쿨캣의 블로그 놀이

후배에게 웹브라우저로 사이트를 접속하면 아래와 같이 이상한 문자열이 먼저 뜬다고 한다. BBBBBBB^BB걁BBrBBBBsZ 회사 사람들에게 얘기를 들어보니 ARP (address resolution protocol) 스푸핑에 의한 공격이라고 한다. ARP는 (Address Resolution Protocol)는 주소결정 프로토콜으로 IP 주소를 물리적 네트워크 주소로 대응시키기 위해 사용되는 프로토콜이다. 간단한 조치 방법은 스위치를 껐다 켜는 것이다. 하지만, 내부망에 ARP 스푸핑을 발생하는 악성코드가 존재 할 가능성이 높은 만큼 해당 시스템을 찾아 악성코드를 제거해야한다. 인터넷을 찾아보면 다음과 같은 정보가 있다. * 스위치 재밍(Switch Jamming) 테스트 http://blog.nave..

6월 이탈리아에서 Mpack 을 이용한 대규모 웹사이트 해킹 공격이 있었다. 일단 서버를 해킹하고 Mpack 을 설치하면 HTML 문서에 취약점을 이용해 접속하는 사용자 공격하는 코드를 심어둔다. Mpack 은 러시아에서 제작된 것으로 알려져있으며 돈을 받고 팔고 있다. [참고자료] http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/06/19/More-about-Mpack.aspx http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/07/20/More-about-Mpack-II.aspx

2007년 8월 22일 오전 국내에 새로운 메신저 웜이 발견되었다. - V3 진단명 : Win32/Fuas.worm.81408 - 엔진 : 2007.08.22.01 이후 - 샘플코드 : EC07082100063-000001 - MD5 : 3cc4dfe64efd52d43fa15d1fc3b86344 - 파일길이 : 81,408 바이트 MSN 메신저로 전파시 사용되는 문구 OMG I broken my foot, look! Is this you? Accept dis picture homie Hahahahahahahaha look @ my new car Look @ my new house Did you see this picture of Paris Hilton? OMG, this picture is so sad ..

미국에서 여교사인 Julie Amero 가 수업 시간에 아이들에게 포르노 사이트를 보여주는걸 방치했다고 2007년 3월 2일 유죄를 선고 받았다고 한다. 무려 40년 형을 선고 받았다고하는데 포르노가 금지된 한국이지만 사실상 포르노가 방치되는 한국과 달리 미국이나 유럽은 유아 포르노 및 아이에게 성인물을 노출되는건 무척 큰 죄인가 보다. 하지만, 여교사는 애드웨어가 설치되어 발생한 일이라고 주장하고 있고 실제로 시스템에서 성인 광고를 띄우는 애드웨어가 발견되었다고 한다.이후 선고는 취소 되었다고 한다. http://www.drumsnwhistles.com/2007/06/08/julie-amero-heroes-and-villains/ * 참고 사이트 http://tinyurl.com/3au7cz http:..

MSN 에서 2007년 8월 6일 경고 뜬 악성코드 정보가 있다. http://windowslive.msn.co.kr/wlm/customer/view.asp?sectionDiv=2&seq=161 내용에 사용된 진단명은 잉카 인터넷으로 Backdoor/W32.IRCBot.120832.B 이다. V3 진단명은 Win32/Agent.worm.120832 으로 2007.07.24.01 엔진에 추가되었다.

2007년 5월 중순 오픈오피스(OpenOffice)에서 활동하는 악성코드가 등장한다. [기사] - OpenOffice worm Badbunny hops across operating systems http://news.com.com/OpenOffice+worm+Badbunny+hops+across+operating+systems/2100-7349_3-6189961.html - Worm targets Windows, Mac and Linux computers http://www.sophos.com/security/analyses/sbbadbunnya.html 다행히 개념 증명 수준이라 큰 이슈는 되지 않았다. 또한 오픈오피스 악성코드는 이미 여러차례 우려가 되었다.

한국시간으로 2007년 7월 27일 오전 다음과 같은 내용을 MSN 메신저로 받았다. MSN에서 경고없이 누가 당신을 삭제하였는지 알아 보십시오 http://*******.*****.tk 예전에 발생했던 일과 비슷하지 않는가 ?! [관련자료] - MSN 메신저를 이용한 사기 마케팅 http://xcoolcat7.tistory.com/82 이에 해당사이트에 접속해보니 구글 애드센스 광고도 보인다. 역시 애드센서 클릭수를 노린 사람의 짓인데 이제는 한글로도 보낼 줄 안다. 현재 파악중이다.

오늘 접수된 새로운 론다 웜은 자신의 블로그로 접속하게 한다. - 샘플코드 : EC07072600074-000001 - MD5 : cb0a07279af5c7f4d13f6c3e56a46587 - 파일길이 : 184441 - V3 진단명 : Win32/Ronda.worm (2007.07.27.00 이후 엔진) 접수된 파일이름은 co방어기.exe 였다. 아마도 카페 등에 게임 관련 유틸리티로 올리게 아닐까 싶다. 악성코드는 SVKP 로 압축되어 있으며 이 패커는 디버거나 모니터링 프로그램이 있으면 실행되지 않는다. 따라서, 분석하기 좀 까다롭다. 실행되면 특정 주소 (http://****.ze.to) 사이트로 접속을 시도한다. 2007년 7월 26일 오후 6시 12분 현재 오늘만 311명이 접속했다. 총 16..

