태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.07.29 10:06


Lnk 취약점 Sality 바이러스 관련 정보
Sality 바이러스 국내 감염 보고
viruslab.tistory.com

Lnk 취약점을 이용해서 전파 중인 Sality 파일 바이러스가 이미 국내에 상륙해서 전파가 진행 중인 것으로 보고되고 있습니다.

해당 바이러스에 감염되면 아래와 같이 C:\ 등 각 시스템 로컬 디스크 등에 Autorun.inf 파일과 임의 파일명을 가진 실행파일(EXE, PIF) 등이 "숨김 속성"으로 생성됩니다.

USB 이동 디스크 등이 있다면 루트 경로에 아래와 같은 악성코드가 함께 생성(감염) 됩니다.

악성코드가 폴더 옵션을 강제로 수정하여, 숨김 속성 파일을 보이지 않도록 변경하며, 아래 화면은 강제로 폴더 옵션을 해제한 후 캡처한 화면입니다.

사용자 삽입 이미지

autorun.inf 파일은 로컬 드라이브에 접근 시 자동으로 실행되도록 하는 역할을 해주고, 아래와 화면과 같이 동일 경로에 존재하는 khhqh.pif 실행 파일을 자동으로 오픈하게 됩니다.

사용자 삽입 이미지

또한, autorun.inf 파일에 의해서 로컬 디스크에서 오른쪽 마우스 메뉴를 열어보면 Autoplay 라는 메뉴가 추가된 것을 확인할 수 있습니다.

사용자 삽입 이미지

khhqh.pif 파일은 다음과 같이 103,140 바이트로 고정적인 것을 생성합니다.

http://www.virustotal.com/analisis/8d9bb65b0365800a214b785197238882bdafa21055eb270173bf17a3648153a6-1280362716

사용자 삽입 이미지

이후에 컴퓨터에 존재하는 정상 실행 파일을 감염시키는 작동 등을 수행하며, Temp 폴더에 감염될 때마다 임의의 파일명으로 또 다른 악성코드 들을 다수 생성합니다.

사용자 삽입 이미지

oqpd.exe
http://www.virustotal.com/analisis/399c426ab74b6db73e1c61c06bd5b38d2253e50178e3b663716085cedc454f5c-1280305571

sfviaf.exe
http://www.virustotal.com/analisis/c8c52a5d8fa03ec033be8e530defa37bb38d1182ee2daf5015437d40fea12854-1280325016

winaeru.exe
http://www.virustotal.com/analisis/bbf4b768882b90df971be1d46611229bcfd0507efce0b0ab363da24306880dd3-1280325097

현재 감염된 정상 파일의 바이러스 토탈 진단 현황은 다음과 같습니다.
nProtect Anti-Virus 엔진에 감염된 바이러스를 치료할 수 있도록 긴급 대응 중입니다.

http://www.virustotal.com/analisis/7a16f90b7f32652e6ddcb6da6cf3bd431052d33b6ebea5367bc4da9bf3e757ef-1280364708


