태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.07.29 10:06


Lnk 취약점 Sality 바이러스 관련 정보
Sality 바이러스 국내 감염 보고
viruslab.tistory.com

Lnk 취약점을 이용해서 전파 중인 Sality 파일 바이러스가 이미 국내에 상륙해서 전파가 진행 중인 것으로 보고되고 있습니다.

해당 바이러스에 감염되면 아래와 같이 C:\ 등 각 시스템 로컬 디스크 등에 Autorun.inf 파일과 임의 파일명을 가진 실행파일(EXE, PIF) 등이 "숨김 속성"으로 생성됩니다.

USB 이동 디스크 등이 있다면 루트 경로에 아래와 같은 악성코드가 함께 생성(감염) 됩니다.

악성코드가 폴더 옵션을 강제로 수정하여, 숨김 속성 파일을 보이지 않도록 변경하며, 아래 화면은 강제로 폴더 옵션을 해제한 후 캡처한 화면입니다.

사용자 삽입 이미지

autorun.inf 파일은 로컬 드라이브에 접근 시 자동으로 실행되도록 하는 역할을 해주고, 아래와 화면과 같이 동일 경로에 존재하는 khhqh.pif 실행 파일을 자동으로 오픈하게 됩니다.

사용자 삽입 이미지

또한, autorun.inf 파일에 의해서 로컬 디스크에서 오른쪽 마우스 메뉴를 열어보면 Autoplay 라는 메뉴가 추가된 것을 확인할 수 있습니다.

사용자 삽입 이미지

khhqh.pif 파일은 다음과 같이 103,140 바이트로 고정적인 것을 생성합니다.

http://www.virustotal.com/analisis/8d9bb65b0365800a214b785197238882bdafa21055eb270173bf17a3648153a6-1280362716

사용자 삽입 이미지

이후에 컴퓨터에 존재하는 정상 실행 파일을 감염시키는 작동 등을 수행하며, Temp 폴더에 감염될 때마다 임의의 파일명으로 또 다른 악성코드 들을 다수 생성합니다.

사용자 삽입 이미지

oqpd.exe
http://www.virustotal.com/analisis/399c426ab74b6db73e1c61c06bd5b38d2253e50178e3b663716085cedc454f5c-1280305571

sfviaf.exe
http://www.virustotal.com/analisis/c8c52a5d8fa03ec033be8e530defa37bb38d1182ee2daf5015437d40fea12854-1280325016

winaeru.exe
http://www.virustotal.com/analisis/bbf4b768882b90df971be1d46611229bcfd0507efce0b0ab363da24306880dd3-1280325097

현재 감염된 정상 파일의 바이러스 토탈 진단 현황은 다음과 같습니다.
nProtect Anti-Virus 엔진에 감염된 바이러스를 치료할 수 있도록 긴급 대응 중입니다.

http://www.virustotal.com/analisis/7a16f90b7f32652e6ddcb6da6cf3bd431052d33b6ebea5367bc4da9bf3e757ef-1280364708


안티바이러스 엔진 버전 정의 날짜 검사 결과
AhnLab-V3 2010.07.29.00 2010.07.28 -
AntiVir 8.2.4.26 2010.07.28 W32/Sality.AT
Antiy-AVL 2.0.3.7 2010.07.28 -
Authentium 5.2.0.5 2010.07.28 W32/Virut.AI!Generic
Avast 4.8.1351.0 2010.07.28 Win32:Sality
Avast5 5.0.332.0 2010.07.28 Win32:FileInfector-A
AVG 9.0.0.851 2010.07.28 Win32/Heur
BitDefender 7.2 2010.07.29 DeepScan:Generic.Sality.3.95EA7762
CAT-QuickHeal 11.00 2010.07.28 W32.Sality.U
ClamAV 0.96.0.3-git 2010.07.29 -
Comodo 5574 2010.07.29 -
DrWeb 5.0.2.03300 2010.07.28 Win32.Sector.21
Emsisoft 5.0.0.34 2010.07.28 Virus.Win32.Sality!IK
eSafe 7.0.17.0 2010.07.27 -
eTrust-Vet 36.1.7745 2010.07.28 Win32/Sality.AA
F-Prot 4.6.1.107 2010.07.28 W32/Virut.AI!Generic
F-Secure 9.0.15370.0 2010.07.29 DeepScan:Generic.Sality.3.95EA7762
Fortinet 4.1.143.0 2010.07.28 -
GData 21 2010.07.29 DeepScan:Generic.Sality.3.95EA7762
Ikarus T3.1.1.84.0 2010.07.29 Virus.Win32.Sality
Jiangmin 13.0.900 2010.07.28 Win32/HLLP.Kuku.Gen
Kaspersky 7.0.0.125 2010.07.28 -
McAfee 5.400.0.1158 2010.07.29 W32/Sality.gen.e
McAfee-GW-Edition 2010.1 2010.07.28 Heuristic.LooksLike.Win32.Suspicious.J!83
Microsoft 1.6004 2010.07.28 Virus:Win32/Sality.AU
NOD32 5321 2010.07.28 Win32/Sality.NBA
Norman 6.05.11 2010.07.28 W32/Sality.BD
nProtect 2010-07-28.02 2010.07.28 -
Panda 10.0.2.7 2010.07.28 W32/Sality.AA
PCTools 7.0.3.5 2010.07.29 Malware.Sality
Prevx 3.0 2010.07.29 -
Rising 22.58.02.04 2010.07.28 Win32.KUKU.kq
Sophos 4.55.0 2010.07.29 Mal/Sality-D
Sunbelt 6655 2010.07.28 Virus.Win32.Sality.at (v)
SUPERAntiSpyware 4.40.0.1006 2010.07.29 -
Symantec 20101.1.1.7 2010.07.29 W32.Sality.AE
TheHacker 6.5.2.1.326 2010.07.27 -
TrendMicro 9.120.0.1004 2010.07.27 PE_SALITY.BA
TrendMicro-HouseCall 9.120.0.1004 2010.07.29 PE_SALITY.BA
VBA32 3.12.12.6 2010.07.28 Malware-Cryptor.Win32.Nukakby
ViRobot 2010.7.28.3960 2010.07.28 -
VirusBuster 5.0.27.0 2010.07.28 Win32.Sality.BK
추가 정보
File size: 151552 bytes
MD5...: 337171fc1e2a99dfd1992955dacbc766



Posted by viruslab
보안관련소식2010.07.07 09:30


바이러스라기 보다는 악성코드(프로그램)나 웜으로 표기하는게 좀더 적절해 보입니다.

동영상은 아래 주소에서 보실 수 있습니다.

http://imnews.imbc.com/replay/nwdesk/article/2655428_5780.html

안랩 이성근 책임님이 인터뷰를 하셨네요.
사용자 삽입 이미지

이성근 책임연구원/안철수연구소

"게임으로 위장해서 사용자가 임의로
설치한 다음에요. 무단으로 국제전화를
걸어서 요금이 발생할 수 있기 때문에
위험합니다."

미국과 유럽에선 바이러스 피해가
더 심합니다.

스마트폰의 기능을 무력화시키거나,
문자메시지를 마구 날려
바가지요금을 물게 만듭니다.

스마트폰에 저장돼 있는 계좌번호 등
개인정보를 빼돌리는 바이러스도
발견됐습니다.

스마트폰 바이러스는 최근 천 개 정도가
퍼져 있습니다.

국내 스마트폰 이용자는 올해 세 배 넘게
증가할 것으로 예상됩니다.
그만큼 스마트폰 바이러스의 위협도
늘어날 것으로 보입니다.

스마트폰 금융거래를 하는 은행과 증권사
20여 곳은 서둘러 바이러스 백신 보급에
나섰습니다.

백신 성능은 높아지고 있지만,
새 바이러스 출현이 잇따르고 있어
업계는 물론 정부도 비상이 걸렸습니다.


Posted by viruslab
악성코드제작자2010.06.22 18:16


WhBoy 바이러스 제작자가 보안 회사를 설립했다고 하네요.



별 새로운 기술도 아닌 초보적인 바이러스를 만든 사람을 이렇게 치켜세우다니.. 투자자가 불쌍하네요.

사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지

Posted by viruslab
신종악성코드정보2010.06.08 13:35


Adobe Reader 사용자분들은 이러한 파일을 받으시면 절대로 실행하지 마시길 권장해 드립니다.

제목 :
New Resume

내용 :
Please review my CV, Thank You!

첨부파일 :
resume.pdf

CVCurriculum Vitae 를 의미하며, 보통 이력서를 표현하는 약어이기도 합니다.

사용자 삽입 이미지

이러한 내용으로 유포된 악성코드는 예전에도 다수 보고된 바 있으며, PDF 취약점 파일을 이용하는 방식으로 변경되어 유포되고 있습니다.

