posted by Kwan's 2011. 12. 10. 02:36

 

File : CAA7EF2L ,CAA7EF2L.(숨김파일)
MD5 : 87514e109381faa98b50f426dd37f015  CAA7EF2L
MD5 : 87514e109381faa98b50f426dd37f015  CAA7EF2L. (숨김파일)
크기 :
88.6KB (90,752 바이트)
        88.6KB (90,752 바이트) (숨김파일)
감염 사이트 :
http://alyackorea.com/download.php?n=kakao_theme_2.X.0.exe
Kaspersky : HEUR:Trojan-Downloader.Win32.Generic

VirusTotal :

http://www.virustotal.com/file-scan/report.html?id=b8aed1eac332adada69d7725614442ec14bab7f30b7069f56a598698a030e2e8-1323448834


alyackorea.com 사이트 접속시 한 P2P 사이트로 넘어 갑니다 !




http://alyackorea.com/download.php?n=kakao_theme_2.X.0.exe 

해당 프로그램 다운로드시 !


이런 프로그램이 다운되어서 실행이 됩니다. 해당 파일을 실행시  WizPop , EASYON , FINETOP 등
프로그램이 실행 및 설치 됩니다.


 



삭제 방법은 울지않는 벌새 블로그

 :
검색 도우미 : 위즈팝(WizPop)
   http://hummingbird.tistory.com/2350 참고 하시면 될꺼 같습니다!

여기를 확인 하시면 도움이 될꺼라고 생각합니다!

파일명으로 판단하지마시고 다시한번 공식 사이트를 확인하셔서 한번 더 확인하고 받으면 안전할꺼라고 생각합니다.

공식 알약 사이트 : http://alyac.altools.co.kr/Main/Default.aspx

댓글을 달아 주세요

posted by Kwan's 2011. 3. 4. 16:08
디도스 공격을 유발하는 악성코드는
ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등이다.
이들 악성코드가 설치된 PC는 이른바 좀비 PC로 변해 일제히 특정 웹사이트를 공격한다. 악성코드가 유포된 경로는 국내 P2P사이트인 셰어박스와 슈퍼다운인 것으로 밝혀졌다.

Hauri 하우리 전용 백신

안녕하세요. (주)하우리 보안대응센터 입니다.
2009년 7.7 대란에 이어 지난 3.3 일을 기점으로 국내 포털 웹사이트를 비롯한 40 여개의 웹사이트가 DDoS 공격으로 인해 피해가 증가되고 있어 주의를 요합니다.
해당 악성코드는 이미 전일 버전 바이로봇 2011-03-03.04 이후에 모두 업데이트 된 상황입니다. 바이로봇 최신엔진으로 업데이트를 유지 하시기 바랍니다.

또한 바이로봇이 설치되어 있지 않은 PC에 대해서는 전용 백신을 무료로 배포하고 있습니다.전용백신을 다운로드 받아 이용하시기 바랍니다.

<전용 백신 다운로드>

http://www.hauri.co.kr/


하우리는 안전한 인터넷 사용을 위해 노력하겠습니다.
감사합니다.




AhnLab (안철수연구소) 전용 백신

안철수연구소 입니다.

최근 국내 웹사이트를 겨냥한 DDoS 공격 및 시스템 손상을 일으키는 악성코드가 발견되었습니다. 이에 안철수연구소는 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 지속 가동하고 국가기관과 합동으로 적극적인 대응을 수행하는 한편 DDoS공격을 유발하는 악성코드에 대한 전용백신을 무료로 배포하고 있습니다.

DDoS 공격 예방 및 시스템 손상을 방지하기 위해 전용백신을 이용하여 검사를 권장 드립니다. 추가로 V3 제품을 사용하시는 고객께서는 최신 엔진 버전으로 진단 및 치료할 수 있으며 새롭게 나오는 변형에 대해서도 예방이 가능합니다.

