태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

2015.03.02 09:49

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

악성코드자료2014.04.17 10:18
악성코드자료2013.07.10 10:45


하여튼 피해가 장난이 아니다.


중국(with 조선족) 스미싱 제작자의 이메일을 발견즉시 계속 차단(암호변경)시키고 있다.


계속 암호를 변경해서 차단했더니 이 놈이 열받았는지 다른 방식을 도입했다.


일부 중국 웹메일 주소는 암호를 변경할려면 제작자가 지정한 질문에 답을 해야 한다. ㅡ.ㅡ;;;


하여튼 피해가 심각한 상황이다.


http://erteam.nprotect.com/431



 

Posted by viruslab
악성코드자료2013.06.27 09:06


전사는 아직도 전투 중

 

 

 

 

Posted by viruslab
악성코드자료2012.03.14 23:28







Posted by viruslab
악성코드자료2011.09.27 11:06


안드로이드 악성파일을 본격적으로 수집한지 약 6개월정도 지났는데, 현재까지 약 1,500여개 정도가 수집되었다.

최근들어 안드로이드 악성파일이 가파른 증가세를 보이고 있으나, 아직까지 국내에는 특별한 피해보고가 확인되지는 않고 있다.

대부분이 외국에서 제작되어 발견되고 있는 형태라는 점이 마치 도스 운영체제 시절의 외산 바이러스 유행 때와 비슷한 느낌이다. (물론 국내에도 도스 바이러스 제작자들이 한참 활동했던 시기가 있다.)

국내에 안드로이드용 스마트 기기 사용자가 폭발적으로 증가하고 있다는 점과 맞물려 사이버 범죄나 사이버 테러 목적을 겨냥한 공격 형태가 활발해 질 시기는 시간 문제가 아닐까 생각된다.

이런 상태로 안드로이드용 악성파일이 계속적으로 증가한다면 앞으로 큰 보안 화두가 될 것 같다......




Posted by viruslab
악성코드자료2010.03.02 17:18


비트디펜더(Bitdefender)에서는 SDK 사용 고객(사)들에게 악성코드 업데이트 리스트를 메일 등으로 통보해 주고 있습니다.

따라서 어떠한 악성코드들의 치료 기능이 추가되는지 진단명을 통해서 확인해 볼 수 있지요.

이미 아시는 분들도 많이 계시겠지만 비트디펜더의 경우 진단명 명명 방식이 간소화되고 있으며, 특히 변형도 부분은 단순히 카운트 증가 형식을 사용하고 있습니다.

사용자 삽입 이미지

따라서 진단명 만으로 어떠한 종류인지 분류하고 파악하기에는 매우 불편하지만, 진단명 명명하는 입장에서는 편리할 수도 있을 것 같습니다.

많은 악성코드가 실시간으로 출현하고 있고, 변종의 형태가 다변화되고 있으니 악성코드 조상(원형) 찾기가 그리 녹록치 않은 일임에는 틀림이 없습니다.

조상을 모르니 후손들 작명하는데도 참 어렵지요^^

그래도 대대손손 족보를 이끌어 가는 Kaspersky 가문도 계시니.. 비교해 보는 것도 재밌겠네요.

Posted by viruslab
악성코드자료2009.10.09 16:21
악성코드자료2009.08.31 12:49


독일쪽에서도 여러가지 Fake AV 제품이 유포되고 있는 것이 발견되고 있습니다.

사용자 삽입 이미지

서버에 다양한 변종 설치본이 등록되어 있는 화면입니다.

사용자 삽입 이미지

바이러스 토탈 진단 현황입니다.

http://www.virustotal.com/analisis/b495b87942cb817187c811a87266ccc75fb9206ed2c262bd599047d883e0f75e-1251482090

Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.08.28 Generic.Win32.Malware.FakeAdpro!IK
AhnLab-V3 5.0.0.2 2009.08.28 Win-Trojan/Fakeav.2189792
AntiVir 7.9.1.7 2009.08.28 -
Antiy-AVL 2.0.3.7 2009.08.24 -
Authentium 5.1.2.4 2009.08.28 -
Avast 4.8.1335.0 2009.08.28 -
AVG 8.5.0.406 2009.08.28 -
BitDefender 7.2 2009.08.28 -
CAT-QuickHeal 10.00 2009.08.28 -
ClamAV 0.94.1 2009.08.28 -
Comodo 2124 2009.08.28 -
DrWeb 5.0.0.12182 2009.08.28 -
eSafe 7.0.17.0 2009.08.27 -
eTrust-Vet 31.6.6706 2009.08.28 -
F-Prot 4.5.1.85 2009.08.27 -
F-Secure 8.0.14470.0 2009.08.28 -
Fortinet 3.120.0.0 2009.08.28 -
GData 19 2009.08.28 -
Ikarus T3.1.1.68.0 2009.08.28 Generic.Win32.Malware.FakeAdpro
Jiangmin 11.0.800 2009.08.28 TrojanDownloader.Small.tmn
K7AntiVirus 7.10.830 2009.08.28 -
Kaspersky 7.0.0.125 2009.08.28 -
McAfee 5723 2009.08.28 -
McAfee+Artemis 5723 2009.08.28 Artemis!8DC7FFE3E0E0
McAfee-GW-Edition 6.8.5 2009.08.28 -
Microsoft 1.5005 2009.08.28 Program:Win32/FakeAdpro
NOD32 4378 2009.08.28 a variant of Win32/Adware.AntivirusDoktor.A
Norman 2009.08.28 -
nProtect 2009.1.8.0 2009.08.28 -
Panda 10.0.2.2 2009.08.28 Suspicious file
PCTools 4.4.2.0 2009.08.28 -
Prevx 3.0 2009.08.28 -
Rising 21.44.40.00 2009.08.28 -
Sophos 4.45.0 2009.08.28 -
Sunbelt 3.2.1858.2 2009.08.28 -
Symantec 1.4.4.12 2009.08.28 -
TheHacker 6.3.4.3.389 2009.08.27 -
TrendMicro 8.950.0.1094 2009.08.28 -
VBA32 3.12.10.10 2009.08.28 -
ViRobot 2009.8.28.1907 2009.08.28 -
VirusBuster 4.6.5.0 2009.08.28 -
Additional information
File size: 2189792 bytes
MD5   : 8dc7ffe3e0e07639601b787130f502cd
SHA1  : a09402892f7c6d5004bd07aca1718798885c83aa


Posted by viruslab
악성코드자료2009.08.27 08:47
악성코드자료2009.06.09 16:40
악성코드자료2009.06.05 14:34


http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_downadup_codex_ed2.pdf


사용자 삽입 이미지

It seems that the Downadup family of worms is gone but not forgotten. Or is it the other way around?

Media attention for Downadup has waned since early April. The last variant of the threat, W32.Downadup.E, included a “self-destruct sequence” effectively deleting itself as of May 3, 2009. Has the death toll for Downadup chimed, effectively moving it to the historical annals of malicious code?

Not in the least—Downadup is still very much alive and kicking around out there. While the threat is no longer spreading with the same fervor as it did at the beginning of the year, its infection numbers are not falling off as you would expect if we were looking at the cleanup period of a has-been threat. Let’s take a look at some rough data that we’ve collected here in Security Response.

This data represents the number of new Downadup infections reported to our sensors per day. We’ve started from May 3, the day W32.Downadup.E removed itself from the computers it compromised and the last high-profile activity by the threat.  Notice that while there is a slight decline over the month, the numbers remain quite steady.

The point here is that Downadup is just as relevant today as it was during the peak of media attention. With that in mind, we have compiled another edition of The Downadup Codex. Once again, it compiles the blog entries that we have written, including eight new ones. We’ve also updated the historical introduction to bring us up-to-date. Finally, we’ve added two new appendices to the codex, one that details the various features of each variant, and one that offers advice on how to find Downadup infections.

While possibly forgotten, but not gone, Downadup still needs attention in order to be properly moved from today’s threat landscape to the annals of malicious code. With that in mind, we present The Downadup Codex, Edition 2.0.

