Stuxnet 악성코드 정보 참고하기
lnk 바로가기 0 Day 취약점 악성코드 주의
viruslab.tistory.com
중국에서 LNK 취약점을 이용한 새로운 변종의 악성코드를 제작한 것으로 추정되며, 정확한 내용은 현재 분석이 진행 중입니다.
CVE-2010-2568
http://www.microsoft.com/technet/security/advisory/2286198.mspx
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2568
http://isc.sans.edu/diary.html?storyid=9229
마이크로 소프트사 윈도우 쉘 취약점 제거하는 임시 Fix it 툴 배포
http://support.microsoft.com/kb/2286198

악성코드가 작동되면 시스템 폴더에 "0927." 이라는 비정상적인 폴더를 생성합니다.
폴더명에 마침표(.) 를 추가하여 폴더를 생성할 수 없지만 악성코드는 다음과 같이 만들고 일반적인 접근을 어렵게 만듭니다.

접근을 시도할 경우 다음과 같이 경고 창이 보여지며, 접근이 불가능합니다.

폴더명 변경도 불가능합니다.

GMER 제품으로는 내부에 .dll 이라는 Rootkit 이 포함된 것을 확인할 수 있습니다.

.dll 파일은 다음과 같은 등록 정보를 가지고 있습니다. 제품이름에 CHINA 00010908 이라는 문자열이 있네요.

nProtect Anti-Virus 치료 기능을 곧 제품에 탑재하여 제공할 예정입니다.
관련 정보 참고하시기 바랍니다.
악성코드 진단 현황
http://www.virustotal.com/analisis/1fccfe5e040d8951e2e43aa8127667e59c2ddbef7d9e1ae936f99016d978d4b8-1279865109
생성된 .dll 파일은 현재 NOD32(ESET) 제품에서도 정상적으로 진단하고 있습니다.
http://www.virustotal.com/ko/analisis/36ecf3451902202aa7beb5b59c0807a8fc0632f2583cca5563b4bf169c74daec-1279867414
SttIbyko.exe 악성코드