› 전용백신 다운로드 받기 : http://www.ahnlab.com/kr/site/main/main.do

개인 및 기업 일반 사용자분들은 좀비 PC 방지는 물론 안전한 컴퓨터 이용을 위해서는 사용자 환경에 맞는 백신을 설치하여 반드시 최신 엔진 업데이트를 실행하여 주시기 바랍니다.



Nprotect (잉카인터넷) 전용 백신

3.3 DDoS 공격 발견 경고
국내 웹 하드 업체의 모듈 변경을 통해 유포 중인 DDoS 공격 악성코드가 발견되어 사용자들의 주의가 필요한 상황입니다. 정부 기관 및 국내 유명 포털 사이트, 인터넷 뱅킹 사이트 등에서 DDoS 공격 징후가 발견되었으며, 지속적인 공격이 있을 것으로 예상되고 있으니 안전한 인터넷 사용을 위해 반드시 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 사용하시기 바랍니다.

전용백신 다운로드 받기 : http://www.nprotect.com/index.html



Alyac : 알약 (EstSoft)

안녕하세요,

알약보안대응팀입니다.

3월 4일 현재, 국내 주요인터넷 사이트들에 대한 DDOS (분산서비스거부) 공격이 진행되고 있습니다.
공격은 악성코드에 감염된 좀비 PC로부터 발생하며, 
현재 알약에서는 이 악성코드를 Backdoor.DllBot.gen, V.BKD.DllBot.gen 등 으로 진단하고 있습니다. 

(Backdoor.DllBot.gen, V.BKD.DllBot.gen, Trojan.Downloader.Agent.33D, 
V.DWN.Agent.33D, Trojan.Dropper.Agent.nthost, V.DRP.Agent.nthost, 
Trojan.Agent.docCrypt, V.TRJ.Agent.docCrypt, Trojan.Agent.hosts, V.TRJ.Agent.hosts)

고객님들께서는 사용중인 PC에 특별한 이상이 없더라도, 
반드시 알약을 설치하여 DB를 항상 최신버전으로 유지해 주시고, 
실시간 감시를 활성화 하신 뒤 검사를 실행하실 것을 권장합니다.
특히, 이 악성코드는 디스크 내의 문서파일 완전삭제 및 MBR삭제 기능이 있으며 
스케줄에 의해 동작하기 때문에 감염되었다면 반드시 치료해야 합니다.
또 hosts 파일 변조기능이 있어 일부 백신들의 업데이트 기능이 무력화될 수 있으니 
반드시 알약 또는 알약 전용백신을 다운받아 검사하시기 바랍니다.

전용백신 다운로드 받기 : http://alyac.altools.co.kr/SecurityCenter/Analysis/NoticeView.aspx?id=90


댓글을 달아 주세요

posted by Kwan's 2010. 12. 29. 20:23

*  위의 결과는 제가 가지고 있는 샘플로 이루어 졌음을 알려드립니다 !
* 대부분 국내 사이트에서 유포되었던 스크립트 + 최종파일 + 웹수집 샘플 입니다.
* 3/2 가 거의 국내 사이트에서 유포되었던 스크립트 + 온라인 게임 해킹 샘플 입니다.
* 이 샘플들은 동일하게 안철수 연구소 , 알약에 대부분 신고했던 샘플 입니다.
* 저는 안철수 연구소와 이스트 소프트와는 관련없음을 알려드리며 개인적인 샘플 실험 이며 공식적인 진단률은 절대 아닙니다.
* 스크립트는 진단 정책에 따라 악성 or 정상으로 판정 할 수 있습니다.
* 이스트 소프트 대학생 서포터즈와는 관계 없는 글 입니다 !!

