태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.07.06 11:12


W32.Wapomi.B

http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-070508-5150-99&tabid=2

QVOD 설치본을 통해서 배포되고 있는 것으로 보여집니다.

http://www.virustotal.com/analisis/e7b49ab81e761601a57f60fcf5de5fdbad76450d76b27f3ed9800e20dbc0ac48-1278335028

사용자 삽입 이미지

Antivirus Version Last Update Result
a-squared 5.0.0.31 2010.07.05 Virus.Win32.Jadtre!IK
AhnLab-V3 2010.07.03.00 2010.07.03 -
AntiVir 8.2.4.2 2010.07.05 SPR/Tool.Jadtre.B
Antiy-AVL 2.0.3.7 2010.07.02 Trojan/Win32.Agent.gen
Authentium 5.2.0.5 2010.07.04 -
Avast 4.8.1351.0 2010.07.05 Win32:Jadtre-C
Avast5 5.0.332.0 2010.07.05 Win32:Jadtre-C
AVG 9.0.0.836 2010.07.05 Worm/Generic.BJWI
BitDefender 7.2 2010.07.05 Trojan.Generic.4203441
CAT-QuickHeal 11.00 2010.06.30 Worm.Qvod.pi
ClamAV 0.96.0.3-git 2010.07.05 -
Comodo 5326 2010.07.05 -
DrWeb 5.0.2.03300 2010.07.05 -
eSafe 7.0.17.0 2010.07.05 -
eTrust-Vet 36.1.7687 2010.07.05 Win32/Wapomi.A
F-Prot 4.6.1.107 2010.07.04 -
F-Secure 9.0.15370.0 2010.07.05 Trojan.Generic.4203441
Fortinet 4.1.133.0 2010.07.04 -
GData 21 2010.07.05 Trojan.Generic.4203441
Ikarus T3.1.1.84.0 2010.07.05 Virus.Win32.Jadtre
Jiangmin 13.0.900 2010.07.03 Worm/Generic.um
Kaspersky 7.0.0.125 2010.07.05 -
McAfee 5.400.0.1158 2010.07.05 Artemis!48906F733A6A
McAfee-GW-Edition 2010.1 2010.07.05 Artemis!48906F733A6A
Microsoft 1.5902 2010.07.03 Virus:Win32/Jadtre.gen!A
NOD32 5252 2010.07.05 a variant of Win32/Wapomi.C
Norman 6.05.10 2010.07.05 -
nProtect 2010-07-05.01 2010.07.05 Trojan.Generic.4203441
Panda 10.0.2.7 2010.07.04 Suspicious file
PCTools 7.0.3.5 2010.07.05 Malware.Jadtre
Prevx 3.0 2010.07.05 High Risk Cloaked Malware
Rising 22.55.00.04 2010.07.05 Trojan.Win32.Generic.520858D1
Sophos 4.54.0 2010.07.05 Mal/Emogen-Y
Sunbelt 6545 2010.07.05 -
Symantec 20101.1.0.89 2010.07.05 W32.Wapomi.B
TheHacker 6.5.2.1.308 2010.07.05 -
TrendMicro 9.120.0.1004 2010.07.05 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.05 HKTL_JADTRE
VBA32 3.12.12.5 2010.07.05 Worm.Win32.Qvod.tz
ViRobot 2010.6.29.3912 2010.07.05 -
VirusBuster 5.0.27.0 2010.07.05 -


Posted by viruslab
보안관련소식2010.06.15 14:19


소셜네트워크 서비스 겨냥한 스팸 공격 증가세
- 5월 전체 메일 가운데 89.81%가 스팸 메일
- 사용자간 신뢰도가 높은 소셜네트워크 서비스를 악용한 스팸 공격 급증

symantec.com

사실 트위터, 페이스북 등을 통한 Spam Mail, 악성코드 유포 등이 어제 오늘 일은 아니죠!



사용자 삽입 이미지

시만텍(www.symantec.com)이 2010년 5월 한 달 동안 전세계 스팸 및 피싱 동향을 조사 분석한 ‘시만텍 월간 스팸 및 피싱 현황 보고서’ 6월호를 통해 소셜네트워크 서비스 (Social Network Service)를 노린 스팸 공격이 급증하고 있어 사용자들의 주의가 요구된다고 밝혔다.

현재 전세계적으로 4억 명의 사용자를 확보하고 있는 SNS는 기업과 기업, 사람과 사람이 사회화돼 서로 정보를 교환하고, 새로운 가치를 창조하면서 기존의 물리적인 시간과 공간, 관계의 경계를 허무는 메가 트렌드로 자리잡았다.