바이러스 토탈 진단현황
Result: 8/41 (19.51%)
virustotal.com

Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.08 -
AhnLab-V3 2010.06.08.00 2010.06.08 -
AntiVir 8.2.2.6 2010.06.07 -
Antiy-AVL 2.0.3.7 2010.06.04 -
Authentium 5.2.0.5 2010.06.08 -
Avast 4.8.1351.0 2010.06.07 -
Avast5 5.0.332.0 2010.06.07 -
AVG 9.0.0.787 2010.06.07 -
BitDefender 7.2 2010.06.08 Exploit.PDF-Dropper.Gen
CAT-QuickHeal 10.00 2010.06.08 -
ClamAV 0.96.0.3-git 2010.06.08 -
Comodo 5022 2010.06.07 -
DrWeb 5.0.2.03300 2010.06.08 -
eSafe 7.0.17.0 2010.06.06 PDF.DropperExploit.Gen
eTrust-Vet 36.1.7617 2010.06.07 PDF/POS!exploit

F-Prot 4.6.0.103 2010.06.07 -
F-Secure 9.0.15370.0 2010.06.08 Exploit.PDF-Dropper.Gen
Fortinet 4.1.133.0 2010.06.06 -
GData 21 2010.06.08 Exploit.PDF-Dropper.Gen
Ikarus T3.1.1.84.0 2010.06.08 -
Jiangmin 13.0.900 2010.06.07 -
Kaspersky 7.0.0.125 2010.06.08 -
McAfee 5.400.0.1158 2010.06.08 -
McAfee-GW-Edition 2010.1 2010.06.07 -
Microsoft 1.5802 2010.06.08 -
NOD32 5180 2010.06.07 -
Norman 6.04.12 2010.06.07 -
nProtect 2010-06-07.01 2010.06.07 Exploit.PDF-Dropper.Gen
Panda 10.0.2.7 2010.06.07 -
PCTools 7.0.3.5 2010.06.08 HeurEngine.PDF
Prevx 3.0 2010.06.08 -
Rising 22.51.01.00 2010.06.08 -
Sophos 4.53.0 2010.06.08 -
Sunbelt 6417 2010.06.08 -
Symantec 20101.1.0.89 2010.06.08 Bloodhound.PDF.24
TheHacker 6.5.2.0.292 2010.06.04 -
TrendMicro 9.120.0.1004 2010.06.08 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.08 -
VBA32 3.12.12.5 2010.06.07 -
ViRobot 2010.6.8.2342 2010.06.08 -
VirusBuster 5.0.27.0 2010.06.07 -



Posted by viruslab
신종악성코드정보2010.06.07 08:52


관련 정보 보기
트위터 피싱 메일 사례 보기
viruslab.tistory.com

마치 트위터에서 보낸 것처럼 위장한 트위터 피싱 메일이 국내에 다수 발견되고 있습니다.

이러한 메일을 받았을 경우 현혹되지 마시고, 무시하시면 좋겠습니다.

앞으로 트위터와 관련된 내용으로 악성코드도 지속적으로 유포될 것으로 우려됩니다.

사용자 삽입 이미지

링크를 클릭할 경우 비아그라 등 광고 사이트가 연결됩니다.

이 사이트의 경우 악성코드를 통하여 광고를 하기도 하였습니다.
사용자 삽입 이미지


Posted by viruslab
보안관련소식2010.06.03 12:59


웨이브폰 악성코드 감염 수출
마이크로  SD 카드 Autorun 악성코드
감염된 채 독일 수출
www.ddaily.co.kr

해외쪽에서 다수 이슈가 되고 있네요. 각종 메모리 카드나 매체를 이용하는 제품은 출고전에 다양한 보안성 적합성 검증을 마치고 나가도록 하는 노력이 필요하겠네요.

오토런 악성코드 감염
viruslab 이전 정보 참고하세요.
viruslab.tistory.com

특히 USB 드라이브의 경우는 감염된 채 배포, 판매된 경우가 참 많았지요.

사용자 삽입 이미지





Posted by viruslab
보안관련소식2010.06.03 01:12


바다 OS 웨이브폰 메모리카드 악성코드 감염
삼성 바다 OS 웨이브폰의 microSD Card 에 Autorun.inf
악성코드가 감염된채 배포된 것으로 보여집니다.
www.engadget.com

사용자 삽입 이미지



사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지


해당 악성코드의 바이러스 토탈(Virus Total) 진단현황입니다.

Virus Total 에는 2010년 5월 10일 경 파일이 처음 등록된 것으로 보여집니다.



Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.01 Virus.Win32.Heur!IK
AntiVir 8.2.1.242 2010.06.01 Worm/Autorun.bhiq
Antiy-AVL 2.0.3.7 2010.06.01 Worm/Win32.AutoRun.gen
Authentium 5.2.0.5 2010.06.01 W32/SuspPack.BB.gen!Eldorado
Avast 4.8.1351.0 2010.06.01 Win32:AutoRun-BKB
Avast5 5.0.332.0 2010.06.01 Win32:AutoRun-BKB
AVG 9.0.0.787 2010.06.01 Win32/Heur
BitDefender 7.2 2010.06.01 Trojan.Generic.3932466
CAT-QuickHeal 10.00 2010.06.01 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.06.01 -
Comodo 4977 2010.06.01 -
DrWeb 5.0.2.03300 2010.06.01 BackDoor.Pushnik.9
eSafe 7.0.17.0 2010.06.01 -
eTrust-Vet 35.2.7523 2010.06.01 -
F-Prot 4.6.0.103 2010.06.01 W32/SuspPack.BB.gen!Eldorado
F-Secure 9.0.15370.0 2010.06.01 Trojan.Generic.3932466
Fortinet 4.1.133.0 2010.06.01 W32/AutoRun.BHIQ!worm
GData 21 2010.06.01 Trojan.Generic.3932466
Ikarus T3.1.1.84.0 2010.06.01 Virus.Win32.Heur
Jiangmin 13.0.900 2010.05.31 Worm/AutoRun.tei
K7AntiVirus 7.10.1004 2010.03.22 -
Kaspersky 7.0.0.125 2010.06.01 Worm.Win32.AutoRun.bhiq
McAfee 5.400.0.1158 2010.06.01 Generic.dx!sqw
McAfee+Artemis 5937 2010.03.31 Artemis!BB9818D76FE6
McAfee-GW-Edition 2010.1 2010.06.01 Heuristic.LooksLike.Win32.SuspiciousPE.F
Microsoft 1.5802 2010.06.01 -
NOD32 5163 2010.06.01 Win32/AutoRun.PSW.Delf.C
Norman 6.04.12 2010.06.01 -
nProtect 2010-06-01.02 2010.06.01 Trojan.Generic.3932466
Panda 10.0.2.7 2010.05.31 W32/AutoRun.DJ.worm
PCTools 7.0.3.5 2010.06.01 HeurEngine.Vmpbad
Prevx 3.0 2010.06.01 Medium Risk Malware
Rising 22.50.01.03 2010.06.01 -
Sophos 4.53.0 2010.06.01 -
Sunbelt 6384 2010.06.01 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.06.01 Packed.Vmpbad!gen1
TheHacker 6.5.2.0.290 2010.05.31 -
TrendMicro 9.120.0.1004 2010.06.01 TROJ_AGENT.AVQJ
TrendMicro-HouseCall 9.120.0.1004 2010.06.01 TROJ_AGENT.AVQJ
VBA32 3.12.12.5 2010.06.01 Trojan.Win32.Scar.cfmv
ViRobot 2010.6.1.2333 2010.06.01 -
VirusBuster 5.0.27.0 2010.06.01 Worm.AutoRun.APHA




Posted by viruslab
보안관련소식2009.08.26 09:42


새로운 악성코드 파일들은 하루에도 수십개에서 수백개까지 그 수가 정말로 많아졌습니다.

그에 따라 악성코드와 관련된 보안 커뮤니티 등도 활발히 운영되고, 관심있으신 많은 분들에 의해서 다양한 감염 경험이나 보안 소식, 분석 내용 등이 공유되기도 하지요.

제가 악성코드에 감염되고 관심을 가지게 된 것은 약 13년전인 1996년도로 기억합니다.

Kaczor.4444 이라는 도스용 바이러스에 감염되었던 기억이 있고, 용산 컴퓨터 상가에 들락날락 하면서 바이러스에 호기심이 생겼지요. 당시에 도스용 바이러스에 감염된 사람들이 생각보다 많았던 것이 떠오르네요.

http://www.viruslist.com/en/viruses/encyclopedia?virusid=18781

사용자 삽입 이미지

감염된 플로피 디스켓을 하나 둘 씩 모으면서 V3 도스용 제품으로 검사해서 진단안되는 디스켓을 안철수 연구소로 신고하고, 우편으로 회신을 받았던 기억이 나네요. 아마 집에 그 우편물이 아직도 보관되어 있지요.

그러면서 신종 바이러스를 미리 미리 모와서 백신업체에 신고하면 업체와 사람들에게 큰 도움이 되겠다싶어, 악성코드 수집을 시작하였었지요.

이후 수집가(Collector)들이 바이러스 제작자들과 악의적인 의도로 함께 활동한다거나 바이러스 제작자들이 수집가로 활동하면서 의미가 많이 퇴색되었지만요.


당시에는 지금처럼 그렇게 많은 악성코드가 발견되지는 않았기 때문에 희소성이 있거나 발견하는 것 자체가 쉽지 않은 것들도 많았지요!