안티바이러스 엔진 버전 정의 날짜 검사 결과
AhnLab-V3 2010.07.29.00 2010.07.28 -
AntiVir 8.2.4.26 2010.07.28 W32/Sality.AT
Antiy-AVL 2.0.3.7 2010.07.28 -
Authentium 5.2.0.5 2010.07.28 W32/Virut.AI!Generic
Avast 4.8.1351.0 2010.07.28 Win32:Sality
Avast5 5.0.332.0 2010.07.28 Win32:FileInfector-A
AVG 9.0.0.851 2010.07.28 Win32/Heur
BitDefender 7.2 2010.07.29 DeepScan:Generic.Sality.3.95EA7762
CAT-QuickHeal 11.00 2010.07.28 W32.Sality.U
ClamAV 0.96.0.3-git 2010.07.29 -
Comodo 5574 2010.07.29 -
DrWeb 5.0.2.03300 2010.07.28 Win32.Sector.21
Emsisoft 5.0.0.34 2010.07.28 Virus.Win32.Sality!IK
eSafe 7.0.17.0 2010.07.27 -
eTrust-Vet 36.1.7745 2010.07.28 Win32/Sality.AA
F-Prot 4.6.1.107 2010.07.28 W32/Virut.AI!Generic
F-Secure 9.0.15370.0 2010.07.29 DeepScan:Generic.Sality.3.95EA7762
Fortinet 4.1.143.0 2010.07.28 -
GData 21 2010.07.29 DeepScan:Generic.Sality.3.95EA7762
Ikarus T3.1.1.84.0 2010.07.29 Virus.Win32.Sality
Jiangmin 13.0.900 2010.07.28 Win32/HLLP.Kuku.Gen
Kaspersky 7.0.0.125 2010.07.28 -
McAfee 5.400.0.1158 2010.07.29 W32/Sality.gen.e
McAfee-GW-Edition 2010.1 2010.07.28 Heuristic.LooksLike.Win32.Suspicious.J!83
Microsoft 1.6004 2010.07.28 Virus:Win32/Sality.AU
NOD32 5321 2010.07.28 Win32/Sality.NBA
Norman 6.05.11 2010.07.28 W32/Sality.BD
nProtect 2010-07-28.02 2010.07.28 -
Panda 10.0.2.7 2010.07.28 W32/Sality.AA
PCTools 7.0.3.5 2010.07.29 Malware.Sality
Prevx 3.0 2010.07.29 -
Rising 22.58.02.04 2010.07.28 Win32.KUKU.kq
Sophos 4.55.0 2010.07.29 Mal/Sality-D
Sunbelt 6655 2010.07.28 Virus.Win32.Sality.at (v)
SUPERAntiSpyware 4.40.0.1006 2010.07.29 -
Symantec 20101.1.1.7 2010.07.29 W32.Sality.AE
TheHacker 6.5.2.1.326 2010.07.27 -
TrendMicro 9.120.0.1004 2010.07.27 PE_SALITY.BA
TrendMicro-HouseCall 9.120.0.1004 2010.07.29 PE_SALITY.BA
VBA32 3.12.12.6 2010.07.28 Malware-Cryptor.Win32.Nukakby
ViRobot 2010.7.28.3960 2010.07.28 -
VirusBuster 5.0.27.0 2010.07.28 Win32.Sality.BK
추가 정보
File size: 151552 bytes
MD5...: 337171fc1e2a99dfd1992955dacbc766



Posted by viruslab
신종악성코드정보2010.07.28 17:50


PE_SALITY.LNK-O
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FSALITY%2ELNK%2DO&VSect=T

Main Dropper 가 실행되면 랜덤한 파일명의 dll 파일을 생성하고, 다음과 같은 lnk 취약점 파일에 의해서 실행되도록 만듭니다.

Main EXE Dropper 진단 현황 (MD5 - 3cef4b976bc78cabca53876217b8082d)
http://www.virustotal.com/analisis/e56fe64a3e9150912bfb122f0618ab5b48196bfce04730b2297d3fd2c2156340-1280341677


생성되는 랜덤한 Dll 악성코드 진단 현황 (MD5 - ab45ccd84e69aa680593377f83cd0374)
http://www.virustotal.com/analisis/054c7548609d0f6cc47841901cb7b40272309bbcd88ea24d3fa0f429a2fefb2a-1280288135


생성되는 lnk 악성코드 진단 현황 (MD5 - c7a076a9ad23711a7bffc71813b2c3ca)
http://www.virustotal.com/analisis/ab27d6ac96fedac3554bd5510abd2bdfdfbff0cf6e93b90bb94a26b435257892-1280301799