하지만 이러한 속성으로 인해 SNS는 사이버 범죄자들에게 강력한 공격 매개체로 인기를 끌고 있다. SNS를 통해 손쉽게 악성 코드나 악성 링크를 퍼뜨릴 수 있으며, 다양한 피싱 공격도 가능하다. 이는 SNS가 온라인 범죄활동에 가장 좋은 표적이 되는 사용자 수와 사용자간의 높은 신뢰도 등 두 가지 요건을 모두 충족하기 때문이다.

예를 들어, 스팸 공격자들이 SNS 웹사이트에서 발송하는 메시지와 유사한 스팸 메시지를 만들어 전송하게 되면 대부분의 사용자들은 별다른 의심없이 메시지 상의 URL 링크를 클릭해 공격자들이 만들어 놓은 악의적인 웹사이트를 방문하게 된다.

이 같은 방법으로 스팸 공격자들은 URL 평판에 기반한 필터링 방식을 우회할 수 있으며, 악용된 도메인에 위치한 HTML 파일을 스팸 컨텐츠를 전송하는 수단으로 이용할 수도 있다. 또한 친구, 지인 간의 친밀한 인간관계로 이어지는 SNS의 특성상 사용자들의 스팸 메시지에 대한 의심이 다소 느슨하다는 점 역시 스팸 증가의 주요 원인으로 분석된다.

시만텍이 파악한 SNS에 대한 스팸 공격자들의 공격 유형은 다음과 같다.

- 가짜 초대: SNS의 인지도를 이용, 가짜 초청장을 개발해 사용자들에게 메시지를 발송, 악의적인 스팸 웹사이트로 유도

- 계정 통합: 알림 메시지를 사칭해 사용자에게 계정 통합을 내세워 개인 정보 탈취

- 사진 관련 댓글: 합법적인 SNS 웹사이트의 사진 관련 댓글 알림창을 만들어 사용자에게 전송하고 메시지 상의 URL 링크를 클릭해 스팸 웹사이트로 이동하도록 유도

- 애플리케이션 정보: SNS 웹사이트에서 제공되는 인기게임 등의 정보를 알려준다고 위장

- 악성코드 유포: 악성코드를 퍼뜨리기 위한 다양한 스팸 메시지 등장. 일례로 SNS 툴바 다운로드 안내 메시지로 가장한 트로이목마 바이러스가 탐지되기도 함

- 개인 사생활보호: 개인 사생활보호를 위해 개인정보 관리 실태에 대한 조사가 필요하다고 속이며 개인정보 요구

- 가짜 설문조사: SNS 사용자 대상 설문조사로 위장한 메시지를 통해 사용자들에게 개인 정보 공유를 요청하거나 스팸 웹사이트로의 방문을 유도

이처럼 SNS 사용자를 겨냥한 스팸 피해를 예방하기 위해 시만텍은 이메일 정보를 요구하는 웹사이트는 먼저 신뢰할 만한 곳인지 체크해야 하며, 의심가는 이메일이나 인터넷 메신저 상의 링크는 직접 클릭하지 말 것을 당부했다. 또한 업데이트를 통해 운영체제를 항상 최신 상태로 유지하고, 개인정보나 금융관련 정보, 또는 비밀번호를 묻는 이메일에는 절대 응하지 말아야 한다고 조언했다. 

 

Posted by viruslab
보안관련소식2009.07.03 13:43


노턴 안티 바이러스가 메인 UI가 많이 변경되었네요^^

http://www.symantec.com/norton/beta/

사용자 삽입 이미지
사용자 삽입 이미지


Posted by viruslab
악성코드자료2009.06.05 14:34


http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_downadup_codex_ed2.pdf


사용자 삽입 이미지

It seems that the Downadup family of worms is gone but not forgotten. Or is it the other way around?

Media attention for Downadup has waned since early April. The last variant of the threat, W32.Downadup.E, included a “self-destruct sequence” effectively deleting itself as of May 3, 2009. Has the death toll for Downadup chimed, effectively moving it to the historical annals of malicious code?

Not in the least—Downadup is still very much alive and kicking around out there. While the threat is no longer spreading with the same fervor as it did at the beginning of the year, its infection numbers are not falling off as you would expect if we were looking at the cleanup period of a has-been threat. Let’s take a look at some rough data that we’ve collected here in Security Response.