호랑이를 잡으려면 호랑이굴로 들어가야한다는 속담처럼 국내외로 숨어서 활동하는 바이러스 제작자들을 일반인이 찾기란 쉽지 않았겠지요.

특히 외국의 경우는 언어의 장벽이 문제가 있었고, 바이러스 제작자들은 사전에도 없는 자신들만의 전문적인 용어를 만들어 사용하기도 하였답니다.

오로지 새로운 악성코드 제작 정보와 바이러스 견본을 사전에 미리 취득하여 보안업체에 보내는 일을 한 몇년동안 취미생활로 해었던 것 같습니다.

그러는 와중에 해외 제품들이 해외 바이러스들에 대해서 빠르게 대응하는 모습을 보고, 국내에서 최초로 Anti-Virus 진단 비교 테스트 같은 것을 하여 발표한 바도 있었지요.

작은 관심으로 시작한 것이 의도하지 않은 큰 반향을 불러일으켰던 기억도 납니다.

지금처럼 악성코드가 기하급수적으로 증가하면서 Virus Total 과 같은 멀티 무료 검사 기능 등도 많은 호응을 받고 있는데요.

Virus Total 서비스에 등록된 업체들에게도 큰 도움이 되고 있지요.

타제품들이 진단되는 악성코드 파일들을 함께 공유하고, 패턴 업데이트와 상황 관제에 큰 도움이 되고 있으니깐요.

물론 많은 양의 샘플들이 24시간 접수되기 때문에 분석가들이 개별적으로 파악하기는 힘든 부분이 있지만 업체들마다 자동화 처리 시스템을 구축하여 운영하거나 실시간 업데이트에 반영하고 있기도 하니깐요.

가끔 타업체가 오진한 것을 꼬리에 꼬리를 물고 연쇄적으로 오진하는 실수를 범하는 경우가 있지만서두요^^

자체적으로 오진 검증 시스템과 악성코드 여부 판단 시스템을 잘 운영한다면 큰 도움이 되는 서비스임에는 틀림없는 것 같습니다.

악성코드 의심 파일을 발견했을 때 각 보안업체에 신고하는 것은 정말 큰 도움이 되고, 그러한 신고정신은 보안 의식을 향상시키는데도 많은 기틀이 될 것입니다.

투철한 신고정신 보안의 시작이겠지요?^^


사용자 삽입 이미지

 



Posted by viruslab
신종악성코드정보2009.08.24 12:34


이제는 네이트온(Nateon) 쪽지나 메신저로 유포되는 악성코드 기법이 너무 자연스러워져 가는게 아닌가 싶습니다.

악성코드 유포가 지속적으로 진행되고, 변종이 많아짐에 따라 더 많은 신경을 써야 할 것 같습니다.

이에 어떠한 방식을 통해서 악성코드가 유포되고 있는지 알고 있다면 예방하는데 큰 도움이 되지 않을까 싶네요.

자 그럼 최근에 발견되었던 하나의 사례를 보도록 해보지요.

악성코드 제작자(그룹)는 계속해서 새로운 내용으로 사용자분들을 현혹하고 있으므로, 각별히 주의하셔야 합니다.

자신의 네이트온 쪽지나 메신저로 이상한 URL(인터넷 주소) 링크가 포함된 내용이 수신되면 절대로 바로 클릭하지 마시기 바라고요.

사용자 삽입 이미지

혹시 클릭 후에 이상한 파일이 받아질려고 한다면 99.9% 악성코드라고 보시면 될 것 같습니다.
특히 한글을 같이 사용하고 있어 더욱 더 속지 말아야 합니다.

그 악성코드가 실행되고 감염되면 사용중인 네이트온 메신저의 계정이 외부로 유출될 수 있으며, 그에 따라 대화 상대에게 또 다시 악성코드 유포를 시도하는 경유지가 될 수도 있습니다.

해당 링크를 클릭하면 다음과 같이 그림 파일(JPG)이나 화면보호기(SCR)처럼 위장한 파일이 다운로드를 시도합니다.

사용자 삽입 이미지

해당 파일은 SFX RAR 형식인데, 이것은 RAR파일로 여러가지 파일을 압축한 다음에 WinRAR 프로그램이 없더라도 실행이 가능한 EXE 형태로 변경해 주는 것이라고 이해하시면 됩니다.

그래서 SCR 확장자를 EXE 로 변경하고 파일 속성을 보게 되면 다음과 같이 압축파일이라는 탭과 설명을 통해서 설치 과정을 볼 수 있습니다.

사용자 삽입 이미지

사용자 삽입 이미지

압축 파일 내부에 selted.exe, selten.exe, thunb.jpg 파일 3개가 포함된 것을 알 수 있으며, Silent=1 값을 통해서 사용자 몰래 Temp 폴더에 압축이 해제되고 실행되게 됩니다.

내부에 포함된 thunb.jpg 는 실행 시 해당 파일이 마치 그림파일이나 화면보호기 처럼 사용자가 인식하도록 하는 일종의 속임수용이라고 보시면 됩니다.

사용자 삽입 이미지

이후에 실행되는 EXE 파일 등에 의해서 시스템 폴더 등에 숨김 속성으로 다양한 DLL 과 드라이버폴더에 SYS 확장자의 악성코드가 설치됩니다.

DLL 파일 등에 의해서 네이트온 메신저 암호와 특정 온라인 게임들의 정보가 외부로 유출되는 피해가 발생할 수 있습니다.

Posted by viruslab
감염대처법2009.08.12 17:56


회사 내부 제품의 CC인증과 관련하여 악성코드 진단/치료 테스트 협조를 받아서..

요청받은 샘플을 제공하였는데... 그분들이 그만 Viking 바이러스에 실수로 감염되는 바람에 담당자가 몇 번이나 Ghost 작업을 하는 것을 보았다.

바이러스는 여러 사람을 골치아프게 한다.^^

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2009.08.03 08:10


계속해서 변종을 유포하고 있으며, 최근 보여지는 사진도 변경되었다.

일부 노출이 심한곳은 모자이크 처리하였다.

사용자 삽입 이미지

사용자 삽입 이미지



Posted by viruslab
신종악성코드정보2009.07.15 08:55


기존에는 jpg.scr 로 유포가 진행되었기 때문에 관련 도메인을 지속적으로 관제하고 있었습니다. 하지만 최근에 거의 발견되지 않았지요.

그러던 중 지인분의 신고로 새롭게 유포되는 곳이 접수되었는데 gif.scr 로 변경이 되었네요. 제작(유포)자에게 당한 기분이네요.

사용자 삽입 이미지

실행되면 다음과 같은 그림파일이 보여집니다.

사용자 삽입 이미지


 

Posted by viruslab
보안관련소식2009.07.11 18:03


개인적으로 이번 국가기관, 주요 포털 및 금융, 언론, 보안사이트 등을 대상으로 한 분산 서비스 거부(DDoS : Distributed Denial of Service) 공격과 악성코드에 노출된 개인 컴퓨터를 대상으로 한 데이터 파괴 공격, 불특정 다수에 대한 Mass Mailer 공격 등은 나름대로 아주 오래 전부터 이론적 예측으로만 생각했던 가상 사이버 테러 시나리오와 견주와 봤을 때 매우 유사한 점이 있다.


물론 이러한 공격기법은 전혀 새로운 것은 아니다.
일부 코드는 기존에 발견되었거나 소스가 공개된 악성코드를 사용했다는 점에서 특히 그러하다.

다만, 실질적인 DDoS 공격으로 인한 직접적인 피해가 발생하기 전 까지 사태의 심각성을 일부 깨닫지 못했던 점과 엄청난 사용자들의 컴퓨터가 새로운 악성코드에 감염되어 C&C의 코드 공격 명령(변종 포함) 등을 대기하고 공격 근원지가 되는 일종의 사이버 전투 부대화되어가고 있었다는 것을 각 보안기관과 연구원들이 사전에 인지하지 못했다는 것은 안타깝지만 인정하지 않을 수 없는 사실이다.

약 13년 여간 악성코드와 관련된 정보 보안쪽에서 활동해오면서그 동안 가상 시나리오로만 생각했던 이번 공격은 개인적으로 일부 현실화되였다는 부분에서 바쁘게 DDoS 공격 긴급 대응업무를 처리하는 과정에서도 나름 놀라지 않을 수 없었다.

아직도 구체적으로 확인되지 않은 초기 악성코드 감염 기법(취약점)과 최초 유포 경유지(진원지) 등이 면밀하게 밝혀지지 않고 있다는 부분 또한 아직 알 수 없는 미지의 공격자가 추후 어떠한 재무장을 하여 또 다른 공격 시도를 감행할 것인지 알 수 없다는 점은 그 만큼 사전 방어책 준비에 다소 시일이 소요될 수 있는 부분이 아닐까 싶기도 하다.

