쿨캣의 블로그 놀이

이번에는 글 보내고 바로 실렸네요. - 대한민국을 변화시킨 악성코드 10가지 http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=18999&dir_group_dist=0 다행히(?) 내용도 크게 변경되지 않았습니다. 다음은 야동과 악성코드에 대해 쓸 생각입니다. 부제.. 안전한 야동 다운로드... ?! 해당 칼럼이 결혼 전 마지막 칼럼이 되지 않을까 합니다. 지연되면 이 글이 마지막 글이 될 수도 있겠죠.

- 커져가는 시그니처, 어디에 보관할까? http://kr.ahnlab.com/info/securityinfo/secuinfo/newSecuNewsView.ahn?category=001&mid_cate=001&cPage=2&seq=15381 제목이... 흠.. 원래 이글은 과거 악성코드 샘플을 어떻게 처리할 것인가에 대한 질문과 답에 대한 글이었습니다. 그러다보니 악성코드 진단 데이터를 담고 있는 시그니처 얘기가 나오고.. 증가되는 시그니처 크기에 대한 내용으로 바뀌어 버렸습니다. 사실 글 쓰면서 주제가 바뀌어서.... 제 자신도 혼란스러웠다는... ㅎ

2007년 8월 22일 오전 국내에 새로운 메신저 웜이 발견되었다. - V3 진단명 : Win32/Fuas.worm.81408 - 엔진 : 2007.08.22.01 이후 - 샘플코드 : EC07082100063-000001 - MD5 : 3cc4dfe64efd52d43fa15d1fc3b86344 - 파일길이 : 81,408 바이트 MSN 메신저로 전파시 사용되는 문구 OMG I broken my foot, look! Is this you? Accept dis picture homie Hahahahahahahaha look @ my new car Look @ my new house Did you see this picture of Paris Hilton? OMG, this picture is so sad ..

오늘 접수된 새로운 론다 웜은 자신의 블로그로 접속하게 한다. - 샘플코드 : EC07072600074-000001 - MD5 : cb0a07279af5c7f4d13f6c3e56a46587 - 파일길이 : 184441 - V3 진단명 : Win32/Ronda.worm (2007.07.27.00 이후 엔진) 접수된 파일이름은 co방어기.exe 였다. 아마도 카페 등에 게임 관련 유틸리티로 올리게 아닐까 싶다. 악성코드는 SVKP 로 압축되어 있으며 이 패커는 디버거나 모니터링 프로그램이 있으면 실행되지 않는다. 따라서, 분석하기 좀 까다롭다. 실행되면 특정 주소 (http://****.ze.to) 사이트로 접속을 시도한다. 2007년 7월 26일 오후 6시 12분 현재 오늘만 311명이 접속했다. 총 16..

2007년 7월 18일 저작권 협회 사칭 악성코드 내용이 기사화되었다. [관련기사] - 소프트웨어저작권 사칭 악성 바이러스 유포 (이델일리) http://www.edaily.co.kr/news/stock/newsRead.asp?sub_cd=DB41&newsid=02043446583195832&clkcode=00203&DirCode=0030503&curtype=read - 저작권 협회 사칭하는 신종 바이러스 등장 http://www.segye.com/Service5/ShellView.asp?SiteID=&OrgTreeID=3118&TreeID=1051&PCode=0070&DataID=200707181043001157 www.spc.or.kr 에 접속하면 주의 공지가 떴다. - V3 진단명 : Win-Tro..

요즘 중국에서 제작되는 웜 중에 USB 드라이브를 통해 퍼지는 형태가 상당히 많다. 오늘 접수되어 Win32/Drom.worm 으로 이름 붙인(시만텍 진단명. 나머지 회사는 Autorun 과 같은 조금은 무의미한 진단명) 샘플 변형이 들어왔다. 아래와 같은 autorun.inf 를 생성해 USB 드라이브가 꽂힐 때 자동 실행을 유도한다. [autorun] open=Ghost.pif shellexecute=Ghost.pif shell\Auto\command=Ghost.pif shell=Auto C:\Program Files\Internet Explorer 폴더에 생성되는 romdrivers.dll은 아래와 같은 등록정보로 MS 관련 파일인것 처럼 위장한다. Microsoft Corporation Micro..

* 기사 - 전국 법원망 바이러스 감염 '사고' http://www.inews24.com/php/news_view.php?g_menu=080204&g_serial=265892 - 법원 전산망 '바이러스' 다운, 8일 대부분 복구 http://www.inews24.com/php/news_view.php?g_serial=265927&g_menu=020200 * VirusTotal 검사 결과 (2007년 6월 8일 오전) 발견 당시부터 많은 제품에서 진단되지 않았다. 또한 진단되는 제품도 치료를 못하고 삭제하거나 치료하면 파일이 깨지는 경우도 존재했다. STATUS: FINISHEDComplete scanning result of "cvftp.exexx", received in VirusTotal at 06...

* 출처 http://swbae.egloos.com/tb/1522499 * 일본 번역 기사 http://j2k.naver.com/j2k_frame.php/korean/itpro.nikkeibp.co.jp/article/NEWS/20070306/264036/?ST=security 예전 Apple iPod 기기에 발견된 악성코드와 유사한 사건으로 보인다. 다행히 V3에서 기진단되는 샘플이다. ----- * 정보 - V3 진단명 : Win32/Xema.worm.47104 (2006.06.28.00 엔진에 추가) - MD5 : 3779e1cbfd20a5e300e15eccbed54b2a - 길이 : 47,104 타백신 진단명은 다음과 같다. (윽.. MS 가 진단을 못하네. 씹기 좋아하는 사람들에게는 또 입에 오..

몇몇 온라인 게임 계정 탈취 프로그램은 키로거를 막기 위한 보안 프로그램을 무력화하기 위해 메모리 패치를 하지 않고 파일을 바꿔치기해서 변경하는 것으로 보인다. 프로그램의 메모리 내용 변경 방지 기능 때문이 아닐까 싶다. 최근에 분석하는 샘플 중 마이키디펜스 방해를 방해하는 파일과 동일한 샘플이 발견되었다. %windir%\Downloaded Program Files\AKLMGame.ocx (13,824 바이트) V3 에서는 Win-Trojan/Diskey.13824 로 진단된다. Diskey는 Disable MyKeyDefense 에서 따왔다고 한다. 이 샘플은 안랩의 키로깅 방지 프로그램인 마이키디펜스가 설치안되는 문제에서 발견되었다.

V3 진단명 : Win32/IRCBot.worm MD5 : AD99BFACD166264CA50CCD40BF4670E5 길이 : 214528 메시지 내용) Dear Symantec: For years I have longed for just one thing, to make malware with just the right sting, you detected my creation and got my domains killed, but I will not stop, I can rebuild. P.S. Fuck you assholes, especially Stephen Doherty who is the biggest faggot I know of.

아마도 악성 IRC봇의 IRC 채널을 차단해버리니 Bot 제작자가 이런 활동에 불만을 품은 메시지를 자신의 Bot 에 포함하고 있다. 이중 KISA에서 일하는 분도 계셔 눈길을 끈다. * MD5 : 099196e29c01c0ecd896c7f10d0308e9 *sesvc.exe * 길이 : 210,944 * V3 진단명 : Win32/IRCBot.worm.210944.B -------- You better fuck off SANS.org especially that Johannes Ullrich (*******@****.org, 617-7xx-xxxx) and Kevin Hong (xxxxx@******.or.kr, +82-2-4xx-5xxx). I really don't have anything agai..