태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2011.03.04 20:51


어제부터 철야 비상 대응 근무를 하면서 "3.3 DDoS" 라는 용어를 처음 사용했는데, 다른 업체분들도 동일하게 사용하기 시작해 주시니 나름 뿌듯(?)하네요!  

자 그럼 각 업체별로 수집된 14개의 악성파일 진단(명) 내용을 나름대로 정리해 봅니다. (알파벳 순서)

Alyac Anti-Virus (http://alyac.altools.co.kr/SecurityCenter/Analysis/NoticeView.aspx?id=90)

01. bobo.exe Trojan.Downloader.Agent.33D
02. host.dll Trojan.Dropper.Agent.nthost
03. meitsvc.dll Backdoor.DllBot.gen
04. ntcm63.dll Trojan.Dropper.Agent.nthost
05. ntgg55.dll Trojan.Dropper.Agent.nthost 
06. rtdrvupr.exe Trojan.Agent.hosts
07. rtdrvupe_2.exe Trojan.Agent.hosts
08. SBUpdate.exe Trojan.Downloader.Agent.33D
09. SBUpdate_2.exe Trojan.Downloader.Agent.33D
10. setup.exe Trojan.Downloader.Agent.33D
11. sfofsvc.dll Trojan.Agent.docCrypt
12. stensvc.dll Trojan.Agent.docCrypt
13. wricsvc.dll Backdoor.Dllbot.gen
14. wsfcsvc.dll Backdoor.Dllbot.gen

Hauri Anti-Virus (http://hauri.co.kr/customer/security/alert_view.html?intSeq=82&page=1)

01. bobo.exe Trojan.Win32.Downloader.11776
02. host.dll Trojan.Win32.QHost.118784
03. meitsv.dll Trojan.Win32.Generic.71008
04. ntcm63.dll Trojan.Win32.QHost.131072
05. ntgg55.dll Trojan.Win32.QHost.126976
06. rtdrvupr.exe Trojan.Win32.QHost.16384
07. rtdrvupr_2.exe Trojan.Win32.QHost.16384
08. SBUpdate.exe Trojan.Win32.Downloader.10240
09. SBUpdate_2.exe Trojan.Win32.Downloader.11776
10. setup.exe Trojan.Win32.Downloader.20480
11. sfofsvc.dll Trojan.Win32.Generic.46432
12. stensvc.dll Trojan.Win32.Generic.46432
13. wricsvc.dll Trojan.Win32.Obfuscated.40960
14. wsfcsvc.dll Trojan.Win32.Obfuscated.40960

nProtect Anti-Virus (http://erteam.nprotect.com/131)

01. bobo.exe Trojan/W32.Agent.11776.OG
02. host.dll Trojan/W32.Agent.118784.ACE
03. meitsvc.dll Trojan/W32.Dllbot.71008
04. ntcm63.dll Trojan/W32.Agent.131072.YG
05. ntgg55.dll Trojan/W32.Agent.126976.XY
06. rtdrvupr.exe Trojan/W32.Agent.16384.ALF
07. rtdrvupr_2.exe Trojan/W32.Agent.16384.ALF
08. SBUpdate.exe Trojan/W32.Agent.10240.OO
09. SBUpdate_2.exe Trojan/W32.Agent.11776.OF
10. setup.exe Trojan/W32.Agent.20480.AZR
11. sfofsvc.dll Trojan/W32.Dllbot.46432
12. stensvc.dll Trojan/W32.Agent.46416.B
13. wricsvc.dll Trojan/W32.Agent.42320
14. wsfcsvc.dll Trojan/W32.Dllbot.40960

V3 Anti-Virus (http://blog.ahnlab.com/ahnlab/1059)