이번에 있었던 일명 "7.7 DDoS" 국가적 대란 사태를 경험하면서 개인적으로 가장 궁금한 것은 도대체 어떠한 방식을 사용하여 Zombie 컴퓨터로 몰락한 그 수 많은 개인 사용자들의 컴퓨터에 DDoS 공격용 프로그램을 사용자 몰래 설치했을까이고, 그 과정에 소요된 시간과 보안 취약점은 무엇일까라는 점이다.

참고로 글 작성자인 본인은 2009년 7월 6일 월요일에 국내 감염 컴퓨터의 신고 접수를 최초로 받은 바 있고 원격접속으로 처음 분석을 하게 되었으며, 당시에는 언론상에서 1차 공격(한국 공격 기준 분류법)이라고 분류하고 있는 악성코드가 아닌 그 이전의 변종을 목격하였다.

당시에 국내의 컴퓨터는 미국 아마존 사이트(http://www.amazon.com)를 공격하고 있었던 변종이었고, 사전에 치밀하게 정해진 시간이 지남에 따라 공격 목표 사이트가 자동으로 한국으로 바뀌게 된 것으로 볼 수 있다.

이미 한국 사이트를 공격하기 전에 미국의 특정 사이트를 선제 공격(사전 모의 테스트?)하고 있었던 점이 특징이라 할 수 있으며, 7월 7일 이후부터 공격 목표가 미국에서 한국을 향해 방향을 변경하였다는 점이다. 물론 이후에도 일부 미국 사이트는 계속해서 공격 대상에 포함되어 있기도 하였다.

따라서 실제로 이번 공격은 미국의 독립기념일(Independence Day)인 7월 4일 다음날인 7월 5일경부터 시작된 것으로 보여지고 있다.
그래서인지 몰라도 공격자는 악성코드에 "Memory of the Independence Day" 라는 문구를 넣어 두었고, 데이터 파괴에 이용한다.

아마도 미국 독립기념일(7월 4일)과 관련하여 준비되고 공격된 이번 DDoS 피해를 기억하라는 의미는 아닐지 모르겠다.
그렇다면 내년 미국 독립기념일이 두번째 예고된 공격일이 될지도 모른다는 조심스런 예측도 해보게 된다.


7월 5일경 부터 7월 6일까지 공격 대상으로 이용되었던 해외 주요 사이트 목록은 다음과 같다.

- http://www.whitehouse.gov
- http://www.faa.gov
- http://www.ustreas.gov
- http://www.dhs.gov
- http://www.state.gov
- http://www.dot.gov
- http://www.ftc.gov
- http://www.nsa.gov
- http://www.usps.gov
- http://www.voanews.com
- http://www.yahoo.com
- http://www.defenselink.mil
- http://travel.state.gov
- http://www.nyse.com
- http://www.nasdaq.com
- http://www.site-by-site.com
- http://www.marketwatch.com
- http://finance.yahoo.com
- http://www.usauctionslive.com
- http://www.usbank.com
- http://www.amazon.com

7월 7일 한국내에서 발견되었던 사이트 목록을 보면 다음과 같다.

- http://www.president.go.kr (청와대)
- http://www.mnd.go.kr (국방부)
- http://www.mofat.go.kr (외교통상부)
- http://www.assembly.go.kr (국회)
- http://www.usfk.mil (주한미군)
- http://blog.naver.com (네이버 블로그)
- http://mail.naver.com (네이버 메일)
- http://banking.nonghyup.com (농협 인터넷 뱅킹)
- http://ezbank.shinhan.com (신한은행 인터넷 뱅킹)
- http://ebank.keb.co.kr (외환은행 인터넷 뱅킹)
- http://www.hannara.or.kr (한나라당)
- http://www.chosun.com (조선일보)
- http://www.auction.co.kr (옥션)
- http://www.whitehouse.gov (백악관)
- http://www.faa.gov (미 연방 항공청)
- http://www.dhs.gov (미 국토 안전부)
- http://www.state.gov (미 국무부)
- http://www.voanews.com (미국의 소리 방송)
- http://www.defenselink.mil (미 국방부)
- http://www.nyse.com (뉴욕 증권 거래소)
- http://www.nasdaq.com (나스닥)
- http://finance.yahoo.com (야후 금융정보)
- http://www.usauctionslive.com (미국 옥션)
- http://www.usbank.com (US Bank)
- http://www.washingtonpost.com (워싱턴 포스트)
- http://www.ustreas.gov (미 재무부)

* 7월 8일 오후부터 변경 추가된 공격 대상 사이트는 다음과 같다.

- http://www.mnd.go.kr (국방부)
- http://www.president.go.kr (청와대)
- http://www.ncsc.go.kr (국정원 국가사이버안전센터)
- http://mail.naver.com (네이버 메일)
- http://mail.daum.net (다음 한메일넷)
- http://mail.paran.com  (파란 메일)
- http://www.auction.co.kr (옥션)
- http://www.ibk.co.kr (기업은행)
- http://www.hanabank.com (하나은행)
- http://www.wooribank.com  (우리은행)
- http://www.kbstar.com (국민은행)
- http://www.altools.co.kr (알툴즈)
- http://www.ahnlab.com (안철수 연구소)
- http://www.usfk.mil (주한미군)
- http://www.egov.go.kr (전자민원 G4C)
- http://www.chosun.com (조선일보)

그러면 여기서 잠깐 개인적으로 생각하여 여러차례 가까운 지인들에게만 언급했던 가상 사이버 테러 시나리오를 짚어보고 가보면 어떨까 싶다.

저를 포함하여 일선 보안업계에 계신 수 많은 보안 연구분들이 다년간 악성코드에 대한 관제 및 분석 대응을 하다보면 "이러한 공격 방식이 언제쯤 실제로 나타나지 않을까?"에 대한 우려와 걱정반으로 준비를 하고 계셨던 것이 사실이기도 하다.

그리고 영화 "다이하드4"의 물리적 하이테크 테러(Fire Sale) 공격과 같이 다소 현실적 어려움이 존재하는 것은 어찌보면 영화에서만 볼 수 있었던 것으로 생각할지도 모른다.

사용자 삽입 이미지

※ Fire Sale : http://en.wikipedia.org/wiki/Fire_sale
국가 기간의 전체 구조에 대한 체계화되고 조직화된 3단계 국가적 디지털 공격형태를 의미하며, 사회 혼란을 가중시킬 수 있는 국가 사이버 테러라 할 수 있다.

1단계 : 주요 교통 체계(신호등 교란)와 통신망(지상파) 등을 파괴(마비)하거나 제어권 장악
2단계 : 전기(발전소), 가스, 수도 등 공공 국가 시설물의 통제권 장악
3단계 : 장악한 각종 무력 권한을 통한 국가기간망 초토화 공격

사용자 삽입 이미지

하지만 이러한 공격방식은 이론적으로 가능하나 구조적으로 매우 어렵거나 불가능할 수 있는데, 그 이유는 국가 주요 시설물의 네트워크망은 내부용과 외부용이 따로 따로 분리되어 있다는 점과 주요 국가 시설물 관리용 제어 컴퓨터는 대부분 외부 네트워크와는 단절되어 운용되고, 그 중요도 만큼 보안시스템도 매우 강화되어 있다는 점을 꼽을 수 있을 것이다.

그래서 영화에서는 공공시설 건물 등에 직접 침입하여 내부 네트워크에 접근하는 과정을 볼 수 있었지만, 외부의 공격자가 모든 시설물의 건물에 침입하고 주요 권한을 획득하기란 현재의 물리적 보안 시스템을 우선적으로 무력화해야 한다는 현실적 어려움이 함께 존재하기 때문이다.

자 그러면 공격의 범위나 방식이 꼭 해당 국가 시설물의 통제권 획득만이 있을까? 결론부터 말하면 꼭 그렇지는 않다는 것이다.

IT강국인 대한민국이 이번과 같이 주요 정부기관의 홈페이지, 포털 사이트, 인터넷 뱅킹 서비스, 온라인 전자 상거래, 뉴스 및 언론 사이트, Anti-Virus 서비스업체 등 인터넷 웹 기반의 정보 제공업자를 기반으로 하고 있는 곳이 서비스 거부 공격에 무력화 될 경우 불특정 국민들에게 어떠한 피해를 직간접적으로 야기시킬 수 있을 것인가에 대한 점을 다시 한번 생각해 보면 좋지 않을까 싶다.

[가상 사이버 테러 시나리오]

아래 내용은 접근 방식이 "가상"이라는 점을 먼저 공감해 주시고 읽어주시기 바랍니다.

1. 새로운 공격 기법이 필요하다.

사이버 테러 조직(개인)은 제일 먼저 그 동안 전혀 알려지지 않는 새로운 공격 방식 도입과 그 과정에 필요한 Zero-Day(Hour) Attack 을 준비하여야 한다. 이를 통해서 자신이 준비한 신종 악성코드 프로그램이 아무도 눈치채지 못하도록 하는 것이 가장 중요한 임무이다.

주) 아무도 모르는 취약점을 이용하는 것이 이론처럼 그렇게 쉽진 않겠죠? 각국에 전방위적으로 포진되어 있는 수 보안 전문가들도 그러한 공격에 대비하여 24시간 모니터링을 하고 365일 맞대응 준비를 하고 있으니깐요.