This data represents the number of new Downadup infections reported to our sensors per day. We’ve started from May 3, the day W32.Downadup.E removed itself from the computers it compromised and the last high-profile activity by the threat.  Notice that while there is a slight decline over the month, the numbers remain quite steady.

The point here is that Downadup is just as relevant today as it was during the peak of media attention. With that in mind, we have compiled another edition of The Downadup Codex. Once again, it compiles the blog entries that we have written, including eight new ones. We’ve also updated the historical introduction to bring us up-to-date. Finally, we’ve added two new appendices to the codex, one that details the various features of each variant, and one that offers advice on how to find Downadup infections.

While possibly forgotten, but not gone, Downadup still needs attention in order to be properly moved from today’s threat landscape to the annals of malicious code. With that in mind, we present The Downadup Codex, Edition 2.0.

Posted by viruslab
신종악성코드정보2009.05.26 16:52


http://www.virustotal.com/analisis/900e9b9a34e34673f982417a9f7480cdbf064d9d2d0eb66573441f0fba1e2fe8-1243320548

사용자 삽입 이미지

바이러스 토탈 PEiD 에서는 Armadillo v1.71 Packing 으로 보여주고 있다.

스타크래프트 실행 파일(starcraft.exe)이 중국 사용자에 의해서 바이러스 토탈에 감염된 파일이 등록되었으며, 다른 파일들도 다수 확보되었다.

중국에서 제작되어 유포된 것으로 추정되고 있다.
현재 시만텍과 마이크로 소프트사에서 Simouk 라는 정식 진단명으로 탐지하고 있다.

File starcraft.EXE- received on 2009.05.26 06:49:08 (UTC)
Current status: finished
Result: 9/40 (22.50%)
 
Antivirus Version Last Update Result
a-squared 4.0.0.101 2009.05.26 -
AhnLab-V3 5.0.0.2 2009.05.26 -
AntiVir 7.9.0.168 2009.05.25 -
Antiy-AVL 2.0.3.1 2009.05.25 -
Authentium 5.1.2.4 2009.05.25 -
Avast 4.8.1335.0 2009.05.25 -
AVG 8.5.0.339 2009.05.25 Crypt.EGD
BitDefender 7.2 2009.05.26 -
CAT-QuickHeal 10.00 2009.05.26 W32.Lamer.gen
ClamAV 0.94.1 2009.05.26 -
Comodo 1199 2009.05.25 -
DrWeb 5.0.0.12182 2009.05.26 -
eSafe 7.0.17.0 2009.05.24 Win32.TrojanDropper
eTrust-Vet 31.6.6521 2009.05.25 -
F-Prot 4.4.4.56 2009.05.25 -
F-Secure 8.0.14470.0 2009.05.26 -
Fortinet 3.117.0.0 2009.05.26 -
GData 19 2009.05.26 -
Ikarus T3.1.1.49.0 2009.05.26 -
K7AntiVirus 7.10.744 2009.05.25 -
Kaspersky 7.0.0.125 2009.05.26 Trojan-Downloader.Win32.Agent.caik
McAfee 5626 2009.05.25 -
McAfee+Artemis 5626 2009.05.25 Artemis!0AFC77ED5B74
McAfee-GW-Edition 6.7.6 2009.05.25 -
Microsoft 1.4701 2009.05.26 Virus:Win32/Simouk.A
NOD32 4103 2009.05.25 a variant of Win32/TrojanDropper.Agent.NYN
Norman 6.01.05 2009.05.25 -
nProtect 2009.1.8.0 2009.05.26 -
Panda 10.0.0.14 2009.05.25 -
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.26 Medium Risk Malware
Rising 21.31.10.00 2009.05.26 -
Sophos 4.42.0 2009.05.26 -
Sunbelt 3.2.1858.2 2009.05.25 -
Symantec 1.4.4.12 2009.05.26 W32.Simouk
TheHacker 6.3.4.3.331 2009.05.25 -
TrendMicro 8.950.0.1092 2009.05.26 -
VBA32 3.12.10.6 2009.05.26 -
ViRobot 2009.5.26.1752 2009.05.26 -
VirusBuster 4.6.5.0 2009.05.25 -
Additional information
File size: 1064960 bytes
MD5   : 0afc77ed5b7434d3156b306198a2f8e4
SHA1  : 1faba27772e8e7f6f13434d097cabc67e371842b
SHA256: 900e9b9a34e34673f982417a9f7480cdbf064d9d2d0eb66573441f0fba1e2fe8

Posted by viruslab