01. bobo.exe Win-Trojan/Agent.11776.VK
02. host.dll Win-Trojan/Agent.118784.AAU
03. meitsvc.dll Win-Trojan/Ddosagen.71008
04. ntcm63.dll Win-Trojan/Agent.131072.WL
05. ntgg55.dll Win-Trojan/Ddosagent.126976
06. rtdrvupr.exe Win-Trojan/Ddosagen.16384
07. rtdrvupe_2.exe Win-Trojan/Ddosagen.16384
08. SBUpdate.exe Win-Trojan/Npkon.10240
09. SBUpdate_2.exe Win-Trojan/Agent.11776.VJ
10. setup.exe Win-Trojan/Ddosagen.20480
11. sfofsvc.dll Win-Trojan/Agent.46432.D
12. stensvc.dll Win-Trojan/Ddosagen.46416
13. wricsvc.dll Win-Trojan/Ddosagen.42320
14. wsfcsvc.dll Win-Trojan/Agent.40960.BOH

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2011.02.17 10:15


게토 PC방 관리 프로그램을 사용 중인 PC방에서 국산 악성파일이 다수 발견되고 있으며, 특히 최근에는 국내 금융 모듈처럼 아이콘과 파일명을 위장한 형태가 추가 발견되었습니다.

PC방 업주 관계자와 사용자분들의 각별한 주의가 요망됩니다.

http://www.getogold.co.kr/support/support.asp?select_TB=NOTICE&pagecode=content&idx=90&page=1
사용자 삽입 이미지

어제부터 추가로 발견되고 있는 변종이며, 금융보안 모듈처럼 아이콘과 파일명을 사칭한 형태가 존재합니다.
사용자 삽입 이미지




Posted by viruslab
신종악성코드정보2011.02.15 21:27


해외에서 안드로이드용 악성파일이 다수 출현하고 있습니다.

주의하시면 좋겠습니다.

nProtect 모바일 제품에서 다음과 같이 진단/치료가 가능합니다.

http://erteam.nprotect.com/122
http://erteam.nprotect.com/123

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.10.20 10:54


다음과 같은 제목과 내용 등을 가진 악성 파일 첨부 이메일이 해외에서 발견되고 있습니다.

해당 내용 참고하시어 조심하시면 좋겠습니다.

제목 :
Your package is available for pickup.ID810

내용 :
Good afternoon.

The parcel was sent to your home address. And it will arrive within 3 business days.
More information and the tracking number are attached in document below.

Thank you.
UPS Logistics.

첨부파일 :
Tracking_information_NR9650.zip



사용자 삽입 이미지

악성 파일 진단 현황입니다.

http://www.virustotal.com/file-scan/report.html?id=a8ad5024bda7458660e008ca75c7863f39a47660fa96120204c82b5540398508-1287531523

Antivirus Version Last Update Result
AhnLab-V3 2010.10.20.00 2010.10.19 Spyware/Win32.Carberp
AntiVir 7.10.12.252 2010.10.19 TR/Drop.Agent.adn
Antiy-AVL 2.0.3.7 2010.10.19 -
Authentium 5.2.0.5 2010.10.19 W32/Trojan3.CGW
Avast 4.8.1351.0 2010.10.19 Win32:Trojan-gen
Avast5 5.0.594.0 2010.10.19 Win32:Trojan-gen
AVG 9.0.0.851 2010.10.20 Dropper.Generic2.BLFV
BitDefender 7.2 2010.10.20 Trojan.Oficla.AU
CAT-QuickHeal 11.00 2010.10.19 -
ClamAV 0.96.2.0-git 2010.10.19 -
DrWeb 5.0.2.03300 2010.10.20 Trojan.PWS.Spy.9839
Emsisoft 5.0.0.50 2010.10.19 Trojan.Oficla!IK
eSafe 7.0.17.0 2010.10.19 -
eTrust-Vet 36.1.7921 2010.10.19 Win32/Oficla.OU
F-Prot 4.6.2.117 2010.10.19 W32/Trojan3.CGW
F-Secure 9.0.16160.0 2010.10.19 Trojan-Downloader:W32/Oficla.JR
Fortinet 4.2.249.0 2010.10.19 -
GData 21 2010.10.20 Trojan.Oficla.AU
Ikarus T3.1.1.90.0 2010.10.19 Trojan.Oficla
Jiangmin 13.0.900 2010.10.19 -
K7AntiVirus 9.66.2789 2010.10.19 -
Kaspersky 7.0.0.125 2010.10.19 Trojan-Spy.Win32.Carberp.k
McAfee 5.400.0.1158 2010.10.20 Generic.dx!uir
McAfee-GW-Edition 2010.1C 2010.10.19 Artemis!17CFCFD88022
Microsoft 1.6301 2010.10.19 Trojan:Win32/Meredrop
NOD32 5546 2010.10.19 a variant of Win32/Kryptik.HMN
Norman 6.06.07 2010.10.19 -
nProtect 2010-10-19.01 2010.10.19 Trojan.Oficla.AU
Panda 10.0.2.7 2010.10.20 Trj/Sinowal.WXO
PCTools 7.0.3.5 2010.10.20 Trojan.Sasfis
Prevx 3.0 2010.10.20 High Risk System Back Door
Rising 22.70.01.04 2010.10.19 -
Sophos 4.58.0 2010.10.20 Mal/Oficla-A
Sunbelt 7096 2010.10.19 -
SUPERAntiSpyware 4.40.0.1006 2010.10.20 -
Symantec 20101.2.0.161 2010.10.20 Trojan.Sasfis
TheHacker 6.7.0.1.060 2010.10.19 -
TrendMicro 9.120.0.1004 2010.10.19 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.20 TROJ_OFICLA.WY
VBA32 3.12.14.1 2010.10.19 -
ViRobot 2010.10.19.4101 2010.10.19 -
VirusBuster 12.69.7.0 2010.10.19 -