2007년 7월 25일 오전에 MSN 메신저를 이용한 웜 등장 기사가 나왔다. - MSN 메신저를 이용한 웜 등장 http://www.ddaily.co.kr/news/news_view.php?uid=27092 - MSN 메신저 신종 웜 주의하세요. (머니투데이) http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2007072509483914628 MD5 : 6889bc7b62929dd98d29310e5fc73055 파일명 : pictures04.sc2513 파일크기 : 121,344 bytes V3 진단명 : Win32/Agent.worm.121344 (V3,진단버전:2007.07.24.01/치료버전:2007.07.24.01) [관련정보] http://www..

곰플레이어 개인정보 유출 의혹 사건 주) 본 글은 곰플레이어를 비난만 하는 글이 아닙니다. 곰플레이어측도 나름대로 이번 일로 고생 많이하고 있는 것으로 알고 있습니다. (개발자가 예전에 같이 일했던 분이고 그분도 소스코드까지 검토했다고 하더군요.) 다만, 사실 나열과 곰플레이어측에서 관련 글을 다 차단한건 분명 문제가 있는 행동이라 생각해서 이슈를 제기한 것입니다. 제가 개발자와 통화하면서 이점을 얘기했고 이후에 정책이 어떻게 변경되었는지는 모르겠습니다. 실수는 누구나 할 수 있은까요. ----------------------------------------------------- 2007년 7월 18일 "곰플레이어 이용자 70%가 성인물 본다."라는 기사가 나왔다. http://www.yonhapnew..

2007년 7월 18일 저작권 협회 사칭 악성코드 내용이 기사화되었다. [관련기사] - 소프트웨어저작권 사칭 악성 바이러스 유포 (이델일리) http://www.edaily.co.kr/news/stock/newsRead.asp?sub_cd=DB41&newsid=02043446583195832&clkcode=00203&DirCode=0030503&curtype=read - 저작권 협회 사칭하는 신종 바이러스 등장 http://www.segye.com/Service5/ShellView.asp?SiteID=&OrgTreeID=3118&TreeID=1051&PCode=0070&DataID=200707181043001157 www.spc.or.kr 에 접속하면 주의 공지가 떴다. - V3 진단명 : Win-Tro..

일시 : 2007년 5월 18일 시만텍 노턴 안티 바이러스에서 중국어 윈도우 XP SP2 파일인 netapp32.dll 과 lsass.exe 을 Backdoor.Haxdoor 로 오진했다. 벌써 꽤 시간이 지난 사건이지만 중국에서 시만텍을 상대로 소송을 준비 중이라는 얘기도 있다. 소성 관련 내용 : http://english.people.com.cn/200705/29/eng20070529_379005.html [관련 사이트] * 영어 http://sbin.cn/blog/2007/05/18/symantec-anti-virus-software-damages-system-files/ http://www.cisrt.org/enblog/read.php?100 http://isc.sans.org/diary.htm..

여러 안티 바이러스 프로그램으로 검사해 주는 바이러스토털 사이트가 개편했다. 뭔가.. 뽀사시해졌다.

최근에 중국에서 온라인 게임 계정 탈취에서 홈트레이드 대상의 중국 주식 계좌 탈취 프로그램이 기승을 부린다는 기사가 알려졌다. (현재 기사 검색 중) 안랩의 한 연구원이 중국의 보안업체에 문의해본 결과 2004년에 발견된 일이 있었다는 답장을 받았다고 한다. 해당 샘플 확인 결과 V3에서는 Win-Trojan/Delf.201216, Win-Trojan/Delf.236070 으로 진단되며 V3에 2004.12.03.00 엔진에 추가된 샘플이다. 즉 3년 가까이 된 샘플이라는 점이다. 중국 로컬 제품의 진단명은 다음과 같다. Jiangmin : Trojan.Spy.Stock, Trojan.Spy.Stock.a Rising : Trojan/PSW.Soufan, Trojan/PSW.Soufan 이전에도 이 문제..

* 샘플코드 : IK07061311568-000199 * 길이 : 24,785 * MD5 : 36af4b74ade9a895385ced6263e8b40b 악성코드의 프로그램 방해는 여러가지가 있지만 지금까지 못보던 방법이 나왔다. (물론 이미 사용되었겠지만..) HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 에 실행을 막을 파일 이름을 악성코드 자신으로 지정한 것이다. 만약 악성코드가 삭제되면 해당 파일을 실행하면 오류가 발생한다. REGEDIT 나 AUTORUNS.EXE 로 키를 삭제해야한다. 하지만, AUTORUNS.EXE는 실행을 막고 있으므로 AUTORUN.EXE 과 같은 이름으로 변경해서 실행하면 된다.

* V3 진단명 : Win32/IRCBot.worm * 샘플코드 : EC07070303998-000001 * MD5 : 596fc1018ab4148924b92cf5f12c69ef * 파일 길이 : 64273 Mutex 부분에 PhatBot 2007 (0.4.2) "Release" on "Win32" 을 생성하는 악성코드가 있다. PhatBot ??!?! 예전에 많이 보던 이름인데 제작자가 잡혔지 않나 ? PhatBot 2007 로 주장하는데 과거의 PhatBot 의 영광을 이용한건지는 추가 확인이 필요할 것으로 보인다. 떨어지는 svc.dll 파일은 tftp.exe, ftp.exe 로 악성코드인 svc.exe 를 복사하는 것으로 보인다. * MD5 : 41a8e7d0b4c7b23cdefe412fc4965..

CALL FOR PAPERS AVAR 2007 10th Association of anti Virus Asia Researchers International Conference SEOUL Plaza Hotel, Korea November 29th & 30th, 2007 AVAR Conference is an annual event organized by the Association of anti Virus Asia Researchers since 1998. This conference will be a great opportunity to meet people in anti-virus and security industry and learn new technology information and stra..