태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.07.29 10:06


Lnk 취약점 Sality 바이러스 관련 정보
Sality 바이러스 국내 감염 보고
viruslab.tistory.com

Lnk 취약점을 이용해서 전파 중인 Sality 파일 바이러스가 이미 국내에 상륙해서 전파가 진행 중인 것으로 보고되고 있습니다.

해당 바이러스에 감염되면 아래와 같이 C:\ 등 각 시스템 로컬 디스크 등에 Autorun.inf 파일과 임의 파일명을 가진 실행파일(EXE, PIF) 등이 "숨김 속성"으로 생성됩니다.

USB 이동 디스크 등이 있다면 루트 경로에 아래와 같은 악성코드가 함께 생성(감염) 됩니다.

악성코드가 폴더 옵션을 강제로 수정하여, 숨김 속성 파일을 보이지 않도록 변경하며, 아래 화면은 강제로 폴더 옵션을 해제한 후 캡처한 화면입니다.

사용자 삽입 이미지

autorun.inf 파일은 로컬 드라이브에 접근 시 자동으로 실행되도록 하는 역할을 해주고, 아래와 화면과 같이 동일 경로에 존재하는 khhqh.pif 실행 파일을 자동으로 오픈하게 됩니다.

사용자 삽입 이미지

또한, autorun.inf 파일에 의해서 로컬 디스크에서 오른쪽 마우스 메뉴를 열어보면 Autoplay 라는 메뉴가 추가된 것을 확인할 수 있습니다.

사용자 삽입 이미지

khhqh.pif 파일은 다음과 같이 103,140 바이트로 고정적인 것을 생성합니다.

http://www.virustotal.com/analisis/8d9bb65b0365800a214b785197238882bdafa21055eb270173bf17a3648153a6-1280362716

사용자 삽입 이미지

이후에 컴퓨터에 존재하는 정상 실행 파일을 감염시키는 작동 등을 수행하며, Temp 폴더에 감염될 때마다 임의의 파일명으로 또 다른 악성코드 들을 다수 생성합니다.

사용자 삽입 이미지

oqpd.exe
http://www.virustotal.com/analisis/399c426ab74b6db73e1c61c06bd5b38d2253e50178e3b663716085cedc454f5c-1280305571

sfviaf.exe
http://www.virustotal.com/analisis/c8c52a5d8fa03ec033be8e530defa37bb38d1182ee2daf5015437d40fea12854-1280325016

winaeru.exe
http://www.virustotal.com/analisis/bbf4b768882b90df971be1d46611229bcfd0507efce0b0ab363da24306880dd3-1280325097

현재 감염된 정상 파일의 바이러스 토탈 진단 현황은 다음과 같습니다.
nProtect Anti-Virus 엔진에 감염된 바이러스를 치료할 수 있도록 긴급 대응 중입니다.

http://www.virustotal.com/analisis/7a16f90b7f32652e6ddcb6da6cf3bd431052d33b6ebea5367bc4da9bf3e757ef-1280364708


안티바이러스 엔진 버전 정의 날짜 검사 결과
AhnLab-V3 2010.07.29.00 2010.07.28 -
AntiVir 8.2.4.26 2010.07.28 W32/Sality.AT
Antiy-AVL 2.0.3.7 2010.07.28 -
Authentium 5.2.0.5 2010.07.28 W32/Virut.AI!Generic
Avast 4.8.1351.0 2010.07.28 Win32:Sality
Avast5 5.0.332.0 2010.07.28 Win32:FileInfector-A
AVG 9.0.0.851 2010.07.28 Win32/Heur
BitDefender 7.2 2010.07.29 DeepScan:Generic.Sality.3.95EA7762
CAT-QuickHeal 11.00 2010.07.28 W32.Sality.U
ClamAV 0.96.0.3-git 2010.07.29 -
Comodo 5574 2010.07.29 -
DrWeb 5.0.2.03300 2010.07.28 Win32.Sector.21
Emsisoft 5.0.0.34 2010.07.28 Virus.Win32.Sality!IK
eSafe 7.0.17.0 2010.07.27 -
eTrust-Vet 36.1.7745 2010.07.28 Win32/Sality.AA
F-Prot 4.6.1.107 2010.07.28 W32/Virut.AI!Generic
F-Secure 9.0.15370.0 2010.07.29 DeepScan:Generic.Sality.3.95EA7762
Fortinet 4.1.143.0 2010.07.28 -
GData 21 2010.07.29 DeepScan:Generic.Sality.3.95EA7762
Ikarus T3.1.1.84.0 2010.07.29 Virus.Win32.Sality
Jiangmin 13.0.900 2010.07.28 Win32/HLLP.Kuku.Gen
Kaspersky 7.0.0.125 2010.07.28 -
McAfee 5.400.0.1158 2010.07.29 W32/Sality.gen.e
McAfee-GW-Edition 2010.1 2010.07.28 Heuristic.LooksLike.Win32.Suspicious.J!83
Microsoft 1.6004 2010.07.28 Virus:Win32/Sality.AU
NOD32 5321 2010.07.28 Win32/Sality.NBA
Norman 6.05.11 2010.07.28 W32/Sality.BD
nProtect 2010-07-28.02 2010.07.28 -
Panda 10.0.2.7 2010.07.28 W32/Sality.AA
PCTools 7.0.3.5 2010.07.29 Malware.Sality
Prevx 3.0 2010.07.29 -
Rising 22.58.02.04 2010.07.28 Win32.KUKU.kq
Sophos 4.55.0 2010.07.29 Mal/Sality-D
Sunbelt 6655 2010.07.28 Virus.Win32.Sality.at (v)
SUPERAntiSpyware 4.40.0.1006 2010.07.29 -
Symantec 20101.1.1.7 2010.07.29 W32.Sality.AE
TheHacker 6.5.2.1.326 2010.07.27 -
TrendMicro 9.120.0.1004 2010.07.27 PE_SALITY.BA
TrendMicro-HouseCall 9.120.0.1004 2010.07.29 PE_SALITY.BA
VBA32 3.12.12.6 2010.07.28 Malware-Cryptor.Win32.Nukakby
ViRobot 2010.7.28.3960 2010.07.28 -
VirusBuster 5.0.27.0 2010.07.28 Win32.Sality.BK
추가 정보
File size: 151552 bytes
MD5...: 337171fc1e2a99dfd1992955dacbc766