Posted by viruslab
보안관련소식2010.10.14 10:25


보안뉴스 오병민 기자분과 간략히 전화 인터뷰한 내용이 기사화되었습니다.

[기자수첩] 끊임없는 악성코드 위협과 그들의 노력
http://www.boannews.com/media/view.asp?idx=23257

자발적인 참여로 이루어지고 있지만 앞으로 민관 공조가 활성화된다면 좀더 큰 보안 시너지 효과가 발생될 수 있다고 생각합니다.

거기에 기자님이 말씀하신 "더 좋은 환경과 더 좋은 대우"까지 생각해 준다면 많은 보안 전문가들에게 큰 힘이 되지 않을까 샆기도 합니다.^^

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.10.04 09:07


주말 동안 애플사의 아이튠즈 스토어(iTunes Store)에서 발송한 내용으로 위장한 악성 이메일이 국내에 다수 유입되었습니다.

제목은 Your receipt #(임의의 숫자) 형태이며, 본문 링크(1.gif 등)를 통해사 악성 사이트 연결을 유도합니다.

사용자 삽입 이미지

본문에 포함되어 있는 1.gif 는 현재 대부분 해외 보안 그룹을 통해서 차단되어 다음과 같이 Zeus Malware Warning 경고 창으로 리다이렉션 되고 있습니다.

해외 보안 업체들의 신속한 차단의 효과입니다.

사용자 삽입 이미지

보통 이러한 사이트는 허위 보안 제품 등을 설치하여 과금 결제를 유도하거나, 비아그라 등 성인 약품 판매 사이트 등을 광고하는 역할을 수행합니다.


Posted by viruslab
신종악성코드정보2010.10.01 10:24


컴퓨터 사용자의 바이러스 검사 유도 내용으로 위장한 악성 이메일이 국내에 유입되어 전파되고 있어 각별한 주의가 필요합니다.

마치 수신자의 컴퓨터를 온라인으로 검사해 주는 것처럼 위장한 사이트를 보여주고, Anti-Virus 설치 프로그램으로 위장한 허위 보안 제품을 설치하도록 하여 과금 결제를 유도하는 방식입니다.

아래 내용 참고하시어 각별히 주의하시면 좋겠습니다.

제목 :
Re: Check on viruses

내용 :
Check on viruses is more detailed...

이메일에는 첨부파일이 별도로 존재하지 않으며, 본문 내용에 특정 사이트로 연결시켜 악성 파일을 설치 유도하는 방식을 사용한다.

사용자 삽입 이미지
 
본문에 포함된 링크 주소를 사용자가 클릭하면 새로운 사이트로 연결이 시도되고, 다음과 같이 사용자에게 가짜 악성 코드 검출 경고 메시지를 보여줍니다.

