태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'Sality'에 해당되는 글 1건

  1. 2010.07.29 Lnk 취약점을 이용하는 Sality 바이러스 대응 현황
신종악성코드정보2010.07.29 10:06


Lnk 취약점 Sality 바이러스 관련 정보
Sality 바이러스 국내 감염 보고
viruslab.tistory.com

Lnk 취약점을 이용해서 전파 중인 Sality 파일 바이러스가 이미 국내에 상륙해서 전파가 진행 중인 것으로 보고되고 있습니다.

해당 바이러스에 감염되면 아래와 같이 C:\ 등 각 시스템 로컬 디스크 등에 Autorun.inf 파일과 임의 파일명을 가진 실행파일(EXE, PIF) 등이 "숨김 속성"으로 생성됩니다.

USB 이동 디스크 등이 있다면 루트 경로에 아래와 같은 악성코드가 함께 생성(감염) 됩니다.

악성코드가 폴더 옵션을 강제로 수정하여, 숨김 속성 파일을 보이지 않도록 변경하며, 아래 화면은 강제로 폴더 옵션을 해제한 후 캡처한 화면입니다.

사용자 삽입 이미지

autorun.inf 파일은 로컬 드라이브에 접근 시 자동으로 실행되도록 하는 역할을 해주고, 아래와 화면과 같이 동일 경로에 존재하는 khhqh.pif 실행 파일을 자동으로 오픈하게 됩니다.

사용자 삽입 이미지

또한, autorun.inf 파일에 의해서 로컬 디스크에서 오른쪽 마우스 메뉴를 열어보면 Autoplay 라는 메뉴가 추가된 것을 확인할 수 있습니다.

사용자 삽입 이미지

khhqh.pif 파일은 다음과 같이 103,140 바이트로 고정적인 것을 생성합니다.

http://www.virustotal.com/analisis/8d9bb65b0365800a214b785197238882bdafa21055eb270173bf17a3648153a6-1280362716

사용자 삽입 이미지

이후에 컴퓨터에 존재하는 정상 실행 파일을 감염시키는 작동 등을 수행하며, Temp 폴더에 감염될 때마다 임의의 파일명으로 또 다른 악성코드 들을 다수 생성합니다.

사용자 삽입 이미지

oqpd.exe
http://www.virustotal.com/analisis/399c426ab74b6db73e1c61c06bd5b38d2253e50178e3b663716085cedc454f5c-1280305571

sfviaf.exe
http://www.virustotal.com/analisis/c8c52a5d8fa03ec033be8e530defa37bb38d1182ee2daf5015437d40fea12854-1280325016

winaeru.exe
http://www.virustotal.com/analisis/bbf4b768882b90df971be1d46611229bcfd0507efce0b0ab363da24306880dd3-1280325097

현재 감염된 정상 파일의 바이러스 토탈 진단 현황은 다음과 같습니다.
nProtect Anti-Virus 엔진에 감염된 바이러스를 치료할 수 있도록 긴급 대응 중입니다.

http://www.virustotal.com/analisis/7a16f90b7f32652e6ddcb6da6cf3bd431052d33b6ebea5367bc4da9bf3e757ef-1280364708


안티바이러스 엔진 버전 정의 날짜 검사 결과
AhnLab-V3 2010.07.29.00 2010.07.28 -
AntiVir 8.2.4.26 2010.07.28 W32/Sality.AT
Antiy-AVL 2.0.3.7 2010.07.28 -
Authentium 5.2.0.5 2010.07.28 W32/Virut.AI!Generic
Avast 4.8.1351.0 2010.07.28 Win32:Sality
Avast5 5.0.332.0 2010.07.28 Win32:FileInfector-A
AVG 9.0.0.851 2010.07.28 Win32/Heur
BitDefender 7.2 2010.07.29 DeepScan:Generic.Sality.3.95EA7762
CAT-QuickHeal 11.00 2010.07.28 W32.Sality.U
ClamAV 0.96.0.3-git 2010.07.29 -
Comodo 5574 2010.07.29 -
DrWeb 5.0.2.03300 2010.07.28 Win32.Sector.21
Emsisoft 5.0.0.34 2010.07.28 Virus.Win32.Sality!IK
eSafe 7.0.17.0 2010.07.27 -
eTrust-Vet 36.1.7745 2010.07.28 Win32/Sality.AA
F-Prot 4.6.1.107 2010.07.28 W32/Virut.AI!Generic
F-Secure 9.0.15370.0 2010.07.29 DeepScan:Generic.Sality.3.95EA7762
Fortinet 4.1.143.0 2010.07.28 -
GData 21 2010.07.29 DeepScan:Generic.Sality.3.95EA7762
Ikarus T3.1.1.84.0 2010.07.29 Virus.Win32.Sality
Jiangmin 13.0.900 2010.07.28 Win32/HLLP.Kuku.Gen
Kaspersky 7.0.0.125 2010.07.28 -
McAfee 5.400.0.1158 2010.07.29 W32/Sality.gen.e
McAfee-GW-Edition 2010.1 2010.07.28 Heuristic.LooksLike.Win32.Suspicious.J!83
Microsoft 1.6004 2010.07.28 Virus:Win32/Sality.AU
NOD32 5321 2010.07.28 Win32/Sality.NBA
Norman 6.05.11 2010.07.28 W32/Sality.BD
nProtect 2010-07-28.02 2010.07.28 -
Panda 10.0.2.7 2010.07.28 W32/Sality.AA
PCTools 7.0.3.5 2010.07.29 Malware.Sality
Prevx 3.0 2010.07.29 -
Rising 22.58.02.04 2010.07.28 Win32.KUKU.kq
Sophos 4.55.0 2010.07.29 Mal/Sality-D
Sunbelt 6655 2010.07.28 Virus.Win32.Sality.at (v)
SUPERAntiSpyware 4.40.0.1006 2010.07.29 -
Symantec 20101.1.1.7 2010.07.29 W32.Sality.AE
TheHacker 6.5.2.1.326 2010.07.27 -
TrendMicro 9.120.0.1004 2010.07.27 PE_SALITY.BA
TrendMicro-HouseCall 9.120.0.1004 2010.07.29 PE_SALITY.BA
VBA32 3.12.12.6 2010.07.28 Malware-Cryptor.Win32.Nukakby
ViRobot 2010.7.28.3960 2010.07.28 -
VirusBuster 5.0.27.0 2010.07.28 Win32.Sality.BK
추가 정보
File size: 151552 bytes
MD5...: 337171fc1e2a99dfd1992955dacbc766



Posted by viruslab