쿨캣의 블로그 놀이

2007년 6월 20일 바이러스체이서에서 Win32.HLLM.Limar.based 로 진단되는 웜이 메신저로 국내에 퍼지고 있다는 기사가 났다. V3 에는 작년에 추가된 Win32/Stration.worm.Gen 으로 기진단된다. [관련기사] - 뉴테크웨이브, MSN 메신저를 이용한 웜 주의보 http://www.pbj.co.kr/news/read.php?idxno=33550 - 뉴테크웨이브, 메신저 웜 주의 당부 http://www.etnews.co.kr/news/detail.html?id=200706200098 - 뉴테크웨이브, MSN 메신저 이용한 웜 '리마르' 주의 http://www.inews24.com/php/news_view.php?g_serial=267685&g_menu=020200 [파일..

지난주 (2007년 6월 15일)부터 net.exe, net1.exe 프로세스 점유율이 증가하는 문제가 접수되었다. 하지만, 2007년 6월 20일 문제를 발생시키는 것으로 보이는 악성코드가 발견된다. [관련기사] - 'net.exe', 'net1.exe' 경보, 전자신문 http://www.etnews.co.kr/news/detail.html?id=200706180190 여러 정보를 확인하면 다음 악성코드를 제거하면 문제가 사라진다고 한다. (V3 진단명 기준이며 2007.06.21.00 엔진에 추가) - Win-Trojan/AutoRun.27705 - Win-Trojan/Backdoor.221184

요즘 중국에서 제작되는 웜 중에 USB 드라이브를 통해 퍼지는 형태가 상당히 많다. 오늘 접수되어 Win32/Drom.worm 으로 이름 붙인(시만텍 진단명. 나머지 회사는 Autorun 과 같은 조금은 무의미한 진단명) 샘플 변형이 들어왔다. 아래와 같은 autorun.inf 를 생성해 USB 드라이브가 꽂힐 때 자동 실행을 유도한다. [autorun] open=Ghost.pif shellexecute=Ghost.pif shell\Auto\command=Ghost.pif shell=Auto C:\Program Files\Internet Explorer 폴더에 생성되는 romdrivers.dll은 아래와 같은 등록정보로 MS 관련 파일인것 처럼 위장한다. Microsoft Corporation Micro..

어제 올렸던 제품과 매우 흡사하죠 ?! http://xcoolcat7.tistory.com/trackback/88 참조 제작사를 방문했는데 두 회사의 회사 소개가 너무 흡사하네요. 흔히 허위 안티스파이웨어 제품 개발사들은 여러 업체를 만들고 유사 제품을 마구 배포하는 것으로 알고 있습니다. 문제가 많이 발생하면 한 업체를 그냥 없애버리면 되니까요. 제품 UI 도 비슷하고 제품 구성도 비슷하고 회사 홈페이지도 비슷하고 .... 회사 소개도 비슷하고... 같은 회사일까요 ? 아니면 우연히 같은 걸까요 ? 진실은 무엇일까요 ? 알고 있는 분은 답 좀....

주로 보는 샘플이 악성코드(바이러스, 웜, 트로이목마)이다보니 스파이웨어(애드웨어, 허위 안티 스파이웨어 포함)쪽은 크게 신경을 쓰지 못하는데 마침 다운로더 하나를 보게되었는데 이 샘플이 바로 허위 안티스파이웨어 제품을 사용자 몰래 설치하는 프로그램이다. 배포 제휴 업체에서 제작한 프로그램으로 보이며 해당 업체에 파트너 ID 와 설치된 시스템 MAC 어드레스를 보낸다. (껀당 얼마인지 ?! 그리고 맥어드레스를 넘기는건 좀 심한거 아닌가 ?!) 그래. 백번 양보해서 설치된 안티 스파이웨어 제품 성능이라도 좋다면 ..... 설치되자마자 자동으로 실행된다. 조금 시간 지나니까 악성코드 감염되었다며 당장 치료하라고 난리 난리 쳤다. 그런데.... 검사 내역을 확인했다. ADW-Win32.Alexa : 윈도우 설..