http://www.virustotal.com/analisis/9cf9be5bf9934efd5c7599aa217f7c0a73ac30c63fecf520fb81d784c16a6e98-1279864777
lnk 바로가기 0 Day 취약점 악성코드 주의
viruslab.tistory.com
중국에서 LNK 취약점을 이용한 새로운 변종의 악성코드를 제작한 것으로 추정되며, 정확한 내용은 현재 분석이 진행 중입니다.
CVE-2010-2568
http://www.microsoft.com/technet/security/advisory/2286198.mspx
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2568
http://isc.sans.edu/diary.html?storyid=9229
마이크로 소프트사 윈도우 쉘 취약점 제거하는 임시 Fix it 툴 배포
http://support.microsoft.com/kb/2286198
악성코드가 작동되면 시스템 폴더에 "0927." 이라는 비정상적인 폴더를 생성합니다.
폴더명에 마침표(.) 를 추가하여 폴더를 생성할 수 없지만 악성코드는 다음과 같이 만들고 일반적인 접근을 어렵게 만듭니다.
접근을 시도할 경우 다음과 같이 경고 창이 보여지며, 접근이 불가능합니다.
폴더명 변경도 불가능합니다.
GMER 제품으로는 내부에 .dll 이라는 Rootkit 이 포함된 것을 확인할 수 있습니다.
.dll 파일은 다음과 같은 등록 정보를 가지고 있습니다. 제품이름에 CHINA 00010908 이라는 문자열이 있네요.
nProtect Anti-Virus 치료 기능을 곧 제품에 탑재하여 제공할 예정입니다.
관련 정보 참고하시기 바랍니다.
악성코드 진단 현황
http://www.virustotal.com/analisis/1fccfe5e040d8951e2e43aa8127667e59c2ddbef7d9e1ae936f99016d978d4b8-1279865109
Antivirus | Version | Last Update | Result |
---|---|---|---|
AhnLab-V3 | 2010.07.23.00 | 2010.07.23 | - |
AntiVir | 8.2.4.26 | 2010.07.22 | - |
Antiy-AVL | 2.0.3.7 | 2010.07.22 | - |
Authentium | 5.2.0.5 | 2010.07.21 | - |
Avast | 4.8.1351.0 | 2010.07.22 | - |
Avast5 | 5.0.332.0 | 2010.07.22 | - |
AVG | 9.0.0.851 | 2010.07.23 | - |
BitDefender | 7.2 | 2010.07.23 | - |
CAT-QuickHeal | 11.00 | 2010.07.23 | - |
ClamAV | 0.96.0.3-git | 2010.07.23 | - |
Comodo | 5514 | 2010.07.23 | TrojWare.Win32.AntiAV.~G |
DrWeb | 5.0.2.03300 | 2010.07.23 | - |
Emsisoft | 5.0.0.34 | 2010.07.23 | - |
eSafe | 7.0.17.0 | 2010.07.22 | - |
eTrust-Vet | 36.1.7731 | 2010.07.23 | - |
F-Prot | 4.6.1.107 | 2010.07.23 | - |
F-Secure | 9.0.15370.0 | 2010.07.23 | Trojan-Dropper:W32/Agent.DKBW |
Fortinet | 4.1.143.0 | 2010.07.22 | - |
GData | 21 | 2010.07.23 | - |
Ikarus | T3.1.1.84.0 | 2010.07.23 | - |
Jiangmin | 13.0.900 | 2010.07.23 | - |
Kaspersky | 7.0.0.125 | 2010.07.23 | - |
McAfee | 5.400.0.1158 | 2010.07.23 | Artemis!9AFA135DED99 |
McAfee-GW-Edition | 2010.1 | 2010.07.22 | Heuristic.BehavesLike.Win32.CodeInjection.H |
Microsoft | 1.6004 | 2010.07.23 | TrojanDownloader:Win32/Chymine.A |
NOD32 | 5303 | 2010.07.22 | Win32/Spy.Agent.NSO |
Norman | 6.05.11 | 2010.07.22 | - |
nProtect | 2010-07-23.01 | 2010.07.23 | - |
Panda | 10.0.2.7 | 2010.07.23 | - |
PCTools | 7.0.3.5 | 2010.07.23 | - |
Prevx | 3.0 | 2010.07.23 | - |
Rising | 22.57.03.05 | 2010.07.23 | - |
Sophos | 4.55.0 | 2010.07.22 | - |
Sunbelt | 6624 | 2010.07.23 | - |
SUPERAntiSpyware | 4.40.0.1006 | 2010.07.23 | - |
Symantec | 20101.1.1.7 | 2010.07.23 | - |
TheHacker | 6.5.2.1.323 | 2010.07.23 | - |
TrendMicro | 9.120.0.1004 | 2010.07.23 | - |
TrendMicro-HouseCall | 9.120.0.1004 | 2010.07.23 | - |
VBA32 | 3.12.12.6 | 2010.07.22 | - |
ViRobot | 2010.6.21.3896 | 2010.07.23 | - |
VirusBuster | 5.0.27.0 | 2010.07.22 | - |
Additional information |
---|
File size: 142848 bytes |
MD5 : 9afa135ded996b7e2512645166b00e10 |
생성된 .dll 파일은 현재 NOD32(ESET) 제품에서도 정상적으로 진단하고 있습니다.
http://www.virustotal.com/ko/analisis/36ecf3451902202aa7beb5b59c0807a8fc0632f2583cca5563b4bf169c74daec-1279867414
안티바이러스 | 엔진 버전 | 정의 날짜 | 검사 결과 |
---|---|---|---|
AhnLab-V3 | 2010.07.23.00 | 2010.07.23 | - |
AntiVir | 8.2.4.26 | 2010.07.22 | - |
Antiy-AVL | 2.0.3.7 | 2010.07.23 | - |
Authentium | 5.2.0.5 | 2010.07.21 | - |
Avast | 4.8.1351.0 | 2010.07.22 | - |
Avast5 | 5.0.332.0 | 2010.07.22 | - |
AVG | 9.0.0.851 | 2010.07.23 | - |
BitDefender | 7.2 | 2010.07.23 | - |
CAT-QuickHeal | 11.00 | 2010.07.23 | - |
ClamAV | 0.96.0.3-git | 2010.07.23 | - |
Comodo | 5514 | 2010.07.23 | TrojWare.Win32.Magania.~AAD |
DrWeb | 5.0.2.03300 | 2010.07.23 | - |
Emsisoft | 5.0.0.34 | 2010.07.23 | - |
eSafe | 7.0.17.0 | 2010.07.22 | - |
eTrust-Vet | 36.1.7731 | 2010.07.23 | - |