2. 공격 방식과 대상을 지정한다.

특정 공격 대상 선정과 불특정 다수 공격 방식에 따라서 공격 방식을 다르게 지정하며, 두가지 모두 침입 흔적(접근 로그 기록 등)을 완벽하게 제거한다는 조건을 우선시 한다.

- 특정 공격 대상 : 대상 조직과 관련된 웹 사이트의 자료를 수집하여 분석하고, 해당 자료를 기반으로 하여 접속자에 대한 개인정보 유출 및 관련 시설의 정상 서비스 방해나 파괴 등을 시행할 수 있는 공격 프로그램을 몰래 설치한다.

- 불특정 다수 : 수 많은 사람들이 이용하는 포털 사이트나 유명 인터넷 사이트 등을 아무도 몰래 침입하고, 사전에 준비된 취약점과 공격 프로그램을 설치한다.

주) 특정 공격 대상(특정 웹 사이트 서비스 거부 공격) + 불특정 다수(일반 개인 데이터 파괴)을 함께 시행하는 경우가 이번 DDoS 의 한 예라고 말할 수 있겠네요.

3. 가능한 단 시간에 대량 살포를 실시한다.

인터넷 사용자 접속이 많은 사이트에 악성코드를 유포하도록 취약점이 노출되었다면 매우 짧은 시간에 악성코드 공격 기지를 구축할 수 있게 되고, 일종의 Zombie PC 군단, Bot Net 사이버전 부대가 만들어지게 된다.

공격 전초 기지를 통해서 악성코드 감염자 수를 실시간으로 기록 체크하여 완벽한 공격태세를 준비하고 대기한다.

주) 웹 사이트를 통한 악성코드 설치는 현재도 많이 이용되는 악성코드 유포기법이라 할 수 있습니다.

4. 잠복하고 은폐하여 공격 명령 전까지 발각되지 않는다.

사용자 몰래 잠입한 악성코드가 사용자 본인이든 보안 프로그램이든 쉽게 발각되어 신고된다면 특정 공격 명령이 하달되기 전에 힘없이 무력화 될 것이다. 따라서 절대로 사용자가 인지하지 못하도록 치밀하게 제작되어져야 한다.

주) 현재의 수 많은 악성코드는 감염되자 마자 특징적인 증상을 유발하기 때문에 쉽게 발견 보고가 되고 치료 프로그램이 신속하게 배포되고 있지요.

5. 다양한 공격 패턴으로 초토화 명령을 시행한다.

특정 조건(날짜, 시간, 공격자 명령 등)이 성립되면 감염된 모든 컴퓨터를 이용하여 전 방위적 공격이 감행되며, 공격 방식은 매우 다양하게 조절될 수 있다.

이번처럼 특정 웹 사이트를 DDoS 공격하여 정상적인 서비스를 방해할 수도 있고, 또 다른 악성코드를 유포하는데 사용할 수도 있으며, 감염된 컴퓨터의 모든 데이터를 한 순간에 파괴할 수도 있다.

더불어 인터넷 뱅킹, 포털 사이트 공격, 주요 온라인 서비스 등을 중지시켜 사회적 혼란을 야기시키거나 2차, 3차 연속적인 바이러스 프로그램 공격 등을 통해서 다량의 피해를 입힐 수 있게 된다.

(주) 인터넷 세상이라 할 만큼 우리는 하루 하루 인터넷과 함께 지내고 있다는 점이 어찌보면 그 만큼 위험 요소로 작용하고 있는 것은 아닐까 고민해 보도록 하지요. (가상 시나리오 끝)

위와 같이 간단하게 정리해 본 가상 시나리오는 사실상 이론적으로 충분히 가능한 부분도 존재하지만, 역시나 그에 대한 보안 업계의 신속한 대응을 무시할 수 없는 부분이라 할 수도 있겠다.

이번 DDoS 공격 피해와 관련하여 공개되지 않은 많은 비하인드 스토리와 아직도 24시간 대응하느라 고생하시는 많은 관계자분들의 노고에 큰 박수와 감사의 말씀을 보냈으면 한다.

마지막으로.. 불행 중 다행이다? 아니면 앞으로 예고되어 있을지 모를..공격에 대해서 만반의 준비태세를 갖추고 더 이상의 혼란은 없어졌으면 하는 바램이다.

혹시 이 글을 금번 DDoS 공격을 주도했던 사람이 볼지도 모르겠지만...

처음 감염되었던 Zombie PC 들이 DDoS 공격이 우선이 아니라 좀더 많은 개인 컴퓨터를 감염시키도록 일정 잠복기를 거치고 즉시 파일 파괴 명령이 수행되었다면 이번보다 더 큰 사회 혼란(사이버 테러)이 있지는 않았을까 하는 생각을 하면서 마무리하고자 한다.

재미없는 긴글 읽어주시느라 고생하셨고, 감사드립니다.

Posted by viruslab
신종악성코드정보2009.07.06 16:21


Win32.Loader.w 은 Rising Anti-Virus 의 진단명이다.
현재 해당 악성코드를 입수하여 파악 중에 있다.

실제 아이온 계정 탈취 목적의 트로이목마는 국내에서도 다수 발견되고 있는 실정이다.

아이온의 인기가 높아지면서 악성코드의 공격도 비례적으로 증가하고 있다.

http://www.dailygame.co.kr/news/all_news_view.daily?idx=12588

http://www.dailygame.co.kr/news/all_news_view.daily?idx=12666
http://news.nate.com/view/20090706n11375
http://aion.game518.com/news/bg/200907/04-85077.shtml
http://www.rising-global.com/Information/Daily-Virus-Report/Daily-Virus-Report-Jul-1-2009--Win32-Loader-w.html

사용자 삽입 이미지

사용자 삽입 이미지


Posted by viruslab
악성코드자료2009.06.09 16:40
악성코드제작자2009.05.28 11:22


Virut (변종) 바이러스가 또 본색을 보이기 시작하네요.

감염된 컴퓨터가 연결되는 IRC 채널을 통해서 Koobface 웜 변종과 각종 Adware Dropper, Malicious Downloader, SPAM Bot, Fake AV 제품 등을 배포하고 있네요.

Virut 제작자는 광고해 주고 수익을 좀 챙기지 않을까 싶다. Fake AV 제품을 통해서 결재를 유도하며, 각종 인터넷 물품 광고창 연결도 시도한다. 또한, 각종 SPAM 메일 발송용 악성코드도 설치될 수 있다.

현재 유포가 시도되는 Fake AV 는 GuardDog 이라는 종류입니다.

사용자 삽입 이미지


Antivirus Version Last Update Result
a-squared 4.0.0.101 2009.05.28 Trojan.Fakeav!IK
AhnLab-V3 5.0.0.2 2009.05.27 -
AntiVir 7.9.0.168 2009.05.27 DR/FakeAV.MX
Antiy-AVL 2.0.3.1 2009.05.27 Trojan/Win32.heuristic
Authentium 5.1.2.4 2009.05.27 -
Avast 4.8.1335.0 2009.05.27 Win32:Trojan-gen {Other}
AVG 8.5.0.339 2009.05.27 SHeur2.AHTY
BitDefender 7.2 2009.05.28 Dropped:Trojan.FakeAV.MX
CAT-QuickHeal 10.00 2009.05.27 -
ClamAV 0.94.1 2009.05.27 -
Comodo 1207 2009.05.27 -
DrWeb 5.0.0.12182 2009.05.28 DLOADER.Trojan
eSafe 7.0.17.0 2009.05.27 Suspicious File
eTrust-Vet 31.6.6525 2009.05.28 -
F-Prot 4.4.4.56 2009.05.27 -
F-Secure 8.0.14470.0 2009.05.28 -
Fortinet 3.117.0.0 2009.05.28 -
GData 19 2009.05.28 Dropped:Trojan.FakeAV.MX
Ikarus T3.1.1.57.0 2009.05.28 -
K7AntiVirus 7.10.746 2009.05.27 -
Kaspersky 7.0.0.125 2009.05.28 Heur.Trojan.Generic
McAfee 5628 2009.05.27 Generic.dx!dh
McAfee+Artemis 5628 2009.05.27 Generic.dx!dh
McAfee-GW-Edition 6.7.6 2009.05.28 Trojan.Dropper.FakeAV.MX
Microsoft 1.4701 2009.05.27 Trojan:Win32/FakeCanine
NOD32 4109 2009.05.27 probably unknown NewHeur_PE
Norman 6.01.05 2009.05.27 -
nProtect 2009.1.8.0 2009.05.27 -
Panda 10.0.0.14 2009.05.28 Trj/CI.A
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.28 High Risk Worm
Rising 21.31.21.00 2009.05.27 -
Sophos 4.42.0 2009.05.28 Sus/Behav-1004
Sunbelt 3.2.1858.2 2009.05.28 BehavesLike.Win32.Malware (v)
Symantec 1.4.4.12 2009.05.28 -
TheHacker 6.3.4.3.332 2009.05.26 -
TrendMicro 8.950.0.1092 2009.05.27 Mal_Otorun9
VBA32 3.12.10.6 2009.05.27 -
ViRobot 2009.5.27.1757 2009.05.27 -
VirusBuster 4.6.5.0 2009.05.27 -
Additional information
File size: 314368 bytes
MD5   : e9b1c06a5d38a1f85743da4dc183006d
SHA1  : 4468a20b4421f9dcd25fe3bb89e180fbbfac7805
SHA256: 24107f5c4da8640e25f36837ad5c94e81224bee96d8451cee1013b91bdb3a26f



Posted by viruslab
신종악성코드정보2009.05.26 16:09


최신 Virut 변종이 유포되고 있는 것이 포착되었다.

