태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2009.09.09 18:57


마이클 잭슨 그림처럼 위장하여 유포중인 악성코드이다.

IMG07092009.jpg--www.MichaelJackson.com

http://www.virustotal.com/analisis/50475cbfbf898987edd51fb5a580c3c5301c30a0cdf1c8dba62a917918365359-1252482650

Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.09 -
AhnLab-V3 5.0.0.2 2009.09.09 Win32/Failnum.worm.80384.B
AntiVir 7.9.1.12 2009.09.08 -
Antiy-AVL 2.0.3.7 2009.09.09 -
Authentium 5.1.2.4 2009.09.08 -
Avast 4.8.1351.0 2009.09.08 -
AVG 8.5.0.409 2009.09.09 -
BitDefender 7.2 2009.09.09 -
CAT-QuickHeal 10.00 2009.09.09 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.09.09 -
Comodo 2260 2009.09.09 -
DrWeb 5.0.0.12182 2009.09.09 Trojan.BawtBot.2
eSafe 7.0.17.0 2009.09.08 -
eTrust-Vet 31.6.6726 2009.09.08 -
F-Prot 4.5.1.85 2009.09.08 -
Fortinet 3.120.0.0 2009.09.09 -
GData 19 2009.09.09 -
Ikarus T3.1.1.72.0 2009.09.09 -
Jiangmin 11.0.800 2009.09.09 -
K7AntiVirus 7.10.839 2009.09.08 -
Kaspersky 7.0.0.125 2009.09.09 -
McAfee 5735 2009.09.08 -
McAfee+Artemis 5735 2009.09.08 Artemis!9EAF1E8FB0AB
McAfee-GW-Edition 6.8.5 2009.09.09 Heuristic.LooksLike.Win32.Trojan.L
Microsoft 1.5005 2009.09.09 Worm:Win32/Failnum.A
NOD32 4408 2009.09.09 Win32/Failnum.AA
Norman 6.01.09 2009.09.08 -
nProtect 2009.1.8.0 2009.09.08 -
Panda 10.0.2.2 2009.09.08 -
PCTools 4.4.2.0 2009.09.07 -
Prevx 3.0 2009.09.09 -
Rising 21.46.21.00 2009.09.09 -
Sophos 4.45.0 2009.09.09 -
Sunbelt 3.2.1858.2 2009.09.09 -
Symantec 1.4.4.12 2009.09.09 -
TheHacker 6.3.4.3.399 2009.09.09 -
TrendMicro 8.950.0.1094 2009.09.09 PAK_Generic.001
VBA32 3.12.10.10 2009.09.08 -
ViRobot 2009.9.9.1924 2009.09.09 Worm.Win32.IM-Agent.80384.B
VirusBuster 4.6.5.0 2009.09.08 -
Additional information
File size: 80384 bytes
MD5   : 9eaf1e8fb0ab7c6b16039543cbe6f979
사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2009.06.27 11:57


예상(?)했던대로 마이클 잭슨 사망과 관련한 사회공학적 기법의 악성코드 유포가 발견되었다.

[관련 정보]
http://viruslab.tistory.com/840
http://www.sophos.com/blogs/sophoslabs//?p=5035
http://www.sophos.com/blogs/sophoslabs/v/post/5070

이메일로 유포되고 있으며, 마이클 잭슨 사망과 관련한 동영상으로 위장하여 링크를 클릭하게 유도한다.


메일 본문에 포함되어 있는 링크는 실제 마이클 잭슨의 유튜브 동영상(Michael Jackson - Thriller)이다.

http://www.youtube.com/watch?v=AtyJbIOZjS8

하지만 해당 링크를 클릭하게 되면 아래 그림과 같은 Michael.Jackson.videos.scr 라는 악성코드가 다른 사이트로 연결되어 다운로드되게 구성되어 있다.


악성코드는 스페인(브라질)어로 제작되어 있으며, 이메일 내용 역시 스페인(브라질)어가 사용되었다.

사용자 삽입 이미지

잉카인터넷 시큐리티 대응센터에서는 변종 유포도 발견한 상태이며, 토요일 긴급 업데이트를 진행 중에 있다.

http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=65

원본 파일의 이름은 load.michael.26.6.exe,  load.michael.25.6.exe 이다. 여기서 25.6 과 26.6 은 제작 날짜로 추정된다.


악성코드가 실행되면 다음과 같은 사이트로 접속한다.

http://musica.uol.com.br/ultnot/2009/06/25/michael-jackson.jhtm

바이러스 토탈의 진단 현황은 다음과 같다.

http://www.virustotal.com/analisis/d602b5cbc6386e9ba4b7d910ff0eb04fefba5ce06ef6f703e37f76ab88ad2ff9-1246050210
nProtect 2009.1.8.0 2009.06.26 Trojan-Downloader/W32.Agent.28672.IT

http://securitylabs.websense.com/content/Alerts/3426.aspx

http://www.szone.us/f85/malicious-web-site-malicious-code-michael-jackson-death-prompts-malicious-spam-30736/





Posted by viruslab
보안관련소식2009.06.26 13:45