[사용옵션]

* V3 365 옵션 : 실시간 감지 OFF, ASD 사용, Ture Find 사용 !!
업데이트 DB : 2010.12.29.04
* 알약 공개용 옵션 : 실시간 감지 OFF, 자가보호 OFF, 휴리스틱 사용 !!
업데이트 DB : 2010-12-29
* 알약 2.5 기업용 옵션 : 실시간 감지 OFF, 자가보호 OFF. 소포스 엔진, 비트디펜더 엔진,테라엔진사용 !!
업데이트 DB : 2010-12-29

[샘플 크기 및 정보]

크기 : 53.4MB (56,035,695 바이트)
디스크 할당 크기 : 54.8MB (57,520,128 바이트)
내용 : 파일 713개 폴더 143 개 

 

[악성코드 샘플 폴더]

(2010년 5월 10일 ~ 2010년 12월 28일) 까지 수집한 결과 입니다. 



이제 본격적으로 진단여부를 판단 해볼까요??

1번 백신 : V3 365 !!

검사 수 : 715
감염 수 : 569
치료 : 다음 실험을 위해 치료 X
진단률 : 79.58%

2번 백신 : 알약 공개용 !! 

검사 수 : 715
감염 수 : 352
치료 : 다음 실험을 위해 치료 X
진단률 : 49.23%

번외 백신 : 알약 2.5 기업용 !!



검사 수 : 715
감염 수 : 407
치료 : 다음 실험을 위해 치료 X
진단률 : 56.92%

이상으로 저의 샘플 테스트를 마칩니다 !

결과에 대한 생각은 보는 분들에게 맡깁니다!


댓글을 달아 주세요

  1. 잡다한 처리 2010.12.29 21:45 신고  Addr  Edit/Del  Reply

    이유는 스크립트 ㅎㅎ
    Ahnlab은 스크립트의 대부분을 탐지 할 겁니다;;

  2. 구잔 2014.03.28 01:37  Addr  Edit/Del  Reply

    기업의 보안은 바이러스 퇴치만으로는 부족합니다. 회사의 네트워크에 연결된 모든 컴퓨터와 장비에 대해 바이러스를 퇴치하고, 중앙에서 개별 컴퓨터 혹은 그룹별 부서별로 보안정책을 수립하고 배포할 수 있는 기능이 있어야 진정한 기업용 백신이라고 할 것입니다.
    VB100 을 포함한 국제인증기관에서 꾸준히 인증 및 수상을 하고 있는 이스캔은 저렴하면서도 세계 시장에서 높은 순위를 유지하고 있는 우수한 백신이니 참고하세요

posted by Kwan's 2010. 11. 24. 20:39
 
안녕하십니까?
이스트소프트 알약 보안대응팀입니다.

11월 23일 북한의 연평도 공격사건으로 인해 전세계적인 관심이 한국으로 집중되어있는 가운데 
한국과 관련된 검색을 통해서 접속되는 악성코드유포 사이트가 등장하여 주의가 요구됩니다.

한국과 관련된 특정 키워드의 검색결과로 표시되는 이 악성 웹사이트의 링크를 클릭할 경우, 
브라우저 내에 마치 백신에서 악성코드검사를 하는 것과 같은 가짜 이미지를 보여주며 
몇 초 후 "Your computer is infected!...." 라는 메세지를 표시합니다. 

<사이트 접속 시 바이러스 검사화면으로 위장된 이미지를 표시하는 모습>


이 후 나타나는 '검사결과창으로 위장된' 이미지를 사용자가 클릭할 경우 악성코드 설치파일의 다운로드를 시도합니다.

<가짜 결과창에 링크되어있는 악성코드 설치파일>


백신으로 위장된 이 악성코드가 설치될 경우, 전체화면으로 요금결제창을 표시하고 일체의 다른 작업을 할 수 없도록 하므로 PC를 종료 후 안전모드로 부팅하여 알약을 설치/치료하여야 합니다.

<악성코드가 설치된 후 결제를 유도하는 화면 >


이는 브라우저등의 취약점을 이용한것이 아니라, 
사용자를 속여서 직접 악성파일을 다운로드하도록 유도하는 방식이므로 최신 보안패치의 적용여부와 관계없이 감염될 수 있다는 점에서 더욱 각별한 주의가 필요합니다.