* 기사 - 전국 법원망 바이러스 감염 '사고' http://www.inews24.com/php/news_view.php?g_menu=080204&g_serial=265892 - 법원 전산망 '바이러스' 다운, 8일 대부분 복구 http://www.inews24.com/php/news_view.php?g_serial=265927&g_menu=020200 * VirusTotal 검사 결과 (2007년 6월 8일 오전) 발견 당시부터 많은 제품에서 진단되지 않았다. 또한 진단되는 제품도 치료를 못하고 삭제하거나 치료하면 파일이 깨지는 경우도 존재했다. STATUS: FINISHEDComplete scanning result of "cvftp.exexx", received in VirusTotal at 06...

2007년 5월 21일 MSN 메신저를 통해 아래와 같은 내용이 뿌려졌다. xxx 님의 말: www.whoadmit****.com

2007년 5월 2일 다음과 같은 Hoax 가 국내에 퍼졌습니다. - 다시 한번 얘기하지만 존재하지 않는 허위 바이러스 정보입니다. 개인적으로 후배로부터 문의 전의 왔었는데 회사 사람들도 받았다고하니 꽤 퍼졌나 봅니다. Hoax 를 읽어보니 Hoax 의 구성 요건을 모두 갖추었네요. 1. 언론사, 마이크로소프트웨어사, 보안 회사 처럼 공신력 있는 회사에서 경고한 것으로 위장 2. 메일을 여는 것 만으로 시스템이 모두 파괴 3. 어떤 백신 프로그램으로도 치료 할 수 없음 4. 사본을 만들어 여러 친구에게 알리도록 권고 명심하세요. 이런 조건을 갖추었다면 Hoax 일 가능성이 매우 높습니다. [Life is beautiful hoax 관련 사이트] http://www.symantec.com/security_..

2007년 4월에 추가된 샘플을 정리하다가 아주 엽기적인 샘플을 발견했습니다. 파일길이는 무려 247,273,510 바이트 ! 오타아닙니다. 235 MB 입니다. V3 진단명은 Win-Trojan/Killfiles.247273510 악성코드 제작자들 중 머리속이 궁금한 사람이 존재하지만 이 제작자도 무척 궁금하네요. 특히나 다음 메시지를 파일 가득 넣어두었네요. Do not say to the police.!! Is killed!! Please Call Me TEL:0774 22 2202 이 문자열을 계속 반복합니다. 이 샘플을 보기 위해 실행한 텍스트 뽑아 주는 프로그램, 윈도우 헥사 에디터 모두 죽었습니다. (정확하게는 엄청나게 오래걸리거나 무한루프에 빠졌겠죠. 프로그램을 보니 데이터를 모두 읽고 이..

ANI 파일 취약점을 이용한 악성코드가 계속 등장하고 있다. 최근에 등장한 변형은 백신이 앞부분에서 주로 취약점 코드를 검사해 진단되지 않도록 exploit 코드를 파일 뒷부분으로 옮겨 두었다. 이로써 진단 루틴의 수정은 불가피해졌다.

2007년 3월 29일 McAfee 와 Trend 에서 새로운 변조된 ANI 파일을 이용한 취약점 공격이 알려진다. * V3 진단명 : Win-Trojan/Exploit-ANI.B (2007.03.31.00 이후 엔진) * 기능 : 변조된 ANI 파일을 이용해 취약한 시스템에서 자동으로 파일을 다운로드 물론 다른 악의적인 일도 가능함 [보안패치] 2007년 4월 4일(수)에 MS07-017 보안패치가 나왔다. http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx [관련자료] - MS 윈도 신규 제로데이 취약점 발견 http://www.moneytoday.co.kr/view/mtview.php?type=1&no=200703301327095890..

