posted by Kwan's 2010. 12. 29. 20:23

*  위의 결과는 제가 가지고 있는 샘플로 이루어 졌음을 알려드립니다 !
* 대부분 국내 사이트에서 유포되었던 스크립트 + 최종파일 + 웹수집 샘플 입니다.
* 3/2 가 거의 국내 사이트에서 유포되었던 스크립트 + 온라인 게임 해킹 샘플 입니다.
* 이 샘플들은 동일하게 안철수 연구소 , 알약에 대부분 신고했던 샘플 입니다.
* 저는 안철수 연구소와 이스트 소프트와는 관련없음을 알려드리며 개인적인 샘플 실험 이며 공식적인 진단률은 절대 아닙니다.
* 스크립트는 진단 정책에 따라 악성 or 정상으로 판정 할 수 있습니다.
* 이스트 소프트 대학생 서포터즈와는 관계 없는 글 입니다 !!

[사용옵션]

* V3 365 옵션 : 실시간 감지 OFF, ASD 사용, Ture Find 사용 !!
업데이트 DB : 2010.12.29.04
* 알약 공개용 옵션 : 실시간 감지 OFF, 자가보호 OFF, 휴리스틱 사용 !!
업데이트 DB : 2010-12-29
* 알약 2.5 기업용 옵션 : 실시간 감지 OFF, 자가보호 OFF. 소포스 엔진, 비트디펜더 엔진,테라엔진사용 !!
업데이트 DB : 2010-12-29

[샘플 크기 및 정보]

크기 : 53.4MB (56,035,695 바이트)
디스크 할당 크기 : 54.8MB (57,520,128 바이트)
내용 : 파일 713개 폴더 143 개 

 

[악성코드 샘플 폴더]

(2010년 5월 10일 ~ 2010년 12월 28일) 까지 수집한 결과 입니다. 



이제 본격적으로 진단여부를 판단 해볼까요??

1번 백신 : V3 365 !!

검사 수 : 715
감염 수 : 569
치료 : 다음 실험을 위해 치료 X
진단률 : 79.58%

2번 백신 : 알약 공개용 !! 

검사 수 : 715
감염 수 : 352
치료 : 다음 실험을 위해 치료 X
진단률 : 49.23%

번외 백신 : 알약 2.5 기업용 !!



검사 수 : 715
감염 수 : 407
치료 : 다음 실험을 위해 치료 X
진단률 : 56.92%

이상으로 저의 샘플 테스트를 마칩니다 !

결과에 대한 생각은 보는 분들에게 맡깁니다!


댓글을 달아 주세요

  1. 잡다한 처리 2010.12.29 21:45 신고  Addr  Edit/Del  Reply

    이유는 스크립트 ㅎㅎ
    Ahnlab은 스크립트의 대부분을 탐지 할 겁니다;;

  2. 구잔 2014.03.28 01:37  Addr  Edit/Del  Reply

    기업의 보안은 바이러스 퇴치만으로는 부족합니다. 회사의 네트워크에 연결된 모든 컴퓨터와 장비에 대해 바이러스를 퇴치하고, 중앙에서 개별 컴퓨터 혹은 그룹별 부서별로 보안정책을 수립하고 배포할 수 있는 기능이 있어야 진정한 기업용 백신이라고 할 것입니다.
    VB100 을 포함한 국제인증기관에서 꾸준히 인증 및 수상을 하고 있는 이스캔은 저렴하면서도 세계 시장에서 높은 순위를 유지하고 있는 우수한 백신이니 참고하세요

posted by Kwan's 2010. 5. 13. 18:36

내가 발견한 시각은 오늘 아침 9시경이었다. 예전에도 유포했다 월요일에 없어졌던 서버였지만 오늘 다시 보니 time out 위장되어 있는 사이트였다. 프루나라는 메인 페이지에서는 이 링크를 볼수없다. 여담이지만 이렇게 프루나에 꼭꼭 숨겨놓아서 어떤 사용자를 감염 시킨다는지 이해가 가지 않았다.
사진과 같이 프루나 메인페이지에서는 젼혀 search_list3.asp 가 보이지 않으므로 정상 접속에는 이상이 없다.


