태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.07.01 09:51


네이트온 쪽지 악성코드 정보 보기
압축형식 악성코드 주의하세요.
viruslab.tistory.com

그동안 네이트온 쪽지나 메신저 등으로 전파되었던 악성코드가 이번에는 압축 파일에 암호를 삽입하여 Anti-Virus 제품의 실시간 감시 우회나 Generic 탐지 기능을 회피하기 위해서  압축 파일에 암호와 한글을 넣어 둔 것이 보고되었습니다.

관련 내용은 "벌새님의 블로그" 를 참고해 보시면 좋겠습니다.

사용자 삽입 이미지

악성코드를 WinRAR 이나 Alzip 등의 제품으로 해제를 시도할 경우 화면에 암호가 보여지어 사용자가 풀 수 있도록 유도하고 있는것이 특이합니다. 참고로 WinZIP, 7Zip 등에서는 암호가 보여지지 않을 수 있습니다.

먼저 WinRAR 제품으로 압축을 해제할 경우입니다.
화면에 암호 123 을 추측하여 입력할 수 있습니다.

저 같은 경우 그동안 암호화 압축된 악성코드를 많이 접해봐서 화면에 보여진 "암호  123.exe", "123.exe" 등으로 입력해 보기도 했었네요. 너무 앞서가진 말아야 겠습니다.^^

사용자 삽입 이미지

다음으로 알집 제품으로 압축을 해제할 경우입니다. 역시 암호 123 이 보여집니다.

사용자 삽입 이미지

다음으로 WinZIP 으로 압축을 해제할 경우입니다. 암호가 보여지지 않습니다.

사용자 삽입 이미지

다음으로 7Zip 으로 압축을 해제할 경우입니다. 역시 암호가 보여지지 않습니다.

사용자 삽입 이미지

이러한 악성코드로 부터 안전할려면 오히려 암호가 안 보여지는게 좋기도 하겠네요. ㅡ.ㅡ+

nProtect Anti-Virus 패턴에는 금일 정기 업데이트에 추가될 예정입니다.

http://www.virustotal.com/analisis/02b4dfd42e475f501cfd641e90164bee9d19ea42c71d61d5589fb85cd52f0e3e-1277945127


Posted by viruslab
신종악성코드정보2010.06.28 10:30


최근 주말마다 네이트온 쪽지와 메신저로 악성 코드 유포가 끊임없이 보고되고 있습니다.

감염되시는 분들이 아직도 꽤 많은 것 같아 관련된 내용을 정리해 봅니다.

네이트온(NateOn) 쪽지 등을 통해서 악성코드가 포함된 URL 주소를 대화 상대자들에게 전파하는 형태가 지속적으로 등장하고 있어 네이트온 사용자들의 각별한 주의가 요구되고 있다.

이와 관련하여 "네이트온"에서는 쪽지함에 다음과 같은 주의 문구를 삽입하여 사용자들이 실수로 악성코드에 노출되지 않도록 도와주고 있다.

"쪽지를 통해 전송되는 확인되지 않은 URL은 클릭 시 악성 프로그램이 설치될 수 있으므로 주의하시기 바랍니다."

사용자 삽입 이미지

메신저 대화 상대로 등록된 여러 사람들에게 악성코드 URL 주소가 포함된 내용을 전송하며, 쪽지를 받은 사용자가 해당 내용에 포함된 URL 주소를 클릭하도록 유도하여 악성코드에 감염되도록 만든다.


최근까지 다양한 형태의 변종들이 지속적으로 유포되고 있기 때문에 대화 상대로 등록된 사람이 보낸 내용일 경우라도 정확히 알 수 없는 URL 주소 등이 포함되어 있다면 클릭하기 전 각별히 주의하는 것이 필요하다.

무심코 URL 주소를 클릭하게 되면 다음과 같이 악성코드 다운로드가 시도되며, 다양한 파일명 등을 사용하여 사용자들을 현혹시키고 있다.

특히, 그림 파일(.JPG)이나 화면보호기(.SCR) 등으로 위장한 형태가 많이 발견되고 있으며, 아이콘은 폴더처럼 위장하고 있는 경우가 많아 사용자가 폴더로 잘못 인식하고 더블 클릭하여 직접 실행하는 경우가 있어 조심해야 한다.