Posted by viruslab
악성코드자료2009.06.05 14:27


https://www.trustwave.com/downloads/alerts/Trustwave-Security-Alert-ATM-Malware-Analysis-Briefing.pdf

http://www.boannews.com/media/view.asp?idx=16500&kind=0

사용자 삽입 이미지

보안 전문가들이 동유럽의 ATM 기기에 지난 18개월간 잠복해온 데이터 탈취 트로잔을 확인했다. 특히 강제적으로 기계 안의 모든 현금을 내주게 하는 것으로 확인돼 충격을 주고 있다.

보안업체 트러스트웨이브(Trustwave)사의 보안연구팀 스파이더랩(SpiderLabs)이 최근 “ATM 맬웨어 분석 보고서(Automated Teller Machine (ATM) Malware Analysis Briefing)”를 발표하고 지난 18개월간 동유럽의 ATM 기기에 존재하고 있는 트로잔을 확인했다고 전했다.





Posted by viruslab
악성코드자료2008.06.25 09:19


이카루스에서 제작한 사진이다.

사용자 삽입 이미지


Posted by viruslab
악성코드자료2008.05.23 10:44


악성코드 전용 Packer 로 제작된 도구이다.

사용자 삽입 이미지



Posted by viruslab
악성코드자료2008.05.16 19:06


최근에 웹을 통한 악성 스크립트(Exploit / XSS)를 암호화하는데 사용하는 도구이다.

사용자 삽입 이미지


Posted by viruslab
악성코드자료2008.01.17 09:35


사용자 삽입 이미지
Posted by viruslab
악성코드자료2008.01.14 17:25


RPCRT4.dll 을 MSCORE.DLL 로 바꿔치기 해 버리는 Patched 기법

사용자 삽입 이미지
Posted by viruslab
TAG Patched
악성코드자료2007.11.12 14:43


"댔역"라는 메뉴를 보신 분이 요즘 많이 있을겁니다.

사용자 삽입 이미지

이것은 중국산 악성코드에 의해서 생긴 한자가 한글 윈도우에서 깨져보이는 현상이며, 이러한 메뉴가 있을 경우에는 악성코드(Autorun.inf)에 감염된 경우라 보시면 됩니다.

C:\Autorun.inf

[AuToRun]
open=sos.exe
shell\open=打开(&O)
shell\open\Command=sos.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=sos.exe

"打开"라는 부분이 실제 한글 윈도우에서는 "댔역"라고 깨져서 보이는 현상입니다.
Autorun(자동실행) 기능을 이용하기 위해서 열기메뉴에 추가된 것입니다.

매일 변종들이 제작되어 유포되고 있으니 주의가 필요할 듯 싶네요.

2007/11/10 - [감염대처법] - Autorun.inf 악성코드 원리

Posted by viruslab
악성코드자료2007.11.12 12:39


▶ 패커란

실행 압축 파일(ExePacker, 이하 패커)은 실행 파일에서 불필요한 부분을 제거하고 코드와 데이터를 압축해서 실제 파일 크기 보다 작게 만든 파일이다. 도스 시절 부족한 디스크 공간을 효율적으로 사용하기 위해 실행 파일의 크기를 줄이는 LZEXE, DIET, PKLITE 등이 알려져 있다. 윈도우 시대로 넘어오면서 디스크 공간 확보의 목적 뿐만 아니라 리버스 엔지니어링(Reverse Engineering)을 통하여 분석을 어렵게 하기 위한 목적으로도 이용된다.

패커는 악성코드에서 많이 이용되지만 자신을 보호할 필요가 있는 보안 프로그램이나 언더그라운드에서 제작되는 크랙 파일 등에도 사용된다. 패커는 크게 단순히 길이를 줄이기 위한 압축형(Compressor), 분석을 방지하기 위해 단순 암호화 방법을 사용하는 암호형(Cryptor), 여러 파일 설치형(Installer), 압축보다 안티 디버깅 기법(anti-debugging tricks)등 원래 코드 분석을 방해 목적이 강한 보호형(Protector) 등으로 나뉜다. 일반적으로 악성코드에서는 압축형, 암호형, 보호형이 사용되며 이들이 혼합되기도 한다.

▶ 악성코드에서 패커 이용

악성코드에서 이들 프로그램을 이용 하는 이유는 다음과 같다.

