CoInzBlog

TrendMicro 에서 Koobface 의 구조도가 발표되었다. 참고삼아 이미지를 긁어옴 (http://www.trendmicro.com/vinfo/images/blog/koobface_edited_big.gif) 그림을 보면 서로 별개라고 생각되었던 종류의 악성코드들이 연관되어 있다. PWS 기능의 악성 코드야 그렇다고 치고, 랜섬 기능까지 들어가 있다니;; 점점 더 기능업이 되어가는 것을 보면 사용자들에게 보안 의식을 요구하는 것 이상으로 보안 전문가의 책임이 커지는 것을 느낄 수 있다.

둘 다 OpenSSL 프로젝트 관련 모듈이다. libeay32.dll contains encryption functions which allow for coded communications over networks. This file is opensource and is used in many opensource programs to help with SSL communication ssleay32.dll is a module associated with The OpenSSL Toolkit from The OpenSSL Project, http://www.openssl.org/

참고 : 1) http://www.jorgon.freeserve.co.uk/TestbugHelp/UseofIMUL.htm 2) http://faydoc.tripod.com/cpu/imul.htm IMUL 명령어는 EBX를 이용해서 (EBX * EBX) MUL 연산을 수행한 후 결과를 EAX, EDX에 저장한다. EBX 가 4바이트이기 때문에 MUL 연산의 결과를 저장하기 위해서 EDX:EAX 의 조합을 이용한다. 예를들면 아래와 같다 EBX : FFFFFF4C (-180) 이라면, EBX*EBX = 0x0000000000007E90 이다. 이 결과를 저장한다면 EDX : 0x00000000 EAX : 0x00007E90 이 된다.

해당 키는 XP 이후에 제어판의 모습을 원래 Style 로 보고자 할 때 설정하는 부분이다. 0x01 : 클래식 Style 보기 0x00 : XP Style 보기 참고 : http://technet.microsoft.com/en-us/library/cc736754%28WS.10%29.aspx ForceClassicControlPanel - Updated: March 28, 2003 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictCpl Description Stores configuration data for the policy setting Force classic Control Panel Style. Change Met..

MS Office 계역의 Exploit 에 대한 분석을 할 수 있는 프로그램이다. Excel, PPT, Word 와 같은 파일들에 대해서 구조를 확인할 수 있다. [ 메인 화면 ] [ 파서 선택 화면 ] 실행 후 우측을 보면, 각 타입의 파일 구조가 나타나며 아래의 그림과 같다. [ 파싱 결과 오피스 구조 ] 여기서 각 항목을 선택하면, 좌측의 HEX 데이터에 Block 설정이 되며 위치를 확인할 수 있다. 다운로드 경로 : http://go.microsoft.com/fwlink/?LinkId=158791

해외 블로그 중에 http://blogs.zdnet.com 기사에서 랜섬웨어에 걸린 시스템에서 뿌려주는 이미지를 몇개 긁어왔다. 예전에 3년 전에 '랜섬웨어' 에 대해서 처음 얘기를 들을 때만 해도 파일들을 특정 Key로 암호화 해놓고, 사용자에게 돈을 요구하는 메시지를 남겨두는 그런 시나리오를 그저 이론 적으로만 이해를 하고 있었다. 이론이 있으면 행동으로 옮기고자 하는 사람도 나타나는 법... 그러나, 이론과 실제는 언제나 다르다. 최근의 랜섬웨어의 경우 금전적인 목적은 동일하나, 파일 암호화가 없이 단순히 사용자의 시스템 이용을 차단하는 방법 + 그리고, 돈 입금과 같이 물리적인 제약이 따르는 방식이 아닌 유료 SMS 와 같은 것을 통해 즉시, 그 자리에서 이익이 발생하는 방법을 이용한다고 한다. ..

당일 악성 샘플 (Rogue) 을 살펴보던 도중 위 키에 대해서 로그가 남는 것을 확인하였다. 그 기능이 어떤 것인지 검색하였고, 정보를 노트해놓는다. 참고 : http://www.insidetheregistry.com/regdatabase 예제 : [HKEY_CURRENT_USER\software\Microsoft\Internet Explorer\Download] "CheckExeSignatures"="no" "RunInvalidSignatures"=dword:00000001 Policy: Check for signatures on downloaded programs This policy setting is contained within the "INETRES.ADMX" policy template f..

오늘 해외 블로그를 모니터링 하다가 깜놀 순간이 있었다. 인터넷 익스플로러 (이하 IE) 의 화면에 BSOD 를 넣을 줄이야;; 정말 그 발상 자체가 놀라울 다름이다. 전에 탐색기 화면에 보여주던 것이 더 효과적이라고 생각을 하는데;; 설마 이런 데에 속는 사용자가 있을까 의문이 든다 ㅋㅋ 뭐 과정이야 어쨋든 SystemSecurity 는 {드라이브}:\Document and Settings\All Users\Application Data\{랜덤이름}\{랜덤이름}.exe 의 형태를 갖는 것은 여전하니까. 이 녀석을 지우면 된다. 다만 최근의 변형 중에는 explorer.exe, iexplorer.exe 이외의 프로세스를 모두 종료시키는 증상도 확인된 바 있으니 AV 업체의 전용 백신으로 치료해야 할 수도..

Firefox 의 JIT (Just In Time) 컴파일러 내에서 'Overflow' 를 발생시키는 예외 상황이 발견되었다. 이것은 JIT 기능이 없는 낮은 버전의 Firefox 에서는 발생하지 않으며, 해당 기능이 있는 버전들에 해당이 된다고 한다. 단, 3.5 이후 버전부터는 JIT 컴파일러 설정을 Disable 함으로써 이러한 피해를 막을 수 있다고 한다. 참고 : http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/ 1. Enter about:config in the browser’s location bar. 주소창에 'about:config'를 입력한다. 2. Type jit in ..

일본 음악 torrent 파일을 공유하는 사이트를 발견했다. 어라? 이런 것도 있네 생각을 하고, 우선 내가 좋아하는 'いきものがかり' 곡부터 검색을 하였다. 굿... 자료도 있는 것을 확인 - _-b http://mullemeck.serveftp.org/jps_beta 위 메뉴에서 'Torrents' 메뉴를 선택하면 아래와 같이 검색 창을 확인 할 수 있다. 원하는 검색어를 넣고 'Search'를 누르면 아래와 같이 검색 결과가 나타난다. Torrent 를 받고 실행하면 파일을 받을 수 있다.