2007년 3월 27일부터 시스템을 부팅하면 로그온창에서 로그인하고 나면 다시 로그오프되어 버리는 문제가 발생했다. 결과적으로 시스템을 사용할 수 없다. 시스템 확인 결과 아래와 같이 레지스트리에 로그온 정보가 있어야 한다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 이름 : Userinit 데이터 : C:\WINDOWS\system32\userinit.exe, 하지만, 문제의 PC는 아래와 같이 userinit.exe 파일이 없다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 이름 : Userinit 데이터 : exe.exeexe...

Win32/Dellboy 바이러스 제작자는 검거 되었지만 변형은 계속 등장하고 있다. MD5 : 5af7352bc0bd0e356aa1b408aee042c7 파일길이 : 53760 이번 변형은 바이러스 기능은 아직 찾지 못했다. 실행되면 각 드라이브에 autorun.inf 와 RECYCLER.EXE 생성한다. 플로피 디스크가 있는 시스템의 경우 플로피 디스크가 삽입되어 있지 않으면 에러가 발생 한다. No disk There is no disk in the drive, Please insert a disk into drive A: 이는 제작자가 모든 폴더에 RECYCLER.EXE와 AUTORUN.INF 파일을 생성하는데 미처 플로피 디스크인건 확인하지 않았기 때문이다. 시스템에서 확장자가 HTML, SHT..

[Notice] Hello, If you can't speak Korean, Please read this notice. Recently I realized a lof of foreigners read this posting. Yes. you just received a worm file. But don't panic !! If you didn't execute it, please delete the photo album.zip file. If you was already infected with this worm. Please update your anti-virus program. If you don't use any anti-virus program, you can try to install the..

* V3 진단명 : Win-Trojan/Mapler.52736 * MD5 : 89bd7da769eae27d7b3d9e49a3073811 * 파일길이 : 52,736 안랩 ASP 제품을 무력화하기 위해 C:\Program Files\AhnLab\ASP 을 C:\Program Files\AhnLab\ASPS 로 변경한다. 00007898 00408498 0 C:\Program Files\AhnLab\ASPS 000078C0 004084C0 0 C:\Program Files\AhnLab\ASP ASP 폴더에는 다음 보안 관련 폴더들이 존재한다. Components MyFirewall 2.0 MyKeyDefense 2.0 Smart Update i 국내 겨냥 중국 해커들에게는 공공의 적이 국내 보안 제품인가 보..

* 출처 http://swbae.egloos.com/tb/1522499 * 일본 번역 기사 http://j2k.naver.com/j2k_frame.php/korean/itpro.nikkeibp.co.jp/article/NEWS/20070306/264036/?ST=security 예전 Apple iPod 기기에 발견된 악성코드와 유사한 사건으로 보인다. 다행히 V3에서 기진단되는 샘플이다. ----- * 정보 - V3 진단명 : Win32/Xema.worm.47104 (2006.06.28.00 엔진에 추가) - MD5 : 3779e1cbfd20a5e300e15eccbed54b2a - 길이 : 47,104 타백신 진단명은 다음과 같다. (윽.. MS 가 진단을 못하네. 씹기 좋아하는 사람들에게는 또 입에 오..

2007년 3월 4일 '국산 악성코드 제작도구 발견' http://www.etnews.co.kr/news/detail.html?id=200703020171 이란 내용으로 기사화 되었다. 정확하게는 조크 프로그램 생성기 이다. 이전부터 알고는 있었지만 조크 생성기라 크게 신경쓰지 않았다. (변명하지면 조크 생성기보다 급한 악성코드들이 더 많기 때문이다.) 팀 사람중 한번이 검색해보고 진단 안되는 최신 버전을 어제 추가했다. 생성기 1.4 버전은 다음과 같다. - V3 진단명 : Constructor/Ghost.389120 - MD5 : a5d4005afaa512ae73bd5f1d9b9a9756 조크라고 하지만 시스템 종료, 마우스 먹통과 같은 기능은 장난을 넘어선 악의적인 기능으로 볼 수 있다. 게다가 1..