첫째, 악성코드 크기가 줄어듦: 악성코드는 비정상적인 활동을 하므로 자기복제, 전송 등의 시간을 줄이기 위해서 악성코드의 길이가 가급적 짧을 필요가 있다. 하지만, 최근 컴퓨터나 네트워크 성능이 좋아지면서 악성코드 크기에 대한 민감성은 많이 줄어들었다.

둘째, 안티 바이러스의 진단을 피할 수 있음: 패커 이용의 가장 큰 목적은 안티 바이러스의 진단을 피하는 것이다. 변형이 많을 경우 안티 바이러스 회사는 악성코드에서 발견되는 고유 값이 아닌 유사 변형을 진단할 수 있는 기능을 추가한다. 악성코드 제작자 입장에서는 소스코드를 상당히 수정하지 않는 이상 제작하는 변형이 사용자들에게 퍼지기도 전에 사전에 진단 될 수 있다. 하지만, 패커를 통해 실행 파일을 수정하면 유사 변형에 대한 진단 기능이 있는 안티 바이러스 제품도 해당 실행 압축을 해제하지 못하면 진단 할 수 없다. 실제로 패커가 잘 알려지기 시작한 2004년은 유사 악성 IRC봇 변형이 대량으로 등장한 시기이다.

셋째, 분석을 어렵게 할 수 있음: 분석 방해 기능이 포함된 패커로 분석가의 분석을 지연해 결과적으로 악성코드의 생존 기간을 연장 시키려는 목적으로 이용된다. 최근 악성코드는 40%만 일주일간 활동하고 30일 동안 활동하는 악성코드 역시 15%에 불과하다. 따라서, 악성코드 제작자는 동일한 목적을 이용해 사용되지만 분석을 최대한 어렵게 하고 많은 변형을 동시에 배포해 생존 확률을 높일 필요가 있다.

▶ 패커를 둘러싼 보안업체와 악성코드 제작자들

기존에 진단되는 웜이나 트로이목마를 패커로 압축하면 전혀 다른 파일이 되어 해당 패커를 해제하지 못하는 안티 바이러스 제품은 진단 할 수 없었다. 이에 안티 바이러스 프로그램은 널리 사용되는 패커에 대한 압축 해제 기능을 조금씩 추가하기 시작한다. 하지만, 2004년 악성 IRC봇 소스가 공개되면서 같은 소스에서 접속 IRC 서버 주소만 조금씩 수정된 변형이 전세계적으로 수없이 등장하기 시작했다. 소스코드 제작자는 안티 바이러스 제품에서 진단되지 않는 방법으로 패커의 사용을 알려주었고 패커의 사용이 악성코드 제작자들 사이에 일반화되었다. 더 이상 언패킹 기능이 부가기능이 아닌 필수 기능이 되면서 안티 바이러스 제품에서도 알려진 패커의 해제 기능이 강화되었다.

2005년부터 악성코드 제작자들은 널리 알려져 있지 않은 패커를 이용하거나 기존에 나와있는 패커를 일부 수정해 자신만의 패커를 만들어 이용하기 시작했다. 또 흔히 PE 패치로 불리는 실행 코드를 일부 수정해 안티 바이러스 프로그램에서 패커 이용 사실을 알 수 없게 하는 방법도 증가했다. 개인적으로 제작된 패커와 PE 패치가 급증하면서 안티 바이러스 업계에서는 패커를 풀어서 내용을 보고 진단하는 방식보다 일반적이지 않은 패커를 사용하거나 다중 압축된 파일은 악성코드의 가능성이 매우 높으니 이들에 대한 진단 가능성에 대한 견해가 나타났고 2006년부터 더욱 많은 샘플 증가로 특정 패커를 진단하는 안티 바이러스 프로그램이 늘어나기 시작했다.

▶ 패커 진단의 이점

패커 자체를 진단 했을 때 장점은 알려지지 않은 악성코드 진단이다. 물론 이는 정확히 코드를 분석해 악성코드라고 확인하고 진단하는게 아닌 특정 패커 자체를 진단하기 때문에 악성코드로 의심된다는 성격이 강하다. 하지만, 바이러스 버스터사의 통계에 따르면 2007년 1/4 분기에 접수된 샘플 중 2만 여 개를 자사의 패커 진단 기능으로 진단했고 적은 수의 정의 데이터로 높은 효율을 얻을 수 있음을 알 수 있다.