Aline.lnk
Anna Benson Sex video.lnk
Anna.lnk
Audra.lnk
Bad girl.lnk
Barbi.lnk
Barrett Jackson nude photos.lnk
Britney Spears XXX.lnk
Caitie.lnk
Copy of New File.lnk
Copy of New Folder.lnk
Copy of Shortcut.lnk
Drivers.lnk
Fotograf.lnk
Gallery photos.lnk
Jammie.lnk
Jenna Elfman sex anal deepthroat.lnk
Juli.lnk
Julie.lnk
Kate Beckinsale nude pictures.lnk
Katrina.lnk
Kelley.lnk
Lisa.lnk
Mandy.lnk
Mary-Anne.lnk
Mary.lnk
Miss America Porno.lnk
My Photos.lnk
My beautiful person.lnk
My photoalbum.lnk
My photos.lnk
Myphotos.lnk
New Folder.lnk
New Shortcut.lnk
Paris Hilton XXX Archive.lnk
Photoalbum.lnk
Picture.lnk
Porno Screensaver.lnk
Rena.lnk
Sara.lnk
Serials.lnk
Shortcut.lnk
Tammy.lnk
XXX archive.lnk
XXX hardcore.lnk
XXX.lnk
beautiful.lnk
caroline.lnk
groom.lnk
kate.lnk
kleopatra.lnk
rebecca.lnk
stacy.lnk

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.07.28 10:15


마이크로 소프트사의 Lnk(바로가기, Shortcut) Zero-Day 취약점(패치 미발표)을 이용한 악성코드가 이번에는 마이크로 소프트사의 취약점 패치 파일로 위장하여 유포 된 것이 보고되었습니다.

해당 취약점을 이용한 악성코드가 관련 취약점 패치 파일로 위장한 어처구니 없는 위장 공격이네요!

이메일 내용은 다음과 같습니다.

제목 :
Microsoft Windows Security Advisory

내용 :
Hello, we are writing to you about a new Microsoft security advisory issue for Windows.
There is a new potentially dangerous software-worm, attacking Windows users
through an old bug when executing .ICO files. Although this is quite an old
way of infecting software, which first was used in 1982 with Elk Cloner
worm, the new technique the new worm is using is more complicated, thus the
speed and number of attacs has strongly increased.

Since you are the special Microsoft Windows user, there is a new patch
attached to this e-mail, which eliminates the possibility of having you
software infected.

How to install:
open an attached file "2286198.zip" with password "security"
install it to the base disk C:/ folder, so that the included files adres was "C:/lol.dll"

첨부파일 :
2286198.zip

첨부파일은 다음과 같이 "2286198.zip" 파일명을 가지고 있는데, 파일명에 사용된 2286198 번호는 실제 Lnk 취약점 번호 입니다.

http://microsoft.com/technet/security/advisory/2286198.mspx

첨부파일은 다음과 같은 압축파일로 구성되어 있으며, 암호화 압축이 되어 있는 상태입니다.
따라서 Virus Total 에서는 어떠한 제품도 진단할 수 없습니다.

http://www.virustotal.com/analisis/38d570a765f7fd7b1b92a76bf1fdfe7425e41dddd5081493eef975228470ae7d-1279917049

압축파일의 암호는 메일 본문에 포함되어 있으며, "security" 입니다.

사용자 삽입 이미지

내부에 포함되어 있는 dsafnegweje.lnk 파일이 바로 Lnk 0-day Exploit 파일이며, 바이러스 토탈에 등록되어 있는 Anti-Virus 제품들의 진단 현황은 다음과 같습니다.

http://www.virustotal.com/analisis/bbe8069f457c8cd3d1162419626da72b1041304c558a1be74cb3b553dbb29965-1280242380

lol.dll 파일은 악성 dll 파일이며, 바이러스 토탈 진단 현황은 다음과 같고, nProtect Anti-Virus 2010년 7월 28일 업데이트에 치료 기능을 추가할 예정입니다.

http://www.virustotal.com/analisis/40ca83cbf5f5125f559a438d2e3de3c9d4bd8ad3dfcc70e23e1f4d76f7c38750-1280279440

LNK 취약점을 통해서 지속적으로 악성코드가 유포 중이오니, 각별히 조심하셔야 겠습니다.