사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지

악성코드가 실행이 되면 사용자의 관심을 돌리거나, 마치 정상 파일처럼 속이기 위해서 다음과 같은 그림 파일 등을 보여준다.

사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지

사용자 삽입 이미지

그림 파일이 보여지는 순간 해당 사용자의 컴퓨터에는 악성코드가 같이 설치되며, 국내외 유명 온라인 게임 사용자의 계정 탈취 기능을 수행하게 되며, 네이트온 메신저 계정 등이 외부로 유출될 수 있다.

더불어 쪽지를 발송한 사용자의 경우는 자신도 모르게 악성코드 유포자로 악용된 경우라 할 수 있으며, 자신의 정보가 불법적으로 도용되었을 가능성이 매우 높으므로, 서둘러서 네이트온 암호를 변경하고 대화 상대자들에게 해당 내용을 신속하게 알려주어 2차 악성코드 감염 피해를 최소화하여야 한다.



Posted by viruslab
신종악성코드정보2010.06.28 09:56


주말동안 유포된 네이트온 쪽지(메신저) 악성코드입니다.

특정 URL 주소를 클릭하면 또 다른 도메인에서 다음과 같은 파일을 다운로드 합니다.
사용자 삽입 이미지
사용자 삽입 이미지

sjadhuo.exe 파일은 폴더 아이콘을 하고 있어 사용자의 오클릭을 유도합니다.
사용자 삽입 이미지

RAR SFX 로 압축되어 있으며, 내부에는 ldfhu.jpg 와 nsjhd.exe 파일이 포함되어 있습니다.

sjadhuo.exe 파일이 실행되면 자동으로 압축이 해제되면서 ldfhu.jpg 그림 파일을 보여주어 사용자로 하여금 악성코드가 실행된 것을 눈치채지 못하도록 합니다.

사용자 삽입 이미지

http://www.virustotal.com/analisis/b5ffa9d7c262e3492857548cdea5c11112f2a05bdbfff3dc996b41f7aca4e8d0-1277682534



Posted by viruslab
신종악성코드정보2009.08.29 10:38


이번에는 내부에 foreved.exe 라는 파일명으로 악성코드를 숨기고 있으며, uu.jpg 로 사진을 변경했습니다.

사용자 삽입 이미지



Posted by viruslab
신종악성코드정보2009.08.25 23:42


네이트온쪽지로 유포되고 있는 새로운 악성코드의 진단현황입니다.

국지적으로 유포되는 형태이기 때문에 국내에서 더 많은 발견/감염 보고가 있을 것이라 생각됩니다.

그러나 국내보다 해외 외산 제품들이 더 많이 진단하고 있네요!

사용자 삽입 이미지

http://www.virustotal.com/analisis/61cf6ba7c0e821287245f4895caba6293352bca2d27fe265cc2d9b328b46cd26-1251211040 