알약에서는 이들 가짜 백신들에 대한 예방 및 치료(진단명 : V.TRJ.FakeAV.SecurityTool)가 가능하며, 
PC 사용자들은 확인되지 않은 웹사이트를 통해서 바이러스 검사화면이 표시되는 경우,
곧바로 웹브라우저를 닫고, 해당사이트에서 유포하는 파일을 다운로드하지 말것을 권장합니다.



[치료 방법]
1) 알약 사용자께서는 DB를 항상 최신버전으로 유지해 주시고, 
실시간 감시 기능을 활성화 시켜주시기 바랍니다.

2) 현재 알약에서는 해당 악성코드 파일들을 
V.TRJ.FakeAV.SecurityTool로 진단하고 있으며, 제거가 가능합니다.

이미 감염된 PC에서는 반드시 안전모드로 부팅 하여
(전원 켤때 'F8' 키를 반복해서 누른 후 [안전모드-네트워킹 사용]을 선택)
알약을 설치하고 최신 DB로 업데이트 한 후 기본/정밀 검사를 실시해야 합니다.


<알약 공개용 다운로드>

  



[예방 방법]
1) 알약 DB 업데이트 상황을 항상 최신으로 유지해야 합니다. 

2) 알약의 실시간감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다.

댓글을 달아 주세요

posted by Kwan's 2010. 11. 3. 19:29

원본 링크 : http://alyac.altools.co.kr/SecurityCenter/Analysis/NoticeView.aspx?id=67

안녕하세요. 이스트소프트 알약입니다.

11월 3일 오후 1시부터 이뤄진 알약 2.0 기업용 버전 인증서버의 인증로직 보강작업 이후, 일부 알약 사용자분들의 인증정보를 서버에서 제대로 인식하지 못해 이미 알약이 정상적으로 설치되어 있는 PC에서 라이선스 인증을 재요구하는 창이 뜨는 문제가 발생하였습니다.

해당 문제를 해결하기 위해서는, 번거로우시겠지만 인증창에 알약2.0 기업용 버전을 구매하실 때 받으셨던 시리얼키를 다시 한번 입력해 주시거나 혹은 저희가 제작하여 배포해 드리는 패치파일을 받으신 후 실행시켜 주셔야 합니다.

패치파일 다운로드

향후 같은 문제가 발생하지 않도록 좀 더 주의를 기울이도록 하겠습니다. 문제가 발생한 일부 알약 사용자 여러분께 PC사용에 번거로움을 드렸던 점 정중히 사과드립니다.

기업용에만 해당 되는 사과문이 방금 업로드 되었네요~

댓글을 달아 주세요

posted by Kwan's 2010. 5. 17. 12:09

목차

Part Ⅰ. 4 월의 악성코드 통계
1. 악성코드 통계

(1) 감염 악성코드 Top 15

(2) 카테고리별 악성코드 유형

(3) 카테고리별 악성코드 비율 전월 비교

(4) 월별 피해 신고 추이

(5) 월별 악성코드 DB 등록 추이

2. 악성코드 이슈 분석 – “Resume 이력서로 위장한 악성코드”

3. 허니팟/트래픽 분석

(1) 상위 Top 10 포트

(2) 상위 Top 5 포트 월별 추이

(3) 악성 트래픽 유입 추이

4. 스팸메일 분석

(1) 일별 스팸 및 바이러스 통계 현황

(2) 월별 통계 현황

(3) 스팸 메일 내의 악성코드 현황

Part Ⅱ. 4 월의 보안 이슈 돋보기

1. 4 월의 보안 이슈

2. 4 월의 취약점 이슈

자세한사항 : http://alyac.altools.co.kr/SecurityCenter/Issue/TrendReport.aspx

 관련글 : [안철수연구소] ASEC REPORT VOL.4 월호!


