태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.07.23 16:40


Stuxnet 악성코드 정보 참고하기
lnk 바로가기 0 Day 취약점 악성코드 주의
viruslab.tistory.com

중국에서 LNK 취약점을 이용한 새로운 변종의 악성코드를 제작한 것으로 추정되며, 정확한 내용은 현재 분석이 진행 중입니다.

CVE-2010-2568
http://www.microsoft.com/technet/security/advisory/2286198.mspx
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2568
http://isc.sans.edu/diary.html?storyid=9229

마이크로 소프트사 윈도우 쉘 취약점 제거하는 임시 Fix it 툴 배포
http://support.microsoft.com/kb/2286198


사용자 삽입 이미지

악성코드가 작동되면 시스템 폴더에 "0927." 이라는 비정상적인 폴더를 생성합니다. 

폴더명에 마침표(.) 를 추가하여 폴더를 생성할 수 없지만 악성코드는 다음과 같이 만들고 일반적인 접근을 어렵게 만듭니다.


접근을 시도할 경우 다음과 같이 경고 창이 보여지며, 접근이 불가능합니다.


폴더명 변경도 불가능합니다.


GMER 제품으로는 내부에 .dll 이라는 Rootkit 이 포함된 것을 확인할 수 있습니다.


.dll 파일은 다음과 같은 등록 정보를 가지고 있습니다. 제품이름에 CHINA 00010908 이라는 문자열이 있네요.


nProtect Anti-Virus 치료 기능을 곧 제품에 탑재하여 제공할 예정입니다.

관련 정보 참고하시기 바랍니다.

악성코드 진단 현황
http://www.virustotal.com/analisis/1fccfe5e040d8951e2e43aa8127667e59c2ddbef7d9e1ae936f99016d978d4b8-1279865109

Antivirus Version Last Update Result
AhnLab-V3 2010.07.23.00 2010.07.23 -
AntiVir 8.2.4.26 2010.07.22 -
Antiy-AVL 2.0.3.7 2010.07.22 -
Authentium 5.2.0.5 2010.07.21 -
Avast 4.8.1351.0 2010.07.22 -
Avast5 5.0.332.0 2010.07.22 -
AVG 9.0.0.851 2010.07.23 -
BitDefender 7.2 2010.07.23 -
CAT-QuickHeal 11.00 2010.07.23 -
ClamAV 0.96.0.3-git 2010.07.23 -
Comodo 5514 2010.07.23 TrojWare.Win32.AntiAV.~G
DrWeb 5.0.2.03300 2010.07.23 -
Emsisoft 5.0.0.34 2010.07.23 -
eSafe 7.0.17.0 2010.07.22 -
eTrust-Vet 36.1.7731 2010.07.23 -
F-Prot 4.6.1.107 2010.07.23 -
F-Secure 9.0.15370.0 2010.07.23 Trojan-Dropper:W32/Agent.DKBW
Fortinet 4.1.143.0 2010.07.22 -
GData 21 2010.07.23 -
Ikarus T3.1.1.84.0 2010.07.23 -
Jiangmin 13.0.900 2010.07.23 -
Kaspersky 7.0.0.125 2010.07.23 -
McAfee 5.400.0.1158 2010.07.23 Artemis!9AFA135DED99
McAfee-GW-Edition 2010.1 2010.07.22 Heuristic.BehavesLike.Win32.CodeInjection.H
Microsoft 1.6004 2010.07.23 TrojanDownloader:Win32/Chymine.A
NOD32 5303 2010.07.22 Win32/Spy.Agent.NSO
Norman 6.05.11 2010.07.22 -
nProtect 2010-07-23.01 2010.07.23 -
Panda 10.0.2.7 2010.07.23 -
PCTools 7.0.3.5 2010.07.23 -
Prevx 3.0 2010.07.23 -
Rising 22.57.03.05 2010.07.23 -
Sophos 4.55.0 2010.07.22 -
Sunbelt 6624 2010.07.23 -
SUPERAntiSpyware 4.40.0.1006 2010.07.23 -
Symantec 20101.1.1.7 2010.07.23 -
TheHacker 6.5.2.1.323 2010.07.23 -
TrendMicro 9.120.0.1004 2010.07.23 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.23 -
VBA32 3.12.12.6 2010.07.22 -
ViRobot 2010.6.21.3896 2010.07.23 -
VirusBuster 5.0.27.0 2010.07.22 -
Additional information
File size: 142848 bytes
MD5   : 9afa135ded996b7e2512645166b00e10

생성된 .dll 파일은 현재 NOD32(ESET) 제품에서도 정상적으로 진단하고 있습니다.

http://www.virustotal.com/ko/analisis/36ecf3451902202aa7beb5b59c0807a8fc0632f2583cca5563b4bf169c74daec-1279867414