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.24 2009.08.25 Backdoor.Win32.ServU-based!IK
AhnLab-V3 5.0.0.2 2009.08.25 -
AntiVir 7.9.1.3 2009.08.25 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.08.24 -
Authentium 5.1.2.4 2009.08.25 -
Avast 4.8.1335.0 2009.08.24 Win32:Dogrobot
AVG 8.5.0.406 2009.08.25 Agent2.MCB.dropper
BitDefender 7.2 2009.08.25 Trojan.Generic.1956416
CAT-QuickHeal 10.00 2009.08.25 -
ClamAV 0.94.1 2009.08.25 -
Comodo 2091 2009.08.25 TrojWare.Win32.Agent.ctox
DrWeb 5.0.0.12182 2009.08.25 Trojan.MulDrop.32998
eSafe 7.0.17.0 2009.08.25 Suspicious File
eTrust-Vet 31.6.6699 2009.08.25 -
F-Prot 4.4.4.56 2009.08.24 -
F-Secure 8.0.14470.0 2009.08.25 -
Fortinet 3.120.0.0 2009.08.25 PossibleThreat
GData 19 2009.08.25 Trojan.Generic.1956416
Ikarus T3.1.1.68.0 2009.08.25 Backdoor.Win32.ServU-based
Jiangmin 11.0.800 2009.08.25 -
K7AntiVirus 7.10.827 2009.08.25 Trojan-PSW.Win32.Maran
Kaspersky 7.0.0.125 2009.08.25 Trojan.Win32.Agent.cvdv
McAfee 5719 2009.08.24 Vundo!bq
McAfee+Artemis 5719 2009.08.24 Suspect-29!0C48C1A97C26
McAfee-GW-Edition 6.8.5 2009.08.25 Trojan.Crypt.ZPACK.Gen
Microsoft 1.4903 2009.08.25 PWS:Win32/Jomloon.E
NOD32 4366 2009.08.25 probably a variant of Win32/Genetik
Norman 2009.08.25 W32/Obfuscated.A2!genr
nProtect 2009.1.8.0 2009.08.25 -
Panda 10.0.2.2 2009.08.25 Trj/CI.A
PCTools 4.4.2.0 2009.08.25 -
Prevx 3.0 2009.08.25 -
Rising 21.44.11.00 2009.08.25 Packer.Win32.Agent.am
Sophos 4.44.0 2009.08.25 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.08.25 BehavesLike.Win32.Malware (v)
Symantec 1.4.4.12 2009.08.25 Infostealer.Gampass
TheHacker 6.3.4.3.387 2009.08.25 Trojan/OnLineGame.gen
TrendMicro 8.950.0.1094 2009.08.25 -
VBA32 3.12.10.10 2009.08.25 Trojan-Dropper.Win32.Small.dlu
ViRobot 2009.8.25.1901 2009.08.25 -
VirusBuster 4.6.5.0 2009.08.25 -
추가 정보
File size: 136187 bytes
MD5...: 0c48c1a97c267f8b76391d992756e75c

Posted by viruslab
신종악성코드정보2009.08.24 09:59


주말을 포함해서 지난 주 부터 국내의 네이트온 사용자를 대상으로 한 국지성 악성코드 2개의 진단 현황을 한번 보도록 하겠습니다.

현재 이 시간 아래와 같이 유포가 진행 중에 있는 것입니다.

사용자 삽입 이미지

http://www.virustotal.com/analisis/9f613510f0243ca07503131cd55ec778f572662cb195d35c6a04deb7e986e2ec-1251075191

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.24 2009.08.23 Backdoor.Win32.ServU-based!IK
AhnLab-V3 5.0.0.2 2009.08.23 -
AntiVir 7.9.1.3 2009.08.21 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.23 -
Avast 4.8.1335.0 2009.08.23 Win32:Dogrobot
AVG 8.5.0.406 2009.08.23 Agent2.MCB.dropper
BitDefender 7.2 2009.08.24 Trojan.Generic.1956416
CAT-QuickHeal 10.00 2009.08.22 -
ClamAV 0.94.1 2009.08.23 -
Comodo 2074 2009.08.24 -
DrWeb 5.0.0.12182 2009.08.24 Trojan.MulDrop.32998
eSafe 7.0.17.0 2009.08.23 Suspicious File
eTrust-Vet 31.6.6694 2009.08.21 -
F-Prot 4.4.4.56 2009.08.23 -
F-Secure 8.0.14470.0 2009.08.24 Trojan.Win32.Agent.cuyz
Fortinet 3.120.0.0 2009.08.24 PossibleThreat
GData 19 2009.08.24 Trojan.Generic.1956416
Ikarus T3.1.1.68.0 2009.08.24 Backdoor.Win32.ServU-based
Jiangmin 11.0.800 2009.08.23 -
K7AntiVirus 7.10.825 2009.08.22 Trojan-PSW.Win32.Maran
Kaspersky 7.0.0.125 2009.08.24 Trojan.Win32.Agent.cuyz
McAfee 5718 2009.08.23 Vundo!bq
McAfee+Artemis 5718 2009.08.23 Suspect-29!B77FEC0847A5
McAfee-GW-Edition 6.8.5 2009.08.23 Trojan.Crypt.ZPACK.Gen
Microsoft 1.4903 2009.08.23 PWS:Win32/Jomloon.E
NOD32 4361 2009.08.23 probably a variant of Win32/Genetik
Norman 6.01.09 2009.08.21 W32/Obfuscated.A2!genr
nProtect 2009.1.8.0 2009.08.23 Trojan/W32.Agent.136186
Panda 10.0.0.14 2009.08.23 Trj/CI.A
PCTools 4.4.2.0 2009.08.23 -
Prevx 3.0 2009.08.24 -
Rising 21.43.50.00 2009.08.22 Packer.Win32.Agent.am
Sophos 4.44.0 2009.08.24 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.08.22 BehavesLike.Win32.Malware (v)
Symantec 1.4.4.12 2009.08.24 Infostealer.Gampass
TheHacker 6.3.4.3.386 2009.08.22 Trojan/OnLineGame.gen
TrendMicro 8.950.0.1094 2009.08.22 -
VBA32 3.12.10.9 2009.08.23 Trojan-Dropper.Win32.Small.dlu
ViRobot 2009.8.22.1897 2009.08.22 -
VirusBuster 4.6.5.0 2009.08.23 -
추가 정보
File size: 136186 bytes
MD5...: b77fec0847a5c9478da92fa2b101ebed