이 접속 경로는 http://vxd.prxxa.com/search/search_list3.asp 이쪽으로 되어있으며 이것 또한 익스플로러로 접속시 time out 이라는 문구만 보일뿐 세부 코드는 보이지 않는다!
하지만 도구를 통해서 본다면 세부 코드가 나오는 것으로 볼수있다.
이것 또한 처음에는 제대로 변환 할수 없다 .. 이사이트에 소스중 window.document.write(x); ~> window.alert(x); 로 바꾼다면 제대로 디코더가 된 코드를 볼수있다. 이 코드를 변환한다면 비로서 최종파일이 보인다.
디코더 결과 이 프루나 search_list3.asp는 
최종파일 :  http://file.ygfamily.com/php/i./c.exe0  연결 되는것을 볼수있다.
그동안 코드와는 달리 ygfamily 로 연결이 되고 있었다.
현재 이 악성코드들은 전부 V3 에서 잡을수 있으며 모두 업데이트가 완료가 되었다.
또한 악성코드들은 이스트 소프트 와 안철수연구소로 신고하였다.


정리를 하자면
http://vod.pxxna.com/search/search_list3.asp0 에서 유포중이며
최종파일 : http://file.xxfamily.com/php/i./c.exe0 받는다.

[안철수연구소]
1 search_list3.0sp ~> V3 : JS/Downloader(추가 : 2010.05.13.03)
2 c.exe ~> V3 : Win-Trojan/Injector.53248.Z(추가 : 2010.05.12.00)

[이스트 소프트] = 알약
오늘 DB 에서 업데이트!

검사 파일: search_list3.0sp 전송 시각: 2010.05.13 00:12:59 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.13.00 2010.05.12 -
AntiVir 8.2.1.242 2010.05.12 JS/Drop.A.5851
Antiy-AVL 2.0.3.7 2010.05.12 -
Authentium 5.2.0.5 2010.05.13 -
Avast 4.8.1351.0 2010.05.12 JS:Downloader-QJ
Avast5 5.0.332.0 2010.05.12 JS:Downloader-QJ
AVG 9.0.0.787 2010.05.13 Script/Exploit
BitDefender 7.2 2010.05.13 -
CAT-QuickHeal 10.00 2010.05.12 -
ClamAV 0.96.0.3-git 2010.05.12 -
Comodo 4829 2010.05.12 -
DrWeb 5.0.2.03300 2010.05.13 -
eSafe 7.0.17.0 2010.05.11 -
eTrust-Vet None 2010.05.12 -
F-Prot 4.5.1.85 2010.05.12 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.05.13 -
Fortinet 4.1.133.0 2010.05.12 -
GData 21 2010.05.13 JS:Downloader-QJ
Ikarus T3.1.1.84.0 2010.05.12 -
Jiangmin 13.0.900 2010.05.12 -
Kaspersky 7.0.0.125 2010.05.13 Trojan-Downloader.JS.Agent.fhk
McAfee 5.400.0.1158 2010.05.13 -
McAfee-GW-Edition 2010.1 2010.05.13 Heuristic.BehavesLike.JS.Exploit.A
Microsoft 1.5703 2010.05.12 -
NOD32 5110 2010.05.12 -
Norman 6.04.12 2010.05.12 -
nProtect 2010-05-12.01 2010.05.12 -
Panda 10.0.2.7 2010.05.12 -
PCTools 7.0.3.5 2010.05.12 -
Rising 22.47.02.04 2010.05.12 Trojan.DL.Script.JS.Agent.qx
Sophos 4.53.0 2010.05.13 -
Sunbelt 6296 2010.05.13 -
Symantec 20101.1.0.89 2010.05.13 -
TheHacker 6.5.2.0.279 2010.05.11 -
TrendMicro 9.120.0.1004 2010.05.12 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.13 -
VBA32 3.12.12.4 2010.05.12 -
ViRobot 2010.5.12.2312 2010.05.12 -
VirusBuster 5.0.27.0 2010.05.12 -
 