사용자 삽입 이미지

현재 바이러스 토탈 진단 현황은 다음과 같다.

http://www.virustotal.com/ko/analisis/ff115af3fe1572e871904dbe3c3f0c7453a5aeade79471539eb41bdf7c0fc740-1243321473

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.0.0.101 2009.05.26 Virus.Win32.Virut.q!IK
AhnLab-V3 5.0.0.2 2009.05.26 -
AntiVir 7.9.0.168 2009.05.25 W32/Virut.Gen
Antiy-AVL 2.0.3.1 2009.05.25 -
Authentium 5.1.2.4 2009.05.25 W32/Virut.AI!Generic
Avast 4.8.1335.0 2009.05.25 -
AVG 8.5.0.339 2009.05.25 Win32/Virut
BitDefender 7.2 2009.05.26 -
CAT-QuickHeal 10.00 2009.05.26 W32.Virut.G
ClamAV 0.94.1 2009.05.26 -
Comodo 1199 2009.05.25 -
DrWeb 5.0.0.12182 2009.05.26 -
eSafe 7.0.17.0 2009.05.24 -
eTrust-Vet 31.6.6521 2009.05.25 -
F-Prot 4.4.4.56 2009.05.25 W32/Virut.AI!Generic
F-Secure 8.0.14470.0 2009.05.26 -
Fortinet 3.117.0.0 2009.05.26 -
GData 19 2009.05.26 -
Ikarus T3.1.1.49.0 2009.05.26 Virus.Win32.Virut.q
K7AntiVirus 7.10.744 2009.05.25 -
Kaspersky 7.0.0.125 2009.05.26 -
McAfee 5626 2009.05.25 New Win32.g3
McAfee+Artemis 5626 2009.05.25 New Win32.g3
McAfee-GW-Edition 6.7.6 2009.05.25 Win32.Virut.Gen
Microsoft 1.4701 2009.05.26 Virus:Win32/Virut.gen!O
NOD32 4103 2009.05.25 Win32/Virut.NBP
Norman 6.01.05 2009.05.25 -
nProtect 2009.1.8.0 2009.05.26 -
Panda 10.0.0.14 2009.05.25 W32/Sality.AO
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.26 -
Rising 21.31.10.00 2009.05.26 -
Sophos 4.42.0 2009.05.26 -
Sunbelt 3.2.1858.2 2009.05.25 -
Symantec 1.4.4.12 2009.05.26 -
TheHacker 6.3.4.3.331 2009.05.25 -
TrendMicro 8.950.0.1092 2009.05.26 PE_VIRUX.J-1
VBA32 3.12.10.6 2009.05.26 Virus.Win32.Virut.X6.poly
ViRobot 2009.5.26.1752 2009.05.26 Win32.Virut.AL
VirusBuster 4.6.5.0 2009.05.25 Win32.Virut.Y.Gen
추가 정보
File size: 1050624 bytes
MD5...: 3621eb755dba9a7139ceeac2e6afeaf3
SHA1..: dc6fa05611cf8cf63a5dc25b52760ba230055ed7
SHA256: ff115af3fe1572e871904dbe3c3f0c7453a5aeade79471539eb41bdf7c0fc740




Posted by viruslab
신종악성코드정보2009.05.25 10:04


계속해서 변종이 유포되고 있으며, 네이트온 메신저 사용자들의 계정 정보 수집도 지속되고 있다.

관련 분석 정보
http://viruslab.tistory.com/698

nProtect Anti-Virus (AVS2007) 제품에 진단/치료 기능이 추가된 상태이며, 변종 유포를 지속적으로 모니터링하여 업데이트에 포함시키고 있다.

국내 사용자를 Target 으로 한 국지적인 악성코드이기 때문에 각별한 주의도 필요하다.

http://www.nprotect.com/index.html
http://avs.nprotect.net/tsp/package/b2b/nProtectVS2007.exe

사용자 삽입 이미지

http://www.virustotal.com/analisis/67b0961d244ac3cd716500555e03a718e1db1e973d54e84713772a61ce7c26d1-1243154474

Antivirus Version Last Update Result
a-squared 4.0.0.101 2009.05.24 Trojan-PWS.Win32.OnLineGames!IK
AhnLab-V3 5.0.0.2 2009.05.23 -
AntiVir 7.9.0.168 2009.05.23 TR/Downloader.Gen
Antiy-AVL 2.0.3.1 2009.05.22 -
Authentium 5.1.2.4 2009.05.23 -
Avast 4.8.1335.0 2009.05.23 Win32:QQPass-RX
AVG 8.5.0.339 2009.05.23 Win32/Cryptor
BitDefender 7.2 2009.05.24 MemScan:Trojan.PWS.YKC
CAT-QuickHeal 10.00 2009.05.23 -
ClamAV 0.94.1 2009.05.24 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.24 -
eSafe 7.0.17.0 2009.05.21 Suspicious File
eTrust-Vet 31.6.6519 2009.05.23 -
F-Prot 4.4.4.56 2009.05.23 -
F-Secure 8.0.14470.0 2009.05.23 Suspicious:W32/Malware!Gemini
Fortinet 3.117.0.0 2009.05.23 W32/DllHook.A
GData 19 2009.05.24 MemScan:Trojan.PWS.YKC
Ikarus T3.1.1.49.0 2009.05.24 Trojan-PWS.Win32.OnLineGames
K7AntiVirus 7.10.741 2009.05.21 Trojan-PSW.Win32.Maran
Kaspersky 7.0.0.125 2009.05.24 -
McAfee 5624 2009.05.23 -
McAfee+Artemis 5624 2009.05.23 Artemis!4B7D87DC8F3B
McAfee-GW-Edition 6.7.6 2009.05.24 Win32.Malware.gen!80 (suspicious)
Microsoft 1.4701 2009.05.24 PWS:Win32/Kotwir.A.dll
NOD32 4098 2009.05.22 a variant of Win32/Kryptik.NX
Norman 6.01.05 2009.05.22 -
nProtect 2009.1.8.0 2009.05.24 Trojan/W32.Agent.168397
Panda 10.0.0.14 2009.05.23 Trj/QQPass.AZS
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.24 Medium Risk Malware
Rising 21.30.61.00 2009.05.24 Dropper.Win32.Mnless.GEN [Suspicious]
Sophos 4.42.0 2009.05.24 Mal/DllHook-A
Sunbelt 3.2.1858.2 2009.05.24 PWS-Win32/Kotwir.A.dll
Symantec 1.4.4.12 2009.05.24 Infostealer.Gampass
TheHacker 6.3.4.3.331 2009.05.22 Trojan/OnLineGame.gen
TrendMicro 8.950.0.1092 2009.05.23 PAK_Generic.001
VBA32 3.12.10.5 2009.05.24 -
ViRobot 2009.5.23.1749 2009.05.23 -
VirusBuster 4.6.5.0 2009.05.23 -
Additional information
File size: 168397 bytes
MD5   : 52c9958915ec15eb0965f26824be88ad
SHA1  : e29996da5f96287f9a1bf0203b57bbca86f22767
SHA256: 67b0961d244ac3cd716500555e03a718e1db1e973d54e84713772a61ce7c26d1



Posted by viruslab
보안관련소식2009.05.24 01:44


http://www.virustotal.com/ko/sobre.html

사용자 삽입 이미지

  • AhnLab (V3)
  • Antiy Labs (Antiy-AVL)
  • Aladdin (eSafe)
  • ALWIL (Avast! Antivirus)
  • Authentium (Command Antivirus)
  • AVG Technologies (AVG)
  • Avira (AntiVir)
  • Cat Computer Services (Quick Heal)
  • ClamAV (ClamAV)
  • Comodo (Comodo)
  • CA Inc. (Vet)
  • Doctor Web, Ltd. (DrWeb)
  • Emsi Software GmbH (a-squared)
  • Eset Software (ESET NOD32)
  • Fortinet (Fortinet)
  • FRISK Software (F-Prot)
  • F-Secure (F-Secure)
  • G DATA Software (GData)
  • Hacksoft (The Hacker)
  • Hauri (ViRobot)
  • Ikarus Software (Ikarus)
  • INCA Internet (nProtect)
  • K7 Computing (K7AntiVirus)
  • Kaspersky Lab (AVP)
  • McAfee (VirusScan)
  • Microsoft (Malware Protection)
  • Norman (Norman Antivirus)
  • Panda Security (Panda Platinum)
  • PC Tools (PCTools)
  • Prevx (Prevx1)
  • Rising Antivirus (Rising)
  • Secure Computing (SecureWeb)
  • BitDefender GmbH (BitDefender)
  • Sophos (SAV)
  • Sunbelt Software (Antivirus)
  • Symantec (Norton Antivirus)
  • VirusBlokAda (VBA32)
  • Trend Micro (TrendMicro)
  • VirusBuster (VirusBuster)

  • Posted by viruslab
    보안관련소식2009.05.23 17:07


    클라우드 컴퓨팅(cloud computing)을 통한 Anti-Virus Service는 실효성이 충분할 것인가에 대해서 많은 논의가 있다.

