태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.07.01 09:51


네이트온 쪽지 악성코드 정보 보기
압축형식 악성코드 주의하세요.
viruslab.tistory.com

그동안 네이트온 쪽지나 메신저 등으로 전파되었던 악성코드가 이번에는 압축 파일에 암호를 삽입하여 Anti-Virus 제품의 실시간 감시 우회나 Generic 탐지 기능을 회피하기 위해서  압축 파일에 암호와 한글을 넣어 둔 것이 보고되었습니다.

관련 내용은 "벌새님의 블로그" 를 참고해 보시면 좋겠습니다.

사용자 삽입 이미지

악성코드를 WinRAR 이나 Alzip 등의 제품으로 해제를 시도할 경우 화면에 암호가 보여지어 사용자가 풀 수 있도록 유도하고 있는것이 특이합니다. 참고로 WinZIP, 7Zip 등에서는 암호가 보여지지 않을 수 있습니다.

먼저 WinRAR 제품으로 압축을 해제할 경우입니다.
화면에 암호 123 을 추측하여 입력할 수 있습니다.

저 같은 경우 그동안 암호화 압축된 악성코드를 많이 접해봐서 화면에 보여진 "암호  123.exe", "123.exe" 등으로 입력해 보기도 했었네요. 너무 앞서가진 말아야 겠습니다.^^

사용자 삽입 이미지

다음으로 알집 제품으로 압축을 해제할 경우입니다. 역시 암호 123 이 보여집니다.

사용자 삽입 이미지

다음으로 WinZIP 으로 압축을 해제할 경우입니다. 암호가 보여지지 않습니다.

사용자 삽입 이미지

다음으로 7Zip 으로 압축을 해제할 경우입니다. 역시 암호가 보여지지 않습니다.

사용자 삽입 이미지

이러한 악성코드로 부터 안전할려면 오히려 암호가 안 보여지는게 좋기도 하겠네요. ㅡ.ㅡ+

nProtect Anti-Virus 패턴에는 금일 정기 업데이트에 추가될 예정입니다.

http://www.virustotal.com/analisis/02b4dfd42e475f501cfd641e90164bee9d19ea42c71d61d5589fb85cd52f0e3e-1277945127


Posted by viruslab
신종악성코드정보2009.05.26 18:14


네이트온 쪽지로 악성코드가 지속적으로 유포되고 있는 가운데, 쪽지에 포함된 URL 주소가 추가로 발견되었다.

사용자 삽입 이미지

이번에 발견된 URL 주소를 통해서 유포되는 악성코드 파일은 아직까지 기존과 동일하다.


다양한 도메인 주소를 통해서 유포를 시도하는 것으로 추정된다.

추적결과 악성코드가 존재하는 서버는 동일하다.

피해 사례




Posted by viruslab