Posted by viruslab
신종악성코드정보2010.07.27 09:52


바이러스 토탈(Virus Total)에 등록되고 있는 lnk 취약점 파일 최신 진단 현황입니다.

nProtect 제품 고객 통계에서 감염자 로그가 보여지기 시작했습니다.

국내에서도 전파가 되고 있을 것으로 예상됩니다.

아직 미진단하는 곳이 많이 있는 것 같습니다. 각별한 주의가 필요합니다.

http://www.virustotal.com/analisis/b152baddcc9519a525e36a7b1c538e00376dff30948d012fe839d6a586ff409b-1280190816

http://www.virustotal.com/analisis/312ce6e2b869c32e250db2af20d79e187971bffbdbcd715cc02b5f04db6d6c62-1280180783

http://www.virustotal.com/analisis/114f7a0892dd8abcd7f1f1232ff408ce16b1c4c544dfe0a310a0081281a34d77-1280177686

http://www.virustotal.com/analisis/8469f8f33e149df143a9d547811aa231ff11daffdcb9b8a431534579aeeda119-1280176107

http://www.virustotal.com/analisis/ea7626ff20ca277ccc391a2b7daa827cc8d5535084f4fd0966303e50ed93d007-1280169423

http://www.virustotal.com/analisis/c97ceb69f55d4aa7ccf57ea3d133cbcee9056af06066a860a7cbe0de74b2dd3b-1280168967

http://www.virustotal.com/analisis/7f5e20706ebfb3c8e1dfe849a87c56922250745c0eda528c3ef3bb15766fde37-1280168304

Antivirus Version Last Update Result
AhnLab-V3 2010.07.27.00 2010.07.26 -
AntiVir 8.2.4.26 2010.07.26 EXP/CVE-2010-2568.A
Antiy-AVL 2.0.3.7 2010.07.26 -
Authentium 5.2.0.5 2010.07.27 -
Avast 4.8.1351.0 2010.07.26 LNK:Runner
Avast5 5.0.332.0 2010.07.26 LNK:Runner
AVG 9.0.0.851 2010.07.26 -
BitDefender 7.2 2010.07.27 Exploit.CplLnk.Gen
CAT-QuickHeal 11.00 2010.07.26 -
ClamAV 0.96.0.3-git 2010.07.27 -
Comodo 5548 2010.07.27 -
DrWeb 5.0.2.03300 2010.07.27 Trojan.Stuxnet.1
Emsisoft 5.0.0.34 2010.07.27 -
eSafe 7.0.17.0 2010.07.26 LNK-Exp.CVE-2010-2568.gen
eTrust-Vet 36.1.7738 2010.07.26 LNK/Stuxnet.A
F-Prot 4.6.1.107 2010.07.27 -
F-Secure 9.0.15370.0 2010.07.26 Exploit:W32/WormLink.B
Fortinet 4.1.143.0 2010.07.24 -
GData 21 2010.07.27 Exploit.CplLnk.Gen
Ikarus T3.1.1.84.0 2010.07.26 -
Jiangmin 13.0.900 2010.07.26 -
Kaspersky 7.0.0.125 2010.07.26 Exploit.Win32.CVE-2010-2568.d
McAfee 5.400.0.1158 2010.07.27 Exploit-CVE-2010-2568
McAfee-GW-Edition 2010.1 2010.07.27 -
Microsoft 1.6004 2010.07.26 Exploit:Win32/CplLnk.A
NOD32 5315 2010.07.26 LNK/Exploit.CVE-2010-2568
Norman 6.05.11 2010.07.26 -
nProtect 2010-07-26.02 2010.07.26 Exploit.CplLnk.Gen
Panda 10.0.2.7 2010.07.26 -
PCTools 7.0.3.5 2010.07.27 HeurEngine.MaliciousExploit
Prevx 3.0 2010.07.27 -
Rising 22.58.00.04 2010.07.26 -
Sophos 4.55.0 2010.07.26 Exp/Cplink-A
Sunbelt 6645 2010.07.27 -
Symantec 20101.1.1.7 2010.07.27 Bloodhound.Exploit.343
TheHacker 6.5.2.1.325 2010.07.27 -
TrendMicro 9.120.0.1004 2010.07.27 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.27 -
VBA32 3.12.12.6 2010.07.26 -
ViRobot 2010.7.26.3960 2010.07.26 -
VirusBuster 5.0.27.0 2010.07.26 Exploit.CplLnk.Gen
Additional information
File size: 202 bytes
MD5   : 07ffe46f8805babea25ddd7a4c54aafd

