태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.07.23 09:54


대부분의 숙주 파일은 국내 인터넷 공유 서비스를 하는 웹하드 업체 등을 이용해서 정상적인 유틸리티 프로그램에 교묘하게 숨겨져서 유포 중인 것으로 추정됩니다.

제작사가 불분명하거나 신뢰도가 낮고, 의심스러운 파일은 실행전에 각별히 주의하셔야 겠습니다.
현재 잉카인터넷 대응팀에서는 변종을 수집하여 nProtect Anti-Virus 패턴에 지속적으로 추가하고 있습니다.

아래는 2010년 07월 22일 발견되었던 "모기잡이.exe" 라는 숙주 변종 중 하나이고, nProtect Anti-Virus 패턴에서는 7월 22일자 패턴에 이미 다음과 같이 추가된 상태입니다.


Trojan/W32.Agent.494080.V

http://www.virustotal.com/ko/analisis/83241913e4d66e14888748fc7568cebcb43a755a5bc22a3bcf63255aa7cfe00e-1279846110

안티바이러스 엔진 버전 정의 날짜 검사 결과
AhnLab-V3 2010.07.23.00 2010.07.23 -
AntiVir 8.2.4.26 2010.07.22 TR/Spy.92160.132
Antiy-AVL 2.0.3.7 2010.07.22 -
Authentium 5.2.0.5 2010.07.21 -
Avast 4.8.1351.0 2010.07.22 Win32:Malware-gen
Avast5 5.0.332.0 2010.07.22 Win32:Malware-gen
AVG 9.0.0.851 2010.07.23 -
BitDefender 7.2 2010.07.23 -
CAT-QuickHeal 11.00 2010.07.22 -
ClamAV 0.96.0.3-git 2010.07.22 -
Comodo 5511 2010.07.23 -
DrWeb 5.0.2.03300 2010.07.23 -
Emsisoft 5.0.0.34 2010.07.23 -
eSafe 7.0.17.0 2010.07.22 -
eTrust-Vet 36.1.7729 2010.07.22 -
F-Prot 4.6.1.107 2010.07.23 -
F-Secure 9.0.15370.0 2010.07.23 -
Fortinet 4.1.143.0 2010.07.22 -
GData 21 2010.07.23 Win32:Malware-gen
Ikarus T3.1.1.84.0 2010.07.23 -
Jiangmin 13.0.900 2010.07.22 -
Kaspersky 7.0.0.125 2010.07.23 -
McAfee 5.400.0.1158 2010.07.23 Artemis!8BD78FE2E33F
McAfee-GW-Edition 2010.1 2010.07.22 Artemis!8BD78FE2E33F
Microsoft 1.6004 2010.07.23 -
NOD32 5303 2010.07.22 -
Norman 6.05.11 2010.07.22 -
nProtect 2010-07-22.01 2010.07.22 Trojan/W32.Agent.494080.V
Panda 10.0.2.7 2010.07.23 -
PCTools 7.0.3.5 2010.07.23 -
Prevx 3.0 2010.07.23 -
Rising 22.57.03.04 2010.07.22 Packer.Win32.Agent.GEN
Sophos 4.55.0 2010.07.22 -
Sunbelt 6624 2010.07.23 -
SUPERAntiSpyware 4.40.0.1006 2010.07.23 -
Symantec 20101.1.1.7 2010.07.23 -
TheHacker 6.5.2.1.322 2010.07.20 -
TrendMicro 9.120.0.1004 2010.07.22 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.23 -
VBA32 3.12.12.6 2010.07.22 BScope.Dropper.Gen.14
ViRobot 2010.6.21.3896 2010.07.22 -
VirusBuster 5.0.27.0 2010.07.22 -
추가 정보
File size: 494080 bytes
MD5...: 166b80ff49cd7a7cd87c64aa298f0aea


2010년 7월 23일 오전 9시 현재에도 해당 트위터와 미투데이에는 악성코드 링크가 공개되어 있으며, 정상적으로 다운로드가 이루어지고 있으므로, 주의가 필요합니다.




