되는 것처럼 보이게 한다. 발견된지는 오래되었지만 USB 드라이브에 자신의 사랑을 얘기하는 악성코드가 존재한다. - 생성 파일명 : Edelin_X.exe - 파일길이 : 32,768 바이트 - MD5 : 3ca1a6fe4c3eb75f580b988d06ae26c4 - V3 진단명 : Win32/Autorun.worm.32768.B (2007.10.26.00 엔진 이후 진단) 이 악성코드는 실행 파일과 autorun.inf 외에 Surat Untuk Edelin.txt 파일이 생성되며 아..

안랩의 멕시코 협력 업체에서 보낸 샘플로 2007년 10월 5일 현재 McAfee 만 진단하고 나머지는 진단되지 않는다. - 파일길이 : 32768 bytes - MD5: 463998904a6a61fd67d33a07aadd16b3 - V3 진단명 : Win-Trojan/QHost (2007.10.06.00 이후 엔진) HOSTS 파일을 변경해 banamex.com 으로 접속하는 주소를 변경한다. 사용자가 Banamex 로 접속하면 변경된 IP 로 접속하는데 해당 IP 를 추적해보면 미국이다. Ft Lauderdale, FL, UNITED STATES 실행을 위해서는 VB6ES.DLL 파일이 필요해 한글 윈도우에서는 제대로 실행되지 않는다. 여러나라에서 은행계정 정보를 빼내기 위한 시도는 계속되는 것으로 ..