댓글을 달아 주세요

posted by Kwan's 2010. 5. 13. 18:36

내가 발견한 시각은 오늘 아침 9시경이었다. 예전에도 유포했다 월요일에 없어졌던 서버였지만 오늘 다시 보니 time out 위장되어 있는 사이트였다. 프루나라는 메인 페이지에서는 이 링크를 볼수없다. 여담이지만 이렇게 프루나에 꼭꼭 숨겨놓아서 어떤 사용자를 감염 시킨다는지 이해가 가지 않았다.
사진과 같이 프루나 메인페이지에서는 젼혀 search_list3.asp 가 보이지 않으므로 정상 접속에는 이상이 없다.


이 접속 경로는 http://vxd.prxxa.com/search/search_list3.asp 이쪽으로 되어있으며 이것 또한 익스플로러로 접속시 time out 이라는 문구만 보일뿐 세부 코드는 보이지 않는다!
하지만 도구를 통해서 본다면 세부 코드가 나오는 것으로 볼수있다.
이것 또한 처음에는 제대로 변환 할수 없다 .. 이사이트에 소스중 window.document.write(x); ~> window.alert(x); 로 바꾼다면 제대로 디코더가 된 코드를 볼수있다. 이 코드를 변환한다면 비로서 최종파일이 보인다.
디코더 결과 이 프루나 search_list3.asp는 
최종파일 :  http://file.ygfamily.com/php/i./c.exe0  연결 되는것을 볼수있다.
그동안 코드와는 달리 ygfamily 로 연결이 되고 있었다.
현재 이 악성코드들은 전부 V3 에서 잡을수 있으며 모두 업데이트가 완료가 되었다.
또한 악성코드들은 이스트 소프트 와 안철수연구소로 신고하였다.


정리를 하자면
http://vod.pxxna.com/search/search_list3.asp0 에서 유포중이며
최종파일 : http://file.xxfamily.com/php/i./c.exe0 받는다.

[안철수연구소]
1 search_list3.0sp ~> V3 : JS/Downloader(추가 : 2010.05.13.03)
2 c.exe ~> V3 : Win-Trojan/Injector.53248.Z(추가 : 2010.05.12.00)

[이스트 소프트] = 알약
오늘 DB 에서 업데이트!

검사 파일: search_list3.0sp 전송 시각: 2010.05.13 00:12:59 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.13.00 2010.05.12 -
AntiVir 8.2.1.242 2010.05.12 JS/Drop.A.5851
Antiy-AVL 2.0.3.7 2010.05.12 -
Authentium 5.2.0.5 2010.05.13 -
Avast 4.8.1351.0 2010.05.12 JS:Downloader-QJ
Avast5 5.0.332.0 2010.05.12 JS:Downloader-QJ
AVG 9.0.0.787 2010.05.13 Script/Exploit
BitDefender 7.2 2010.05.13 -
CAT-QuickHeal 10.00 2010.05.12 -
ClamAV 0.96.0.3-git 2010.05.12 -
Comodo 4829 2010.05.12 -
DrWeb 5.0.2.03300 2010.05.13 -
eSafe 7.0.17.0 2010.05.11 -
eTrust-Vet None 2010.05.12 -
F-Prot 4.5.1.85 2010.05.12 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.05.13 -
Fortinet 4.1.133.0 2010.05.12 -
GData 21 2010.05.13 JS:Downloader-QJ
Ikarus T3.1.1.84.0 2010.05.12 -
Jiangmin 13.0.900 2010.05.12 -
Kaspersky 7.0.0.125 2010.05.13 Trojan-Downloader.JS.Agent.fhk
McAfee 5.400.0.1158 2010.05.13 -
McAfee-GW-Edition 2010.1 2010.05.13 Heuristic.BehavesLike.JS.Exploit.A
Microsoft 1.5703 2010.05.12 -
NOD32 5110 2010.05.12 -
Norman 6.04.12 2010.05.12 -
nProtect 2010-05-12.01 2010.05.12 -
Panda 10.0.2.7 2010.05.12 -
PCTools 7.0.3.5 2010.05.12 -
Rising 22.47.02.04 2010.05.12 Trojan.DL.Script.JS.Agent.qx
Sophos 4.53.0 2010.05.13 -
Sunbelt 6296 2010.05.13 -
Symantec 20101.1.0.89 2010.05.13 -
TheHacker 6.5.2.0.279 2010.05.11 -
TrendMicro 9.120.0.1004 2010.05.12 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.13 -
VBA32 3.12.12.4 2010.05.12 -
ViRobot 2010.5.12.2312 2010.05.12 -
VirusBuster 5.0.27.0 2010.05.12 -
 