http://www.virustotal.com/analisis/2b7beb8599a811e85d6aba0a53a3016f7d0df79cfcff062f0e46c6dff5fb0fdc-1251075212

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.24 2009.08.23 Virus.Win32.Gamona!IK
AhnLab-V3 5.0.0.2 2009.08.23 -
AntiVir 7.9.1.3 2009.08.21 TR/PSW.Agent.nog.1
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.23 W32/Heuristic-KPP!Eldorado
Avast 4.8.1335.0 2009.08.23 Win32:JunkPoly
AVG 8.5.0.406 2009.08.23 Generic14.ABEI
BitDefender 7.2 2009.08.24 Trojan.Generic.1956416
CAT-QuickHeal 10.00 2009.08.22 -
ClamAV 0.94.1 2009.08.23 -
Comodo 2074 2009.08.24 -
DrWeb 5.0.0.12182 2009.08.24 MULDROP.Trojan
eSafe 7.0.17.0 2009.08.23 Suspicious File
eTrust-Vet 31.6.6694 2009.08.21 -
F-Prot 4.4.4.56 2009.08.23 W32/Heuristic-KPP!Eldorado
F-Secure 8.0.14470.0 2009.08.24 -
Fortinet 3.120.0.0 2009.08.24 PossibleThreat
GData 19 2009.08.24 Trojan.Generic.1956416
Ikarus T3.1.1.68.0 2009.08.24 Virus.Win32.Gamona
Jiangmin 11.0.800 2009.08.23 Trojan/Agent.ctry
K7AntiVirus 7.10.825 2009.08.22 Trojan-PSW.Win32.Maran
Kaspersky 7.0.0.125 2009.08.24 Trojan-PSW.Win32.Agent.nog
McAfee 5718 2009.08.23 New Malware.bl
McAfee+Artemis 5718 2009.08.23 Suspect-29!81E027D45A0B
McAfee-GW-Edition 6.8.5 2009.08.23 Trojan.PSW.Agent.nog.1
Microsoft 1.4903 2009.08.23 VirTool:Win32/Obfuscator.GE
NOD32 4361 2009.08.23 a variant of Win32/Kryptik.NX
Norman 6.01.09 2009.08.21 W32/Obfuscated.A2!genr
nProtect 2009.1.8.0 2009.08.23 Trojan-PWS/W32.Agent.138038
Panda 10.0.0.14 2009.08.23 Trj/Downloader.MDW
PCTools 4.4.2.0 2009.08.23 -
Prevx 3.0 2009.08.24 -
Rising 21.43.50.00 2009.08.22 Packer.Win32.Agent.bd
Sophos 4.44.0 2009.08.24 Mal/Behav-066
Sunbelt 3.2.1858.2 2009.08.22 -
Symantec 1.4.4.12 2009.08.24 Infostealer.Gampass
TheHacker 6.3.4.3.386 2009.08.22 Trojan/OnLineGame.gen
TrendMicro 8.950.0.1094 2009.08.22 Cryp_Xed-3
VBA32 3.12.10.9 2009.08.23 BScope.Trojan.8171722
ViRobot 2009.8.22.1897 2009.08.22 -
VirusBuster 4.6.5.0 2009.08.23 -
추가 정보
File size: 138038 bytes
MD5...: 81e027d45a0b1da7668a72bf11c2507a


Posted by viruslab
신종악성코드정보2009.08.22 08:29


네이트온 (쪽지) 악성코드가 다시 여성의 누드 그림을 보여주면서 사용자들을 현혹시키고 있습니다.