사용자 삽입 이미지

버튼을 누르게 되면 다음과 같이 악성 사이트로 연결되어, 마치 온라인으로 악성파일 검사를 하는 것 같이 조작된 재생 화면을 보여주어 사용자를 현혹시킵니다.

사용자 삽입 이미지

검사 도중이나 종료 후에 Remove all 과 같은 부분을 클릭하면 다음과 같이 보안제품의 install 파일처럼 위장한 악성 파일이 다운로드 시도됩니다.

사용자 삽입 이미지
사용자 삽입 이미지

inst.exe 가 실행되면 다음과 같이 "Security Tool" 이라는 허위 Anti-Virus 제품 설치 완료 메시지 창이 보여지고, 스스로 검사를 시작합니다.

사용자 삽입 이미지

다음과 같이 검사를 진행하고, 허위로 악성 파일에 감염되었다는 메시지 창과 함께 과금 결제를 유도하게 됩니다.

사용자 삽입 이미지

해당 악성 프로그램은 현재 국내에 지속적으로 유입이 되고 있어, 피해가 우려되오니 인터넷 사용자분들은 각별히 주의를 하셔야 겠습니다.

과금 결제 화면으로 변경될 경우 사용자가 바탕화면을 정상적으로 사용하지 못하도록 결제 창을 전체 화면 최상위 조건으로 강제화하여 매우 불편하게 만듭니다.

따라서 컴퓨터 사용에 불편을 느낀 많은 이용자들이 결제를 하게되는 피해를 입는 형태입니다.


잉카인터넷 nProtect Anti-Virus 2010년 10월 01일자 제품에서 진단/치료가 가능합니다.

일명 허위 보안 제품(Fake AV)는 지속적으로 변종이 개발되어 유포되고 있기 때문에 항상 신속한 업데이트가 요구됩니다.



Posted by viruslab
신종악성코드정보2010.09.28 09:02


어제와 동일하게 이력서 내용처럼 위장한 악성 파일 변종이 이메일 첨부파일을 통해서 조금 전 국내에 추가로 유입되었습니다.

아래 내용 참고하시어 유사 악성 메일 예방에 참고하시면 좋겠습니다.

제목 :
Please review the attached resume.

내용 :
Please find attached.

첨부파일 :
cv.zip


사용자 삽입 이미지

이메일에 첨부되어 있는 "cv.zip" 파일 내부에는 cv.exe 라는 악성 파일이 포함되어 있습니다. 사용자가 압축을 해제하고 cv.exe 를 실행할 경우 악성 파일에 감염이 됩니다.

사용자 삽입 이미지

nProtect Anti-Virus 최신 버전에서는 이미 치료가 가능합니다.



Posted by viruslab
신종악성코드정보2010.09.09 12:03


이력서 메일 내용처럼 교묘하게 위장한 악성코드 이메일이 국내에 유입된 것이 확인되었습니다.

아래 내용 참고하시어 유사 악성파일 유포 메일에 속지 않도록 조심하시면 좋겠습니다.

제목 :
이력서 도서

내용 :
안녕하세요 :

난 졸업생은 홍콩 대학에서 오전.난 일본에서 1 년 이상 해외 유학했다.주로 온라인 게임 개발 및 운영 기술 인력의.
인터넷에서 직원의 채용에 임금을 볼 수있습니다.난 물어 자유 걸릴하고 싶습니다.내 개인 정보를 첨부합니다.
당신보다 더 잘 쓰지.감사합니다.

첨부파일 :
이력서.zip


한글 내용은 번역기 등을 사용한 것으로 보여지며, 대부분 문법에 맞지 않습니다.

사용자 삽입 이미지

"이력서.zip" 파일 내부에는 "SeriyLee Resume.chm" 라는 컴파일된 HTML Help 파일이 포함되어 있고, chm 내부에 svchost.exe 라는 악성파일이 추가로 실행되도록 제작되어 있습니다.

사용자 삽입 이미지

SeriyLee Resume.chm 내부에는 가짜 이력서 내용 launch.htm 파일과 mypic.jpg 라는 사진 파일 등이 포함되어 있으며, 몰래 실행되는 svchost.exe 라는 악성파일이 포함되어 있습니다.

chm 파일이 실행되면 다음과 같이 실제 이력서와 같은 화면을 보여주어 사용자가 정상적인 파일로 인식하도록 만듭니다.