추가 정보
File size: 5777 bytes
MD5   : a485b05d5035a168bb7fc3fd38220500
SHA1  : 3685084e053db302445caae2bfd63762ebf3b97b
SHA256: 58c9bbeb8f83242d054b71c3863fe87aba222142409d3b6f5f19e3705ca67bc4
검사 파일: c.0xe 전송 시각: 2010.05.13 00:13:04 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.10 Trojan.Peed!IK
AhnLab-V3 2010.05.13.00 2010.05.12 Win-Trojan/Injector.53248.Z
AntiVir 8.2.1.242 2010.05.12 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.12 Trojan/Win32.Pincav.gen
Authentium 5.2.0.5 2010.05.13 -
Avast 4.8.1351.0 2010.05.12 Win32:Malware-gen
Avast5 5.0.332.0 2010.05.12 Win32:Malware-gen
AVG 9.0.0.787 2010.05.13 -
BitDefender 7.2 2010.05.13 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.12 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.05.12 -
Comodo 4829 2010.05.12 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.13 -
eSafe 7.0.17.0 2010.05.11 -
eTrust-Vet 35.2.7484 2010.05.12 -
F-Prot 4.5.1.85 2010.05.12 -
F-Secure 9.0.15370.0 2010.05.13 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.12 -
GData 21 2010.05.13 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.12 Trojan.Peed
Jiangmin 13.0.900 2010.05.12 -
Kaspersky 7.0.0.125 2010.05.13 Trojan.Win32.Pincav.zrz
McAfee 5.400.0.1158 2010.05.13 Generic.dx!sra
McAfee-GW-Edition 2010.1 2010.05.13 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.12 Trojan:Win32/Malagent
NOD32 5110 2010.05.12 a variant of Win32/Kryptik.DXI
Norman 6.04.12 2010.05.12 -
nProtect 2010-05-12.01 2010.05.12 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.12 Generic Trojan
PCTools 7.0.3.5 2010.05.12 -
Prevx 3.0 2010.05.13 High Risk Cloaked Malware
Rising 22.47.02.04 2010.05.12 Packer.Win32.UnkPacker.b
Sophos 4.53.0 2010.05.13 Sus/UnkPack-C
Sunbelt 6296 2010.05.13 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.05.13 -
TheHacker 6.5.2.0.279 2010.05.11 Trojan/Pincav.zrz
TrendMicro 9.120.0.1004 2010.05.12 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.05.13 -
VBA32 3.12.12.4 2010.05.12 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.12.2312 2010.05.12 -
VirusBuster 5.0.27.0 2010.05.12 -
 
추가 정보
File size: 53248 bytes
MD5   : 7dc283909f9af5493de63aae1453a807
SHA1  : 0b9d820a6563bce957c04f60545b467c1d029d3f
SHA256: c3c7dc6df3a5b802d71834046b6f87e655bb29cf9030f879f8375c9e65363e7e

댓글을 달아 주세요

posted by Kwan's 2010. 5. 11. 22:39
2010년 4월 보안동향 보고서

악성코드 이슈 분석 - “보호받는 시스템 DLL 파일을 감염시키는 악성코드”최근의 악성코드는 시스템 DLL 파일을 주목하기 시작했다.시스템 DLL 을 감염시키면 프로세스가 생성되었을 때마다 해당 DLL 이 로드(Load)되결국에는 악성코드가 실행될 수 있기 때문이다

2010년 4월 보안동향 보고서

2010년 3월 보안동향 보고서

2010년 2월 보안동향 보고서

2010년 1월 보안동향 보고서

2009년 12월 보안동향 보고서

댓글을 달아 주세요