728x90
반응형

악성코드/악성코드 소식 128

보안 파일 바꿔치기

몇몇 온라인 게임 계정 탈취 프로그램은 키로거를 막기 위한 보안 프로그램을 무력화하기 위해 메모리 패치를 하지 않고 파일을 바꿔치기해서 변경하는 것으로 보인다. 프로그램의 메모리 내용 변경 방지 기능 때문이 아닐까 싶다. 최근에 분석하는 샘플 중 마이키디펜스 방해를 방해하는 파일과 동일한 샘플이 발견되었다. %windir%\Downloaded Program Files\AKLMGame.ocx (13,824 바이트) V3 에서는 Win-Trojan/Diskey.13824 로 진단된다. Diskey는 Disable MyKeyDefense 에서 따왔다고 한다. 이 샘플은 안랩의 키로깅 방지 프로그램인 마이키디펜스가 설치안되는 문제에서 발견되었다.

IrmBot 내부 문자열들

IrmBot 내부 문자열들 제작자는 IrnBot 으로 불리기 원했지만 안랩은(실제로는 옆자리 사람과 쑥덕쑥덕) 제작자의 의도를 무시하고 IrmBot 으로 부르기로했다. (2007년 3월 2일에) * 이름 변경 Win32/IRCBot.worm.206848.I -> Win32/IrmBot.worm.206848 Win32/IRCBot.worm.210944.B -> Win32/IrmBot.worm.210994 Win32/IRCBot.worm.212992.F -> Win32/IrmBot.worm.212992 Win32/IRCBot.worm.214528.F -> Win32/IrmBot.worm.214528 Win32/IRCBot.worm.222720.B -> Win32/IrmBot.worm.222720 ------..

Bot 채널 차단에 불만을 품은 악성코드 제작자

아마도 악성 IRC봇의 IRC 채널을 차단해버리니 Bot 제작자가 이런 활동에 불만을 품은 메시지를 자신의 Bot 에 포함하고 있다. 이중 KISA에서 일하는 분도 계셔 눈길을 끈다. * MD5 : 099196e29c01c0ecd896c7f10d0308e9 *sesvc.exe * 길이 : 210,944 * V3 진단명 : Win32/IRCBot.worm.210944.B -------- You better fuck off SANS.org especially that Johannes Ullrich (*******@****.org, 617-7xx-xxxx) and Kevin Hong (xxxxx@******.or.kr, +82-2-4xx-5xxx). I really don't have anything agai..

Win32/Dellboy (Whboy, Fujacks) 제작자 검거

Win32/Dellboy(W32/Fujacks, Whboy, 판다 바이러스) 바이러스 제작자와 이 바이러스를 배포한 중국인이 검거되었다고 한다. 다음은 안랩에서 중국어가 가능한 분이 요약한 내용이다. ------------------------- 호북성 무한시(WuHan)의 리준(25세)가 제작자이며 리준은 2006년 10월 16일 현재 이 바이러스를 120 여명에게 팔아 1200 만원을 챙겼다고 한다. 검거된 나머지 5명은 코드를 수정해 배포했다고 한다. 자기가 제작자라고 거짓말한 사람이 있는데 이 사람의 회사는 현재 주기적으로 저녁 8시-12시 사이에 해커들의 공격을 받고 있다고 한다. ---------------------------------- 120여명에게 팔았으므로 제작자가 잡혔다고해서 Del..

웹사이트 1천개 중국발 해킹에 당해 관련

2007년 2월 8일(목) 한국정보보호진흥원(KISA) 인터넷침해사고대응지원센터는 국내 1,000 여개의 홈페이지를 해킹한 후 이곳을 통해 트로이목마를 뿌린 사건을 보도했다. [관련자료] - 웹사이트 1천개 중국발 해킹에 당해, 머니투데이 http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2007020814554313732 ----------- 해당 샘플은 V3 2007.01.30.01 이후 엔진에서 Win-Trojan/Maran.65628 로 진단/치료(삭제)된다. 파일명 : cctv.exe 파일 길이 : 65,628 바이트 MD5: e20de5bf5c709025490f62455c978339

세계 인터넷 통신망, 1월 6일 해킹 집중 발생 관련

2007년 1월 6일에 DNS 서버로 공격이 있었다는 내용이 기사회 되었다. [관련 링크]------------------------------------------------------------------- http://isc.sans.org/diary.html?storyid=2184&rss (Attack on DNS root servers) http://hosted.ap.org/dynamic/stories/I/INTERNET_ATTACKS?SITE=WIRE&SECTION=HOME&TEMPLATE=DEFAULT (Hackers Attack Key Net Traffic Computers, Wired AP News) http://www.inews24.com/php/news_view.php?g_serial..

보안 프로그램으로 속을 수 있는 악성 IRC봇

%system%\dllcache\winvps.exe 에 복사하고 파일 길이와 MD5 는 다음과 같다. MD5 : 11beb92b2a269535a8ca20095d4af6d0 길이 : 126,464 AMP 샘플코드 : EC07012800005-000004_winvps.exex 내부에 별다른 봇이름은 없지만 기존과는 다소 다르다. 파일은 상용 패커로 압축되어 있다.. (http://www.ntkrnl.com/products/securesuite/default.php) 패커 덕분에 쉽게 알 수 있지만 보안 프로그램으로 오해 할 수 있다. 그리고, 아래 특징을 가지고 있다. - IE 취약점 스크립트를 설치 (IE-0DAY 라고 표시되어있는데 VML 취약점으로 보임) - SQL 비밀번호로 전파 - 메신저 (Yaho..

728x90
반응형