추가 정보
File size: 5777 bytes
MD5   : a485b05d5035a168bb7fc3fd38220500
SHA1  : 3685084e053db302445caae2bfd63762ebf3b97b
SHA256: 58c9bbeb8f83242d054b71c3863fe87aba222142409d3b6f5f19e3705ca67bc4
검사 파일: c.0xe 전송 시각: 2010.05.13 00:13:04 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.10 Trojan.Peed!IK
AhnLab-V3 2010.05.13.00 2010.05.12 Win-Trojan/Injector.53248.Z
AntiVir 8.2.1.242 2010.05.12 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.12 Trojan/Win32.Pincav.gen
Authentium 5.2.0.5 2010.05.13 -
Avast 4.8.1351.0 2010.05.12 Win32:Malware-gen
Avast5 5.0.332.0 2010.05.12 Win32:Malware-gen
AVG 9.0.0.787 2010.05.13 -
BitDefender 7.2 2010.05.13 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.12 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.05.12 -
Comodo 4829 2010.05.12 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.13 -
eSafe 7.0.17.0 2010.05.11 -
eTrust-Vet 35.2.7484 2010.05.12 -
F-Prot 4.5.1.85 2010.05.12 -
F-Secure 9.0.15370.0 2010.05.13 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.12 -
GData 21 2010.05.13 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.12 Trojan.Peed
Jiangmin 13.0.900 2010.05.12 -
Kaspersky 7.0.0.125 2010.05.13 Trojan.Win32.Pincav.zrz
McAfee 5.400.0.1158 2010.05.13 Generic.dx!sra
McAfee-GW-Edition 2010.1 2010.05.13 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.12 Trojan:Win32/Malagent
NOD32 5110 2010.05.12 a variant of Win32/Kryptik.DXI
Norman 6.04.12 2010.05.12 -
nProtect 2010-05-12.01 2010.05.12 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.12 Generic Trojan
PCTools 7.0.3.5 2010.05.12 -
Prevx 3.0 2010.05.13 High Risk Cloaked Malware
Rising 22.47.02.04 2010.05.12 Packer.Win32.UnkPacker.b
Sophos 4.53.0 2010.05.13 Sus/UnkPack-C
Sunbelt 6296 2010.05.13 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.05.13 -
TheHacker 6.5.2.0.279 2010.05.11 Trojan/Pincav.zrz
TrendMicro 9.120.0.1004 2010.05.12 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.05.13 -
VBA32 3.12.12.4 2010.05.12 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.12.2312 2010.05.12 -
VirusBuster 5.0.27.0 2010.05.12 -
 
추가 정보
File size: 53248 bytes
MD5   : 7dc283909f9af5493de63aae1453a807
SHA1  : 0b9d820a6563bce957c04f60545b467c1d029d3f
SHA256: c3c7dc6df3a5b802d71834046b6f87e655bb29cf9030f879f8375c9e65363e7e

댓글을 달아 주세요

posted by Kwan's 2010. 5. 11. 22:45

안녕하세요 안철수연구소 입니다.

V3 365 클리닉에서는 알아서 다해주는 "PC주치의" 출시 2주년을 기념하여, 27,500원 상당의 PC주치의 무료 체험 이벤트 및 PC주치의가 포함된 상품을 직접 구매할 경우 10% 할인을 해주는 이벤트를 아래와 같이 준비했습니다. 
PC주치의는 안철수연구소의 PC전문가가 회원님의 PC로 원격 접속을 하여
문제가 있는 PC를 점검하고 문제 해결을 해주는 서비스 입니다.

서비스 만족도 97%, 문제 해결율 90%를 자랑하는 PC주치의 서비스 체험의 기회를 지금 잡아 보세요!

감사합니다.

알아서 다해주는 PC주치의 출시 2주년 기념 무료 체험 & 10% 할인 이벤트 안내

1. 체험 신청 및 체험 기간 : 2010년 5월 6일(목)  ~ 2010년 6월 25일(화)  

2. 10% 할인 기간 : 2010년 5월 6일(목) ~ 2010년 6월 6일(일)

3. 이벤트 참여 대상
 - PC주치의에 관심이 있으신 모든 분들

4. 이벤트 내용
- 이벤트 보기: ☞ 이벤트 페이지 바로가기

 

 1> PC주치의 체험하고 사용기 등록하기

매주 체험을 신청해 주신 분들 중 36분을 총 5주간 선정하여 27,500원 상당의 PC주치의 체험의 기회를 드립니다.
체험 후 사용기를 올려 주기만 하면 100% 한번 더 PC주치의 1회 사용권을 드리며,
최우수 후기에게는 500G 외장 하드를 드립니다.

 2> 체험 이벤트 소문내고 1만원 해피머니 상품권 받기

블로그, 까페, 미니홈피, 트위터에 본 이벤트를 소문 내 주신 분 중 50분을 추첨하여
1만원 상당의 해피머니 상품권을 드립니다.

3> 10% 할인받아 PC주치의 구매하기

PC주치의를 직접 구매하고 싶은 경우, 6/6까지 10% 할인 쿠폰을 다운로드 할 수 있으며
PC주치의가 포함된 모든 상품 구매 시 10% 할인이 적용 됩니다.

 

감사합니다.

댓글을 달아 주세요