특히 이번에는 파일명도 변경했네요.

원본 사진을 원하시는 분들께는 미안하지만 일부분 모자이크 처리합니다.ㅎㅎ

사용자 삽입 이미지



Posted by viruslab
신종악성코드정보2009.08.07 09:08


이번에는 다음과 같은 그림으로 변경되어서 유포 중입니다.

사용자 삽입 이미지



Posted by viruslab
신종악성코드정보2009.08.04 09:06


이번에도 19금 그림입니다.

근데 이 정도는 모자이크 처리 안해도 되겠지요?
필요하다면 댓글 남겨주셔요.

사용자 삽입 이미지




Posted by viruslab
감염대처법2009.06.02 09:28


현재 네이트온 쪽지와 메신저를 통해서 유포되고 있는 악성코드는 URL 주소를 계속 변경해 가면서 악성코드를 뿌리고 있다. 물론 유포되는 악성코드 역시 지속적으로 변형되고 있다.


사용자 삽입 이미지

이는 네이트온 쪽지에 URL 이 포함되어 있을 경우 악성 URL 인지 체크해 주는 서비스가 진행되고 있기 때문이며, 유포 URL 이 쉽게 발견/신고/접수/차단되고 있기 때문이다.

따라서 유포되고 있는 악성코드는 계속해서 새로운 도메인 주소를 통해서 사용자의 클릭을 유도하고 있으며, 간혹 네이트온 메신저를 통해서 악성코드 파일 자체를 전송하기도 한다.

현재 가장 유행하고 있는 형태는 네이트온 메신저 쪽지를 이용하여 클릭을 유도하고 그림파일(화면보호기)처럼 위장한 악성코드이며, 악성코드 제작자는 지속적으로 네이트온 메신저 사용자의 개인정보(아이디/암호)를 몰래 탈취하여 악성코드 유포에 사용하고 있다.

네이트온 메신저 사용자 중에 이러한 쪽지를 받아서 감염된 경우 자신의 아이디와 암호를 신속하게 변경하고 대화상대자들에게 악성코드에 감염되지 않도록 주의를 촉구하는 자세가 필요하다.

특히 유명 온라인 게임 사용자라면 게임 계정 정보가 유출될 수 있으므로, 게임 로그인 아이디와 암호 변경도 함께 진행하는 것이 좋다.


Posted by viruslab
신종악성코드정보2009.06.01 11:35


네이트온 쪽지로 악성코드가 지속적으로 변형되어 유포되고 있다.

사용자 삽입 이미지

연결 시도되는 도메인들은 대체로 해킹된 한국 서버이거나 중국 도메인들이다.

감염된 악성코드는 네이트온 메신저 사용자들의 계정을 계속 수집하여 또 다른 악성코드 유포하는데 사용하는 것으로 보여진다.




Posted by viruslab
신종악성코드정보2009.05.30 11:37


네이트온 쪽지(메신저) 등을 유포되는 악성코드의 새로운 변종이 또 발견되었다.

기존 정보들을 보면 많은 도움이 됩니다.
http://viruslab.tistory.com/724


이번에는 시스템폴더에 다음과 같은 파일들을 생성한다.

C:\Winodws\System32\korean.dll
C:\Winodws\System32\syszxKill.dll
C:\Winodws\System32\tzxSoll.dll
C:\Winodws\System32\zxSoll.exe
C:\Winodws\System32\drivers\sysnames.sys

실행시 나오는 그림파일은 예전처럼 여성들이 술마시는 모습을 그대로 사용하고 있다.




Posted by viruslab
신종악성코드정보2009.05.26 18:14


네이트온 쪽지로 악성코드가 지속적으로 유포되고 있는 가운데, 쪽지에 포함된 URL 주소가 추가로 발견되었다.

사용자 삽입 이미지

이번에 발견된 URL 주소를 통해서 유포되는 악성코드 파일은 아직까지 기존과 동일하다.


다양한 도메인 주소를 통해서 유포를 시도하는 것으로 추정된다.

추적결과 악성코드가 존재하는 서버는 동일하다.

피해 사례




Posted by viruslab