Posted by viruslab
신종악성코드정보2010.07.28 09:15


블리자드사의 유명 인기 게임인 스타크래프트 2 : 자유의 날개 (Starcraft II: Wings of Liberty)가 본격적으로 오픈 베타를 시작하자 마자 많은 사용자들에게 관심을 끌고 있지요.

http://kr.battle.net/sc2/ko/

이렇게 많은 사람들에게 관심을 받게 되면 항상 관련된 악성코드가 비례적으로 증가하기도 합니다.

사용자 삽입 이미지

실제로 2010년 상반기 중에는 다음과 같이 스타크래프트2 파일로 위장한 악성코드가 출현한 바 있습니다.

http://www.virustotal.com/analisis/8cccdbcd3353035c7529fdebb98de4016ed185c0a1b622c78d8e297f728b5377-1280275753

Antivirus Version Last Update Result
AhnLab-V3 2010.07.28.00 2010.07.27 -
AntiVir 8.2.4.26 2010.07.27 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.07.26 Trojan/Win32.Buzus.gen
Authentium 5.2.0.5 2010.07.28 -
Avast 4.8.1351.0 2010.07.28 Win32:VB-OXI
Avast5 5.0.332.0 2010.07.28 Win32:VB-OXI
AVG 9.0.0.851 2010.07.27 Generic17.BLRY
BitDefender 7.2 2010.07.28 Trojan.Generic.3774729
CAT-QuickHeal 11.00 2010.07.27 -
ClamAV 0.96.0.3-git 2010.07.27 -
Comodo 5560 2010.07.27 -
DrWeb 5.0.2.03300 2010.07.28 -
Emsisoft 5.0.0.34 2010.07.28 Virus.Win32.VB!IK
eSafe 7.0.17.0 2010.07.27 Win32.TRDropper
eTrust-Vet 36.1.7743 2010.07.27 -
F-Prot 4.6.1.107 2010.07.27 W32/VB.AP.gen!Eldorado
F-Secure 9.0.15370.0 2010.07.28 Trojan.Generic.3774729
Fortinet 4.1.143.0 2010.07.24 -
GData 21 2010.07.28 Trojan.Generic.3774729
Ikarus T3.1.1.84.0 2010.07.27 Virus.Win32.VB
Jiangmin 13.0.900 2010.07.26 -
Kaspersky 7.0.0.125 2010.07.27 Trojan.Win32.Buzus.dsyt
McAfee 5.400.0.1158 2010.07.28 Artemis!EA8E7B788F5C
McAfee-GW-Edition 2010.1 2010.07.27 Artemis!EA8E7B788F5C
Microsoft 1.6004 2010.07.28 VirTool:Win32/VBInject.gen!DM
NOD32 5318 2010.07.27 Win32/Spatet.A
Norman 6.05.11 2010.07.27 -
nProtect 2010-07-27.01 2010.07.27 Trojan.Generic.3774729
Panda 10.0.2.7 2010.07.27 Suspicious file
PCTools 7.0.3.5 2010.07.28 Spyware.ADH
Prevx 3.0 2010.07.28 -
Rising 22.58.01.04 2010.07.27 -
Sophos 4.55.0 2010.07.28 -
Sunbelt 6651 2010.07.28 Trojan.Win32.Buzus
SUPERAntiSpyware 4.40.0.1006 2010.07.28 -
Symantec 20101.1.1.7 2010.07.28 Spyware.ADH
TheHacker 6.5.2.1.326 2010.07.27 -
TrendMicro 9.120.0.1004 2010.07.27 TROJ_BUZUS.ARF
TrendMicro-HouseCall 9.120.0.1004 2010.07.28 TROJ_BUZUS.ARF
VBA32 3.12.12.6 2010.07.27 Trojan.Win32.Buzus.dsyt
ViRobot 2010.7.24.3958 2010.07.27 -
VirusBuster 5.0.27.0 2010.07.27 Worm.Rebhip.OR
Additional information
File size: 2933006 bytes
MD5...: ea8e7b788f5c0b5cd1a951fd504b6a9f

해당 악성코드 파일 중 일부는 다음과 같이 교묘하게 스타크래프트2 아이콘 처럼 위장하고 있기도 합니다.

사용자 삽입 이미지

오픈 베타가 본격적으로 시작되고, 각종 런칭 기념 행사를 가지면서 더 많은 악성코드 출현이 예상되므로, 이러한 점을 인지하시고 각별히 조심하시면 좋겠습니다.




Posted by viruslab