▶ 패커 진단의 문제점

패커 진단에 여러가지 이점도 있지만 문제점도 존재한다.

첫째, 악성코드 확인이 안된 진단: 일반적으로 안티 바이러스에서 악성코드는 악의적인 행동이 확인되었을 때 진단에 추가된다. 하지만, 패커를 진단하는 것은 패커 안에 숨겨진 코드가 어떤 내용인지 전혀 알 수 없이 진단한 것이다. 악성코드 확인 없이 진단하는 건 결과적으로는 좋지만 악성코드라고 확인되지 않는 파일에 대한 진단은 논란의 여지가 분명히 있다.

둘째, 오진 가능성: 패킹 안의 내용이 아닌 패커 자체로 진단하므로 정상 파일을 진단하는 오진 가능성이 존재한다. 잘 알려지지 않은 패커를 정상 프로그램에서는 사용될 가능성이 적지만 전혀 없는게 아니며 일부 보안 프로그램은 해커들로부터 분석을 어렵게 하기 위해 상용 패커를 이용하거나 자체 패커로 자신을 보호하기도 한다.

셋째, 상용 제품 진단 어려움: 상용 패커나 널리 알려진 패커는 진단하기 매우 어렵다. 사용 업체의 항의나 소송 문제뿐 아니라 해당 패커를 사용한 제품도 많으므로 진단에 사용할 패커 선정은 신중해야 한다. 예를들어 중국에서 제작된 Upack을 기본으로 진단하는 제품의 경우 Upack은 중국 이외에는 거의 사용되지 않지만 중국에서는 정상 프로그램에서도 이용된다. 만약 Upack을 기본으로 진단하는 제품이라면 중국에서 해당 안티 바이러스 제품 사용은 큰 불편이 따르므로 적어도 중국 내에서는 진단정책 변경이 불가피 할 수 있다.

▶ 패커에 대한 안티 바이러스 현황

기본적으로 상용 패커는 진단에서 제외된다. 진단에 사용되는 패커는 개인적으로 제작되어 일반에 알려지지 않았거나 일반에 알려졌어도 일반적으로 사용되지 않고 대부분 악성코드에서 이용이 확인된 형태이다.

포티넷의 브랸 루(Bryan Lu)가 바이러스 블루틴 2007 컨퍼런스에서 발표한 자료에 따르면 자사에서 집계한 샘플을 분석한 결과 윈도우 악성코드의 40%가 실행 압축되어 있었다. 바이러스 블루틴(Virus Bulletin) 2007년 10월호에 헝가리 바이러스 버스터(VirusBuster)의 가보르 스자파노스(Gabor Szappanos) 연구원에 따르면 와일드리스트에 오른 739개 샘플 중 54개만 패킹되어 있지 않고 나머지 92%가 패킹되어 있으며 사용된 패커는 30 가지 이상이라고 한다.

실제로 2007년 국내에서 발견된 악성코드를 검사해보면 몇몇 제품은 TR/Crypt.NSPM.Gen, Win32/NSAnti 등의 이름으로 패커 자체를 진단했음을 알 수 있다.

▶ 향후 전망

안티 바이러스 업계에서는 엄청나게 증가한 악성코드를 진단하기 위한 방안 중 하나로 패커를 진단하기 시작했다. 악성코드 제작자들은 안티 바이러스 프로그램에 대항하기 위한 새로운 무기로 패커를 선택했고 이를 적극 이용하고 있다. 악성코드 수는 급격히 증가하고 이를 모두 분석하지 못하는 현실에서 안티 바이러스 프로그램의 패킹된 파일에 대한 진단은 점점 증가할 것이다. 하지만, 이는 단점도 존재하므로 안티 바이러스 업계는 패킹 자체를 진단하는 것 뿐만 아니라 보다 다양한 패커를 해제하고 해제된 내용으로 진단하는 방식도 강화해야 할 것이다.

▶ 참고문헌

[1] Gabor Szappanos, Exepacker blacklisting, Virus Bulletin 20007.10 p.14-19
[2] Bryan Lu, A Deeper Look at malware - The Whole Story, Virus Bulletin 2007

출처 - 안철수연구소 ASEC

Posted by viruslab