    사용자 삽입 이미지
    앞으로 계속해서 증가할 많은 양의 Malware Pattern 을 좀더 효율적으로 운용하기 위한 고민이 이에 해당된다고 볼 수 있다.

    그 때문에 클라우드 컴퓨팅 기술에 Anti-Virus 서비스 구조가 차츰 융합될 것이라 예측되고 있으나, 다양한 약점에 대한 해결과제도 있기 때문에 쉽게 변경되지는 못하는 듯 싶다.

    얼마전 스페인의 Anti-Virus 업체인 PANDA Security 에서는 클라우드 Anti-Virus 제품을 선보이기도 하였다.

    http://www.cloudantivirus.com/
    http://blog.cloudantivirus.com/

    http://viruslab.tistory.com/735

    예상대로 설치 프로그램의 용량이 매우 작은 편이다.

    사용자 삽입 이미지

    사용자 삽입 이미지

    Kaspersky Lab
    클라우드 컴퓨팅과 in-the-cloud 보안의 밝은 미래

    http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=Products&wr_id=217

    악성 소프트웨어 탐지의 전통적인 방법은 이른바 시그니쳐(signature)를 사용하는 것입니다.

    시그니쳐는 지문과 같습니다. 만약 그것이 악성 프로그램의 조각과 일치하면 그 악성 프로그램은 탐지 될 것입니다. 그러나 사람의 지문과 시그니쳐 사이에는 차이가 있습니다. 지문은 오직 한 사람만 일치하는데 반하여 좋은 시그니쳐는 단지 하나의 유일한 파일로 들어맞는게 아니라 여러개 수정된 파일로 식별합니다. 높은 품질의 시그니쳐는 더 높은 감지율을 뜻하는 것뿐만이 아니라 필요한 시그니쳐의 수를 감소시켜 결과적으로 낮은 메모리의 소비를 가져옵니다. 이것이 안티 바이러스 기업들이 일반적으로 알려진 악성 프로그램 파일의 총 숫자보다 훨씬 낮은 시그니쳐 숫자를 제공하는 이유입니다.
     
    물론, 좋은 시그니쳐도 시그니쳐 데이터 베이스를 작게 유지하는데 도움을 줄 수는 있습니다. 그러나 이것이 근본적인 문제를 다루고 있지 않습니다. 악성 파일이 많을 수록 더 많은 시그니쳐들을 필요로 할 것입니다. 그리고 위의 그래프는 시그니쳐의 수가 지난 몇 년 동안 악성 프로그램의 수의 폭발적인 증가에 맞춰 증가되고 있는 것을 보여줍니다.
     
    증가하는 수많은 시그니쳐들은 성능 검사의 감소뿐만 아니라 높은 메모리 소비와 추가 다운로드 트래픽을 유발하지 않습니다. 이 글을 쓰고 있는 지금, 개인용 제품에서 사용된 카스퍼스키 랩의 시그니쳐 데이터베이스는 45MB에 이릅니다. 이러한 추세가 아래에 설명된 것처럼 계속된다면(그리고 믿지 않을 이유가 없다면), 이 데이터베이스는 이후 3, 4년 이내에 1,000MB까지 증가할 것입니다. 이는 일부 컴퓨터가 갖고 있는 RAM보다 더 많은 메모리입니다. 이 정도 크기의 데이터베이스는 운영체제, 브라우저 또는 게임, 단지 PC 자신을 검사하기 위한 컴퓨터 자원의 사용에 대한 공간을 두지 않을 것이며 이는 현명한 해결책은 아닙니다.
     
    그럼 정답은 무엇일까요? MS-DOS악성코드와 관련된 기존 데이터베이스 레코드를 삭제해도 도움이 되지 않을 것입니다. 늘어난 메모리의 양은 매일 증가한 새로운 시그니쳐보다 더 작을 것입니다. 위에서 언급했듯이, 좀 더 효율적인 시그니쳐가 도움이 될지라도 이는 원인보다 오히려 증상에 대한 싸움입니다. 그리고 궁극적으로 데이터베이스 레코드의 증가는 멈추지 않을 것입니다.
     
    2007년 일부 AV 기업들은 in-the-cloud 보안이 이러한 상황을 해결하기 위한 유일한 방법임을 깨달았습니다. 데스크톱의 보안 솔루션과 비교했을 때 언제나 온라인 연결이 필요한 점은 여전히 단점으로 남아있으나, 궁극적으로 이 기술의 장점은 단점보다 큰 것이 사실입니다.

    in-the-cloud 보안의 장점

    카스퍼스키 랩에서 정의한 in-the-cloud 보안의 전체 개념은 잠재적으로 악성인 파일이나 웹사이트를 컴퓨터 자체에 저장된 로컬 시그니쳐로 확인하는 대신 온라인으로 체크하는 것입니다. 이 일을 하기 위한 가장 쉬운 방법은 파일의 체크섬을 계산하여 이 체크섬을 지닌 파일이 이미 악성으로 판단되었는지 지정된 서버로 요청합니다. 이에 대한 답이 “네” 라면 사용자는 경고 메시지를 보게 되고 악성코드는 격리됩니다.
     
    사용자의 입장에서 볼 때 이러한 접근방식과 기존의 접근방식 사이의 차이점은 개선된 컴퓨터의 성능 이외에는 큰 차이가 없습니다. 파일에 대한 체크섬을 생성하기 위해 많은 프로세서 자원이 필요하지 않는 것은 복잡한 시그니쳐 기반의 검사를 수행하는 것보다 여러 번 수행하는 것이 더 빠르다는 것을 의미합니다. 처음에는 사용자의 주목을 받지 못할지도 모르미나 다음과 같은 여러 잠정들이 있습니다.
     
    낮은 메모리 소비와 더 작은 다운로드 풋프린트. 위에서 언급한 바와 같이 앞으로 몇 년간 고전적인 시그니쳐 데이터베이스는 사용자가 수용할 수 있는 범위의 한계를 뛰어 넘을 것입니다. in-the-cloud 솔루션은 쉽게 이 문제를 해결합니다. 서버에 저장된 모든 “지문”은 안티 바이러스 회사에 포함되어 있습니다. 사용자의 컴퓨터에 저장되는 것은  안티 바이러스 소프트웨어에 추가된 정보들입니다. 아직 판단되지 않은 프로그램은 로컬 디스크에서 검색되기 때문에, 서버는 새로운 것을 발견한 경우에만 연결을 취합니다. 만일 사용자가 어떠한 새로운 프로그램을 설치하지 않는다면, 새 데이터를 다운로드 할 필요가 없습니다. 오늘날 새 프로그램(악성일지도 모를) 이 설치된 경우 시그니쳐가 지속적으로 업데이트를 해야 하는 상황과는 뚜렷이 다릅니다.
     
    더 나은 응답 시간. 응답 시간은 항상 안티 바이러스 업계에서 핫 이슈로 다루어져 왔습니다. 이는 새로운 시그니쳐를 사용할 수 있도록 하지만 이 시그니쳐가 사용자가 감염된 첨부파일을 연 후에 도착한다면 너무 늦어버리게 됩니다. 컴퓨터는 아마 이미 봇넷의 일부가 되고 아직 탐지되지 않는 추가 악성 구성 요소를 다운로드 할 것입니다. 많은 안티 바이러스 회사들이 여전히 일일 업데이트 사이클을 고수할때, 카스퍼스키 랩은 왜 매시간 업데이트를 제공하기 시작했는지에 대한 이유이기도 합니다. 그럼에도 불구하고, 새로운 바이러스의 등장과 시그니쳐의 등장 사이에는 아직 한 시간이나 더 걸릴 수 있습니다. 사전 감지 방식과 클라이언트 측면의 에뮬레이션 기술이 이러한 격차를 보완할 수는 있지만 문제는 지속될 수 밖에 없습니다. in-the-cloud 보안의 강점은 시그니쳐 확인이 실시간 수동 검사로 진행되고 반응 시간은 상당히 좋아졌기 때문에 확실하다고 볼 수 있습니다. 파일이 악성인지 아닌지 분석가에 의해 판명되자마자 이 정보는 분 또는 초 단위로 응답 시간을 전달하여 클라이언트에서 사용할 수 있습니다.
     