안티바이러스 엔진 버전 정의 날짜 검사 결과
AhnLab-V3 2010.07.23.00 2010.07.23 -
AntiVir 8.2.4.26 2010.07.22 -
Antiy-AVL 2.0.3.7 2010.07.23 -
Authentium 5.2.0.5 2010.07.21 -
Avast 4.8.1351.0 2010.07.22 -
Avast5 5.0.332.0 2010.07.22 -
AVG 9.0.0.851 2010.07.23 -
BitDefender 7.2 2010.07.23 -
CAT-QuickHeal 11.00 2010.07.23 -
ClamAV 0.96.0.3-git 2010.07.23 -
Comodo 5514 2010.07.23 TrojWare.Win32.Magania.~AAD
DrWeb 5.0.2.03300 2010.07.23 -
Emsisoft 5.0.0.34 2010.07.23 -
eSafe 7.0.17.0 2010.07.22 -
eTrust-Vet 36.1.7731 2010.07.23 -
F-Prot 4.6.1.107 2010.07.23 -
F-Secure 9.0.15370.0 2010.07.23 Trojan-Spy:W32/Agent.DKBX
Fortinet 4.1.143.0 2010.07.22 -
GData 21 2010.07.23 -
Ikarus T3.1.1.84.0 2010.07.23 -
Jiangmin 13.0.900 2010.07.23 -
Kaspersky 7.0.0.125 2010.07.23 -
McAfee 5.400.0.1158 2010.07.23 -
McAfee-GW-Edition 2010.1 2010.07.23 -
Microsoft 1.6004 2010.07.23 -
NOD32 5303 2010.07.22 Win32/Spy.Agent.NSO
Norman 6.05.11 2010.07.22 -
nProtect 2010-07-23.01 2010.07.23 -
Panda 10.0.2.7 2010.07.23 -
PCTools 7.0.3.5 2010.07.23 -
Prevx 3.0 2010.07.23 Medium Risk Malware
Rising 22.57.03.07 2010.07.23 -
Sophos 4.55.0 2010.07.23 -
Sunbelt 6624 2010.07.23 -
Symantec 20101.1.1.7 2010.07.23 -
TheHacker 6.5.2.1.323 2010.07.23 -
TrendMicro 9.120.0.1004 2010.07.23 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.23 -
VBA32 3.12.12.6 2010.07.22 -
ViRobot 2010.6.21.3896 2010.07.23 -
VirusBuster 5.0.27.0 2010.07.22 -
추가 정보
File size: 126464 bytes
MD5...: d18f8dd4663ffee6fc83c26a6e61ef9d

SttIbyko.exe 악성코드


http://www.virustotal.com/analisis/9cf9be5bf9934efd5c7599aa217f7c0a73ac30c63fecf520fb81d784c16a6e98-1279864777

Antivirus Version Last Update Result
AhnLab-V3 2010.07.23.00 2010.07.23 -
AntiVir 8.2.4.26 2010.07.22 -
Antiy-AVL 2.0.3.7 2010.07.22 -
Authentium 5.2.0.5 2010.07.21 -
Avast 4.8.1351.0 2010.07.22 -
Avast5 5.0.332.0 2010.07.22 -
AVG 9.0.0.851 2010.07.23 -
BitDefender 7.2 2010.07.23 -
CAT-QuickHeal 11.00 2010.07.23 -
ClamAV 0.96.0.3-git 2010.07.23 -
Comodo 5514 2010.07.23 -
DrWeb 5.0.2.03300 2010.07.23 Win32.HLLW.Autoruner.25109
Emsisoft 5.0.0.34 2010.07.23 -
eSafe 7.0.17.0 2010.07.22 -
eTrust-Vet 36.1.7731 2010.07.23 -
F-Prot 4.6.1.107 2010.07.23 -
F-Secure 9.0.15370.0 2010.07.23 Worm:W32/Vobfus.BJ
Fortinet 4.1.143.0 2010.07.22 -
GData 21 2010.07.23 -
Ikarus T3.1.1.84.0 2010.07.23 -
Jiangmin 13.0.900 2010.07.23 -
Kaspersky 7.0.0.125 2010.07.23 Worm.Win32.VBNA.akzw
McAfee 5.400.0.1158 2010.07.23 Artemis!1669696567D2
McAfee-GW-Edition 2010.1 2010.07.22 Artemis!1669696567D2
Microsoft 1.6004 2010.07.23 Worm:Win32/Vobfus.H
NOD32 5303 2010.07.22 Win32/AutoRun.VB.RP
Norman 6.05.11 2010.07.22 W32/VBNA.BL
nProtect 2010-07-23.01 2010.07.23 -
Panda 10.0.2.7 2010.07.23 Trj/CI.A
PCTools 7.0.3.5 2010.07.23 -
Prevx 3.0 2010.07.23 Medium Risk Malware
Rising 22.57.03.05 2010.07.23 -
Sophos 4.55.0 2010.07.22 -
Sunbelt 6624 2010.07.23 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.07.23 -
Symantec 20101.1.1.7 2010.07.23 -
TheHacker 6.5.2.1.323 2010.07.23 -
TrendMicro 9.120.0.1004 2010.07.23 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.23 -
VBA32 3.12.12.6 2010.07.22 -
ViRobot 2010.6.21.3896 2010.07.23 -
VirusBuster 5.0.27.0 2010.07.22 Worm.VBNA.Gen.3
Additional information
File size: 113664 bytes
MD5   : 1669696567d21ff756052a90e526cba3



Posted by viruslab