사용자 삽입 이미지



Posted by viruslab
신종악성코드정보2010.07.26 09:17


현재 변종이 다수 목격되고 있으니, 각별히 주의하셔야 겠습니다.

사용자 삽입 이미지

http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-072307-3024-99&tabid=2



http://www.virustotal.com/analisis/94cfd1a807b8662317019a0f70b26c6e52a4cc791ca2c85924d78223a5292995-1279884468


Antivirus Version Last Update Result
AhnLab-V3 2010.07.23.01 2010.07.23 -
AntiVir 8.2.4.26 2010.07.23 -
Antiy-AVL 2.0.3.7 2010.07.23 -
Authentium 5.2.0.5 2010.07.21 -
Avast 4.8.1351.0 2010.07.22 -
Avast5 5.0.332.0 2010.07.22 -
AVG 9.0.0.851 2010.07.23 -
BitDefender 7.2 2010.07.23 -
CAT-QuickHeal 11.00 2010.07.23 -
ClamAV 0.96.0.3-git 2010.07.23 -
Comodo 5517 2010.07.23 -
DrWeb 5.0.2.03300 2010.07.23 Win32.HLLW.Autoruner.25109
Emsisoft 5.0.0.34 2010.07.23 -
eSafe 7.0.17.0 2010.07.22 -
eTrust-Vet 36.1.7732 2010.07.23 -
F-Prot 4.6.1.107 2010.07.23 -
F-Secure 9.0.15370.0 2010.07.23 Worm:W32/Vobfus.BK
Fortinet 4.1.143.0 2010.07.23 -
GData 21 2010.07.23 -
Ikarus T3.1.1.84.0 2010.07.23 -
Jiangmin 13.0.900 2010.07.23 -
Kaspersky 7.0.0.125 2010.07.23 -
McAfee 5.400.0.1158 2010.07.23 -
McAfee-GW-Edition 2010.1 2010.07.23 -
Microsoft 1.6004 2010.07.23 Worm:Win32/Vobfus.H
NOD32 5304 2010.07.23 a variant of Win32/AutoRun.VB.RP
Norman 6.05.11 2010.07.23 W32/VBNA.BL
nProtect 2010-07-23.02 2010.07.23 Worm/W32.VBNA.113664
Panda 10.0.2.7 2010.07.23 -
PCTools 7.0.3.5 2010.07.23 Malware.Changeup
Prevx 3.0 2010.07.23 Medium Risk Malware
Rising 22.57.03.08 2010.07.23 -
Sophos 4.55.0 2010.07.23 -
Sunbelt 6624 2010.07.23 -
SUPERAntiSpyware 4.40.0.1006 2010.07.23 Trojan.Agent/Gen-CDesc[Gen]
Symantec 20101.1.1.7 2010.07.23 W32.Changeup.C
TheHacker 6.5.2.1.323 2010.07.23 -
TrendMicro 9.120.0.1004 2010.07.23 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.23 -
VBA32 3.12.12.6 2010.07.22 -
ViRobot 2010.7.23.3956 2010.07.23 -
VirusBuster 5.0.27.0 2010.07.22 Worm.VBNA.Gen.3
Additional information
File size: 113664 bytes
MD5   : 6ced6d777308dae13f416272a0afbf6c

Posted by viruslab