    그것은 단지 in-the-cloud 기술을 사용하여 전송될 수 있는 트로이 목마, 바이러스와 웜에 대한 시그니쳐가 아니라 정기적인 시그니쳐 업데이트의 한 부분을 형성하는 모든부분입니다. 위험한 웹사이트의 URL, 최근 스팸 메일에서 나타나고 있는 제목과 키워드, 그리고 카스퍼스키 인터넷 시큐리티 2009와 같은 호스트 침입 방지 시스템(HIPS)에 의해 사용될 수 있는 완벽한 프로그램의 프로 파일이 해당됩니다. 이 기술은 어느 PC에나 제한되지 않습니다. 특히 한 PC에서 많은 RAM을 갖고 있지 않은 스마트폰과 모바일 장치를 보호하기 위해 이러한 기술을 사용하는 것이 가능하도록 하므로 모든 바이트가 카운트됩니다. Windows XP와 Vista를 대상으로 하는 모든 악성 프로그램을 탐지하며 모바일 위협의 탐지를 초점으로 하는 대부분의 모바일 용 안티 바이러스 솔루션은 많은 자원을 소비할 것입니다. in-the-cloud 기술은 이러한 문제의 과거의 것으로 만들 수 있습니다.

    양방향 통신

    in-the-cloud 시스템은 컴퓨터에 있는 파일이 감염되었거나 그렇지 않은 경우 클라이언트 PC의 쿼리와 서버에 대한 답변을 고객에게 알려주는 데 도움이 된다는 것은 분명한 사실입니다. 그러나 이 기술이 구현되는 방법에 따라 새로운 위협을 탐지하고 식별하는 안티 바이러스 회사를 돕는 방식으로 동작할 수 있습니다. 만일 에뮬레이션 혹은 사전 탐지 기법을 사용하는 클라이언트 PC에서 파일이 분석되었다면 말입니다. 그 결과 파일이 악성이라는 것이고 이 파일은 이후에 안티 바이러스 회사의 분석가들에 의해 추가 조사를 위해 업로드가 될 것입니다. 물론, 이것은 고객이 스스로 누구나 쉽게 하려고 하지 않는 파일 공유를 해야만 한다는 의미입니다. 그러나 이 일을 하기 위한 다른 방법도 있습니다. 이진 파일을 전송하는 대신에 클라이언트 소프트웨어는 분석을 수행하는 모듈로부터 단순히 세부 내용(파일 크기와 위협 종류 등과 같은)과 함께 지문을 보낼 것입니다. 만약 새로운 웜이 빠르게 확산되고 있다면 안티 바이러스 회사의 분석가들은 의심스럽다고 표시되고 갑자기 수천 대의 컴퓨터로 퍼지는 새롭게 생긴 파일을 확인합니다. 그 다음 이것이 새로운 악성코드 파일이라면 분석가의 판단에 맡기게 됩니다. 만약 그들이 확실한 위협으로 결론이 난다면 추가 탐지는 쉽습니다. 파일의 지문은 이미 존재하기 때문에 확인요청을 보낸 클라이언트 PC의 탐지 데이터베이스로 손쉽게 이동되어야만 합니다.

    공짜 점심은 없다

    in-the-cloud 보안의 모든 장점에도 불구하고 몇몇의 단점이 있습니다. 위의 예는 통계적 모니터링에 근거한 추가 탐지가 갑자기 발생하는 것에 대항하는 방식에 얼마나 효과적인지를 보여주고 있습니다. 그러나 이것은 오진의 위험을 극적으로 증가시킵니다. 인기 있는 쉐어웨어 프로그램의 새 버전이 출시되었다고 가정하면 새로운 것은 빠르게 확산되고 곧 많은 사람들이 소프트웨어를 다운로드 하게 될 것입니다. 만약 프로그램이 시그니쳐되지 않은 시스템 파일에 영향을 미친다면, 아마 스스로 업데이트하기 위해 다른 실행 파일을 다운로드 할 것이며 in-the-cloud 시스템에 의해 자동으로 악성코드로 탐지되어 중지시킬 확률이 높습니다. 몇 초 후 이는 전 세계에서 수천 개의 오진의 결과를 초래할 것입니다. 물론 분석가가 이 프로그램을 본 다면 이러한 결과는 일어나지 않겠지만 빠른 탐지의 잠재적인 이점을 부정하는 데에 시간이 걸릴 것입니다. 눈 깜짝할 사이에 오진을 수정하는 것이 (다음 업데이트가 다운로드 될 때까지 그 자리에 남아있는 전형적인 시그니쳐 데이터베이스의 오진과는 다르게) 가능할지라도 여전히 부정적인 결과가 발생할 것입니다. in-the-cloud 보안이 수행하는 개별 통보가 거짓 경보를 증가시킨다면 오진을 좋아하지 않는 사람들은 사용을 중지하고 여전히 고전적인 방식을 고수하는 다른 안티 바이러스 회사로 이동할 가능성이 높습니다. 이를 막기 위해 안티 바이러스 회사들은 안전하다고 알려진 파일들을 설정하고 유지 보수할 필요가 있습니다. 새로운 패치 또는 프로그램이 출시된다면 안티 바이러스 회사는 그들의 고객이 다운로드를 받기 전에 분석하고 매우 빠르게 화이트리스트에 추가해야 합니다.
     
    그러므로 클라우드로의 이동은 안티 바이러스 업체에 대한 많은 추가 작업을 의미합니다. 안전한 파일 수집을 적극적으로 유지 보수하는 것 외에도 회사의 서버들은 절대적으로 24시간 안정적인 상태를 유지해야 합니다. 오프라인 서버는 업데이트를 제공할 수 없기 때문에 이는 항상 고객의 기대가 되어왔습니다. 그럼에도 불구하고 고전적인 접근방식은 검춤률을 낮출 수 있다 하더라도 많은 시간이 필요한 시그니쳐와 함께 작동할 것입니다. 클라우드 접근방식과의 차이점은 다음과 같습니다. 전체 개념이 수동 감시와 실시간 검사에 근거했기 때문에 서버의 가동 중지 기간 동안 고객은 보호받지 못합니다. 서버의 가동 중지 기간의 경우, 고객을 보호하기 위한 강력한 HIPS 기술과 협력하여 휴리스틱 기법이 사용되어야 할 것입니다.
     
    무엇이 미래를 이끌것인가?

    카스퍼스키 랩은 카스퍼스키 시큐리티 네트워크 관련 롤아웃과 KIS 2009 출시와 함께 in-the-cloud 보안의 선구자 중 하나였습니다. 많은 보안 업체들은 현재 그들의 제품에 in-the-cloud 접근기법을 구현하기 시작해왔지만 업계 전반적으로 여전히 이 기술의 모든 강점을 이용하는 초기 단계에 머물러 있습니다. 그 상황은 전 세계에 있는 자동차들의 상황과 유사합니다. 장기적으로 전기 자동차가 가솔린과 디젤 자동차를 대체할 것이지만, 현재 전기로 홍보된 대부분의 차들은 사실상 하이브리드입니다. IT 세계는 대게 다른 산업보다 빠르게 혁신하지만 in-the-cloud 보안이 모두 오늘날 사용하는 탐지 방법을 근거로 하는 시그니쳐를 대체하기까지 2~3년이 걸릴 가능성이 높습니다.
     
    결론

    지금까지 클라우드 컴퓨팅과 in-the-cloud 보안 사이의 차이점이 명확해졌습니다. 기업들은 서비스 제공업체와 모든 데이터 공유에 대한 개념에 익숙해져야 하기 때문에 클라우드 컴퓨팅이 실제로 시작하기까지 몇 년이 걸릴 것입니다.
     
    in-the-cloud기술을 구현한 안티 바이러스 제품들은 이미 출시되었으며 올해 말까지 이 기술은 폭 넓게 수용될 것이라는 것은 전혀 의심의 여지가 보이지 않습니다. 시간이 지남에 따라 이 두 가지 접근 방식은 in-the-cloud 보안 서비스에 의해 보호된 클라우드 컴퓨터를 사용하는 개인과 조직들과 함께 통합될 것입니다. 일단 이러한 일이 일어나면 인터넷 오늘날 우리에게 미치는 영향과같이 일상 활동에 필수적인 것이 될 것입니다.

    Posted by viruslab
    2007.11.12 12:43

    보호되어 있는 글입니다.
    내용을 보시려면 비밀번호를 입력하세요.

    신종악성코드정보2007.11.10 11:16


    Virut 은 .EXE 나 .SCR 등의 실행파일을 감염시켜서 활동하는 바이러스이다.

    폴리모픽(다형성)에 시작점 불명확기법(EPO), 암호화(XOR) 등을 이용하며, 메모리 감염, Winlogon.exe 삽입 등으로 치료가 쉽지 않은 종류이다.

    최근까지 약 49종의 변종이 나오고 있으며, 제작자가 계속 변종을 만들고 있고, 일부 버전은 ASM 소스도 공개되어있다. 최신 변종을 진단하는 백신은 그리 많지 않으니 조심해야 겠다.

    또한, 가장 근래에 발견된 것들은 내부에 Downloader 기능을 넣어두어, 디버깅할 때 바이러스가 아닌 것으로 잘못 분석할 수도 있고, 실제로 일부 백신은 트로이목마로 추가하고 있어 감염된 파일을 치료하지 않고 삭제하는 경우도 보인다.
    Posted by viruslab