악성코드 링크가 포함되어 있는 링크는 현재 서울에 위치한 호스팅 서버를 이용하고 있으며, 미투데이와 트위터 계정에 사용된 ID 를 보면 마치 Cho(조) 라는 단어를 사용한 것이 특이합니다.

Posted by viruslab
보안관련소식2010.07.08 01:29


잉카인터넷 (엔프로텍트)

사용자 삽입 이미지

하우리 (바이로봇)

사용자 삽입 이미지

이스트 소프트 (알약)

사용자 삽입 이미지

안철수 연구소 (V3)

사용자 삽입 이미지



Posted by viruslab
보안관련소식2010.06.17 13:16


전자신문 보도자료 보기
서울시 홈페이지에 중국발 3차 DDoS 공격

etnews.co.kr

보안업체 이스트소프트는 지난 9일(1차)과 11일(2차)에 걸쳐 국가 포털 사이트·일부 정부기관 사이트·슈퍼주니어 사이트 등에 DDoS 공격을 시도한 일부 중국 네티즌들이 중국 포털 바이두에서 16일 3차 공격을 위해 세력을 모으고 있다는 분석을 지난 14일 내놓은 바 있다.

이스트소프트의 공격 예상 보고가 적중했네요! ^_^b


사용자 삽입 이미지
사용자 삽입 이미지




Posted by viruslab
보안관련소식2009.10.20 15:10


알약(테라) + 비트디펜더 + 소포스

진단율은 막강이지 않을까 싶네요.

http://www.mt.co.kr/view/mtview.php?type=1&no=2009102014204363033&outlink=1

사용자 삽입 이미지

Posted by viruslab
TAG 알약
보안관련소식2009.09.11 10:25
보안관련소식2009.09.03 12:08


http://news.chosun.com/site/data/html_dir/2009/08/30/2009083000786.html



사용자 삽입 이미지


Posted by viruslab
분석도구2009.08.28 08:40
보안관련소식2009.08.24 12:00


알송을 설치할 때 마지막 부분에 알약에 대한 광고가 나오더군요.

알탱이 군단의 전파력은 대단하겠지요!

마케팅 기법 하나는 정말... 일반 컴퓨터 사용자분들의 경우...많은 사람이 설치해야겠다는 생각이 들지 않을까 싶네요.

사용자 삽입 이미지
사용자 삽입 이미지



Posted by viruslab
보안관련소식2009.08.18 17:22
보안관련소식2009.07.12 13:27


http://alyac.altools.co.kr/

DDoS 공격은 끝났을텐데 아직 접속이 안돼네요.

사용자 삽입 이미지



Posted by viruslab
TAG alyac, 알약
보안관련소식2009.06.05 14:17


네이버에서 무료 백신을 검색하면 다음과 같은 결과가 보여진다.

http://search.naver.com/search.naver?where=nexearch&query=%B9%AB%B7%E1%B9%E9%BD%C5&sm=top_hty&fbm=1

제일 상위에는 역시나 네이버 PC그린, 그 다음은 V3 Lite...

무료 백신의 가장 마지막은... 알약

현재 알약의 사용자 수와 인지도면에서 PC 그린 제품과 비교해 보면 제일 하위에 있는 것이 꼭 우연만은 아닐 것 같다.

사용자 삽입 이미지



Posted by viruslab
감염대처법2009.05.25 09:21


비트디펜더(http://www.bitdefender.com) 엔진/패턴을 사용하는 제품 사용자들에 의해서 Trojan.IFrame.GZ 라는 바이러스가 갑자기 많이 나온다는 문의가 증가하고 있어 정리해 본다.

무료 백신 제품 등 간접적으로 비트디펜더 패턴 사용자들이 그 만큼 국내에 많이 있다는 얘기이기도 하겠다.

이 상황은 국내 하나포스 닷컴 도메인으로 운영되는 특정 자료실 사이트에 존재하는 악의적인 아이프레임을 진단하고 있기 때문이다.