F-Prot | 4.6.1.107 | 2010.07.23 | - |
F-Secure | 9.0.15370.0 | 2010.07.23 | Trojan-Spy:W32/Agent.DKBX |
Fortinet | 4.1.143.0 | 2010.07.22 | - |
GData | 21 | 2010.07.23 | - |
Ikarus | T3.1.1.84.0 | 2010.07.23 | - |
Jiangmin | 13.0.900 | 2010.07.23 | - |
Kaspersky | 7.0.0.125 | 2010.07.23 | - |
McAfee | 5.400.0.1158 | 2010.07.23 | - |
McAfee-GW-Edition | 2010.1 | 2010.07.23 | - |
Microsoft | 1.6004 | 2010.07.23 | - |
NOD32 | 5303 | 2010.07.22 | Win32/Spy.Agent.NSO |
Norman | 6.05.11 | 2010.07.22 | - |
nProtect | 2010-07-23.01 | 2010.07.23 | - |
Panda | 10.0.2.7 | 2010.07.23 | - |
PCTools | 7.0.3.5 | 2010.07.23 | - |
Prevx | 3.0 | 2010.07.23 | Medium Risk Malware |
Rising | 22.57.03.07 | 2010.07.23 | - |
Sophos | 4.55.0 | 2010.07.23 | - |
Sunbelt | 6624 | 2010.07.23 | - |
Symantec | 20101.1.1.7 | 2010.07.23 | - |
TheHacker | 6.5.2.1.323 | 2010.07.23 | - |
TrendMicro | 9.120.0.1004 | 2010.07.23 | - |
TrendMicro-HouseCall | 9.120.0.1004 | 2010.07.23 | - |
VBA32 | 3.12.12.6 | 2010.07.22 | - |
ViRobot | 2010.6.21.3896 | 2010.07.23 | - |
VirusBuster | 5.0.27.0 | 2010.07.22 | - |
추가 정보 |
---|
File size: 126464 bytes |
MD5...: d18f8dd4663ffee6fc83c26a6e61ef9d |
SttIbyko.exe 악성코드
http://www.virustotal.com/analisis/9cf9be5bf9934efd5c7599aa217f7c0a73ac30c63fecf520fb81d784c16a6e98-1279864777
Antivirus | Version | Last Update | Result |
---|---|---|---|
AhnLab-V3 | 2010.07.23.00 | 2010.07.23 | - |
AntiVir | 8.2.4.26 | 2010.07.22 | - |
Antiy-AVL | 2.0.3.7 | 2010.07.22 | - |
Authentium | 5.2.0.5 | 2010.07.21 | - |
Avast | 4.8.1351.0 | 2010.07.22 | - |
Avast5 | 5.0.332.0 | 2010.07.22 | - |
AVG | 9.0.0.851 | 2010.07.23 | - |
BitDefender | 7.2 | 2010.07.23 | - |
CAT-QuickHeal | 11.00 | 2010.07.23 | - |
ClamAV | 0.96.0.3-git | 2010.07.23 | - |
Comodo | 5514 | 2010.07.23 | - |
DrWeb | 5.0.2.03300 | 2010.07.23 | Win32.HLLW.Autoruner.25109 |
Emsisoft | 5.0.0.34 | 2010.07.23 | - |
eSafe | 7.0.17.0 | 2010.07.22 | - |
eTrust-Vet | 36.1.7731 | 2010.07.23 | - |
F-Prot | 4.6.1.107 | 2010.07.23 | - |
F-Secure | 9.0.15370.0 | 2010.07.23 | Worm:W32/Vobfus.BJ |
Fortinet | 4.1.143.0 | 2010.07.22 | - |
GData | 21 | 2010.07.23 | - |
Ikarus | T3.1.1.84.0 | 2010.07.23 | - |
Jiangmin | 13.0.900 | 2010.07.23 | - |
Kaspersky | 7.0.0.125 | 2010.07.23 | Worm.Win32.VBNA.akzw |
McAfee | 5.400.0.1158 | 2010.07.23 | Artemis!1669696567D2 |
McAfee-GW-Edition | 2010.1 | 2010.07.22 | Artemis!1669696567D2 |
Microsoft | 1.6004 | 2010.07.23 | Worm:Win32/Vobfus.H |
NOD32 | 5303 | 2010.07.22 | Win32/AutoRun.VB.RP |
Norman | 6.05.11 | 2010.07.22 | W32/VBNA.BL |
nProtect | 2010-07-23.01 | 2010.07.23 | - |
Panda | 10.0.2.7 | 2010.07.23 | Trj/CI.A |
PCTools | 7.0.3.5 | 2010.07.23 | - |
Prevx | 3.0 | 2010.07.23 | Medium Risk Malware |
Rising | 22.57.03.05 | 2010.07.23 | - |
Sophos | 4.55.0 | 2010.07.22 | - |
Sunbelt | 6624 | 2010.07.23 | Trojan.Win32.Generic!BT |
SUPERAntiSpyware | 4.40.0.1006 | 2010.07.23 | - |
Symantec | 20101.1.1.7 | 2010.07.23 | - |
TheHacker | 6.5.2.1.323 | 2010.07.23 | - |
TrendMicro | 9.120.0.1004 | 2010.07.23 | - |
TrendMicro-HouseCall | 9.120.0.1004 | 2010.07.23 | - |
VBA32 | 3.12.12.6 | 2010.07.22 | - |
ViRobot | 2010.6.21.3896 | 2010.07.23 | - |
VirusBuster | 5.0.27.0 | 2010.07.22 | Worm.VBNA.Gen.3 |
Additional information |
---|
File size: 113664 bytes |
MD5 : 1669696567d21ff756052a90e526cba3 |
댓글을 달아 주세요
엇.. 형님들이 또 만드셨나 보네요.. 흐미..
2010.07.23 15:34 신고 [ ADDR : EDIT/ DEL : REPLY ]Rootkit 기능은 기본 탑재지요.
2010.07.23 16:35 신고 [ ADDR : EDIT/ DEL ]우왕.. 신기하군요..
2010.07.23 17:25 신고 [ ADDR : EDIT/ DEL : REPLY ]이렇게도 만들다니.. =_=;;
여태 저렇게 비정상 폴더를 생성하는 악성코드가 있었나요?;
아님 제가 몰랐던건가요 ㅠㅠ
완전 새로운 건 아니고요.
2010.07.23 17:29 신고 [ ADDR : EDIT/ DEL ]아주 오래전에 발견된 이러한 방식이 있지요.
http://viruslab.tistory.com/49
비밀댓글입니다
2010.07.23 18:27 [ ADDR : EDIT/ DEL : REPLY ]