중국에서 제작된 것으로 추정되며, 사진속 인물은 중국쪽 연예인 사진인 듯 싶습니다.

사용자 삽입 이미지

이력서에 포함된 사진 화면인데, 해외 모델이나 연예인 사진을 도용한 것으로 보여집니다. 혹시 정확하게 아시는 분 있으면 좀 알려주세요.^^


메일이 발송된 곳은 중국 베이징으로 추적되었습니다.


악성파일에 감염이 되면 실행되어 있는 일부 정상 파일이 백업되고, 감염된 파일로 교체되는 현상이 발생됩니다.

nProtect Anti-Virus 제품에서는 감염된 파일의 치료 기능을 제공할 예정 중입니다.

http://www.virustotal.com/file-scan/report.html?id=5bec540896902e643a4563b17b312a9ba8f6291b7e659f1122692ec9048ce39a-1284001638


Antivirus Version Last Update Result
AhnLab-V3 2010.09.09.00 2010.09.09 Backdoor/Win32.Banito
AntiVir 8.2.4.50 2010.09.08 TR/Crypt.XPACK.Gen3
Antiy-AVL 2.0.3.7 2010.09.09 -
Authentium 5.2.0.5 2010.09.08 -
Avast 4.8.1351.0 2010.09.08 Win32:Malware-gen
Avast5 5.0.594.0 2010.09.08 Win32:Malware-gen
AVG 9.0.0.851 2010.09.08 Downloader.Generic10.QMB
BitDefender 7.2 2010.09.09 Trojan.Generic.4715438
CAT-QuickHeal 11.00 2010.09.08 TrojanDownloader.Unruy.i
ClamAV 0.96.2.0-git 2010.09.09 -
Comodo 6018 2010.09.09 -
DrWeb 5.0.2.03300 2010.09.09 -
Emsisoft 5.0.0.37 2010.09.09 Trojan-Downloader.Win32.Unruy!IK
eSafe 7.0.17.0 2010.09.07 -
eTrust-Vet 36.1.7843 2010.09.08 -
F-Prot 4.6.1.107 2010.09.01 -
F-Secure 9.0.15370.0 2010.09.09 Trojan-Downloader:W32/FakeAlert.NV
Fortinet 4.1.143.0 2010.09.08 -
GData 21 2010.09.09 Trojan.Generic.4715438
Ikarus T3.1.1.88.0 2010.09.09 Trojan-Downloader.Win32.Unruy
Jiangmin 13.0.900 2010.09.08 Backdoor/Banito.pd
K7AntiVirus 9.63.2470 2010.09.08 -
Kaspersky 7.0.0.125 2010.09.09 Backdoor.Win32.Banito.anw
McAfee 5.400.0.1158 2010.09.09 Artemis!5ED7F5FFD25D
McAfee-GW-Edition 2010.1B 2010.09.09 Artemis!5ED7F5FFD25D
Microsoft 1.6103 2010.09.09 TrojanDownloader:Win32/Unruy.I
NOD32 5435 2010.09.08 -
Norman 6.06.05 2010.09.08 -
nProtect 2010-09-09.01 2010.09.09 Backdoor/W32.Banito.167936.C
Panda 10.0.2.7 2010.09.08 Trj/CI.A
PCTools 7.0.3.5 2010.09.09 -
Prevx 3.0 2010.09.09 Medium Risk Malware
Rising 22.64.02.04 2010.09.08 Trojan.Win32.Generic.522F3C2E
Sophos 4.57.0 2010.09.09 -
Sunbelt 6849 2010.09.09 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.09.09 -
Symantec 20101.1.1.7 2010.09.09 -
TheHacker 6.7.0.0.012 2010.09.09 Backdoor/Banito.anw
TrendMicro 9.120.0.1004 2010.09.08 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.09 -
VBA32 3.12.14.0 2010.09.08 -
ViRobot 2010.9.8.4031 2010.09.09 -
VirusBuster 12.64.24.0 2010.09.08 -







Posted by viruslab