사용자 삽입 이미지

해당 사이트에 접속하게 될 경우 다음의 스크립트가 연결된다.

http://qbic.hanafos.com/js/openwin.js

openwin.js 파일은 일부 Anti-Virus 제품 등에서 다음과 같이 진단된다.

BitDefender 7.2 2009.05.24 Trojan.IFrame.GZ

따라서 해당 웹 페이지를 접속할 때 마다 비트디펜더 제품/패턴이 사용되는 제품의 실시간 감시 기능이 활성화 되어 있을 경우 지속적으로 악성코드 진단 화면이 출력되게 된다.

그렇다면 해당 스크립트는 악성인가?

결론부터 말하자면, 악성은 맞지만 현 조건과 시점상에서 정상적으로 악의적인 기능이 수행되지는 못하는 형태이다. 따라서 악성코드(바이러스/트로이목마/웜 등)에 감염된 것은 아니다.

더불어 Trojan.IFrame.GZ 라는 형태는 진단명에도 포함되어 있지만 "(컴퓨터) 바이러스"라는 용어보다는 스크립트 형태의 "트로이목마"로 사용하는 것이 정확하다고 하겠다.

사용자에 따라 "(컴퓨터) 바이러스"를 일반적으로 악성코드의 총칭으로 사용하고 있긴 하지만 실질적인 용어 정의상 다르게 표현되고 있기 때문이다. 물론 업체 진단명 명명 정책에 따라 일부 상이한 경우도 존재한다.


이외에도 사용자에게 유해한 형태의 프로그램이 매우 다양하게 존재하는데, 이는 각 업체의 분류 정책에 따라 구분된다.

바이러스라는 총칭보다는 악성코드(프로그램)라는 통합적 용어로 사용하면 좀더 명확하다고 할 수 있으며, 구체적으로 바이러스인지, 트로이목마인지, 웜인지 등으로 세분화하여 구분하면 이해하는데 큰 도움이 될 수 있다.

openwin.js 파일에는 악의적인 사이트로 연결을 시도하는 아이프레임 코드가 존재한다.

그러나 관리자 등에 의해서 정상적으로 실행되지 못하도록 주석처리된 것으로 보여진다.

사용자 삽입 이미지

또한, 해당 아이프레임 사이트 역시 현재는 정상적으로 작동되지 않고 있다.

사용자 삽입 이미지

이는 결과적으로 오진은 아니지만, 악의적인 코드부분이 정상적으로 작동되지 않고 있기 때문에 미진단도 아니다.

물론 각 Anti-Virus 업체의 진단 범위 정책에 따라 가변적인 부분이다.

이러한 경우 다음과 같이 진행되면 어떨까 싶다.

해당 웹 페이지 관리자가 해당 코드를 신고접수 또는 직접 발견한 경우 단순 주석처리 대응이 아니라, 우선적으로 비정상적인 코드를 제거하고 서버의 외부 침입 흔적을 분석하며, 보안상 취약점이 발견 된 경우 근본적인 문제 해결을 위한 진행을 한다.

물론 자료 기록을 위한 용도로 변조된 스크립트는 별도로 보관하는 것도 중요한 부분이다.

다음으로 Anti-Virus 제품들은 주석처리된 아이프레임 코드를 좀더 정밀하게 진단(예외처리)할 수 있도록 한다면 임의로 변경되어 정상적으로 작동되지 않는 악의적인 아이프레임 코드를 지속적으로 진단하는 문제를 해소할 수도 있을 것으로 보여진다.


Posted by viruslab
보안관련소식2008.01.05 11:12


아이뉴스24 [무료 백신 '알약' 인기에 가짜 사이트 등장]
http://www.inews24.com/php/news_view.php?g_serial=305206&g_menu=020200

실제 알약 도메인 주인의 해명
http://www.sir.co.kr/bbs/board.php?bo_table=cm_free&wr_id=229282

서로간의 오해 없이 잘 해결되었으면 좋겠네요.

Posted by viruslab
보안관련소식2007.11.09 10:45