'악성코드분석' 카테고리의 글 목록

일	월	화	수	목	금	토
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31

2014. 8. 5. 02:18 악성코드분석

스팸메일 악성코드 Payment.doc

오래간만에 웬일로 악성코드 스팸메일이 왔더군요. 악성코드의 이름은 Payment.doc

Microsoft Office Word의 자동매크로 실행 취약점을 통한 개인과 중소기업을 노린 전형적인 스팸 메일 악성코드 입니다.

매크로로 감염되는 악성코드여서 직접 클릭만 안하신다면 괜찮습니다.

자세한 전문은 http://myonlinesecurity.co.uk/irs-notification-fiscal-activity-71363-word-doc-malware/ 을 확인하세요.

원본 doc(Payment.doc) 파일의 바이러스 토탈 검사 결과는

https://www.virustotal.com/ko/file/356f98b0a0487c4c67262b669383e3509eb1097f22566840bae5cd2659797b2e/analysis/1407169608/

최종 실행 파일(u.exe)의 바이러스 토탈 검사 결과는

https://www.virustotal.com/ko/file/f8f8d2f942894e06935bec27d20fe20c9646d69920ccb97cfcca4402c0aafb3b/analysis/1407170985/

입니다.

해당 악성코드는 국내 백신으로는 V3,알약으로 치료할수 있고 해외 백신으로는 Avira, 카스퍼스키, 비트디펜더등으로 치료 가능합니다.

해당 악성코드는 계정정보가 바뀌어 그에 대한 정보를 읽으라는 말이 적혀있어 궁금증을 유발시켜

보다시피 위의 Payment.doc이란 파일을

유저들이 직접 실행시키게 하는 방식입니다.

내부 문서를 직접 실행 시켜보면

"On the Edit menu, click Select ALL (or press Ctrl+A), and then the complete the formatting of this document."

라는 내용이 적혀 있습니다.

해당 doc파일은 단순히 txt로 확장자명만 바꾸어 열어도 해당 악성코드 접속링크가 보이더군요.

최종 파일은 zbot 실행파일인 u.exe로 해당 파일에 감염되실경우 국내 백신으로도 충분히 치료 가능합니다.

위와 같은 메세지로 첨부파일에 관한 궁금증으로 현혹시키는 악성코드가 상당히 많으니 유의하시길 바랍니다.

저작자표시동일조건

'악성코드분석' 카테고리의 다른 글

스팸메일 악성코드 Payment.doc (2)	2014.08.05
피파온라인3 이적시장 매크로를 사칭한 악성코드 주의!! (1)	2014.01.19
m.v9.com 사이트가 계속 접속될 경우 해결법(Android) (0)	2013.07.16
안드로이드 마켓 악성 앱 유포!! (New Year Live Wallpaper-5.apk) (0)	2012.01.07
팔레보웜 [P2P-Worm.Win32.Palevo.doqc] (0)	2011.09.12
VBS 바이러스 메모장 코드 복사 테스트 (0)	2011.08.29

posted by 쿠들릭

Trackback 0 Comment 2

댓글을 달아 주세요

버크하우스 2014.08.05 02:19 신고 Addr Edit/Del Reply

잘 보고 갑니다. 오늘도 활기찬 하루 되시길요. ^^
- 쿠들릭 2014.08.05 02:24 신고 Addr Edit/Del
  감사합니다. 좋은 하루 되세요~

2014. 1. 19. 02:29 악성코드분석

피파온라인3 이적시장 매크로를 사칭한 악성코드 주의!!

최근 인기가 높아진 게임, 피파 온라인3에 관하여 부득이한 방법으로 이득을 취하기 위해 생겨진

매크로를 이용하는 사용자가 많이 늘었는데 이를 이용하여 각 커뮤니티나 카페에서

정상파일이 아닌 악성파일을 끼워넣어 원격 조종을 이용한 계정 탈취를 노린 악성코드가 발생하였습니다.

완성된 날짜는 14.01.19. PM 3시쯤으로 만들어진지 별로 안된 파일입니다.

해당 샘플에 관한 현재 백신 탐지율은 31/48로 대다수 백신에서 탐지하고 있는 실정입니다.

https://www.virustotal.com/ko/file/e8602f2db95a1746c20c572d13ab87da27809dbb0e0f0fea7b058e36eb08aba3/analysis/ <해당 악성코드 탐지 현황 링크>

※우리나라에 잘 알려진 백신으로는 V3, 알약, Avast, Avira, 카스퍼스키, nProtect등으로 탐지및 치료 가능합니다.

해당파일을 실행시 netsh.exe라는 파일을 외부로부터 불러와 svhost.exe라는 이름을 가진 파일을 프로세스상에 상주시킵니다.

svhost.exe라는 파일은 MD5값이 be43ed7d7767f6a1b4174728f3e114ee 으로 원본실행파일과 값이 같고 단지 이름만 다르게 바뀌기만 할뿐입니다.

좀 더 자세히 분석하기 위해 직접 실행해보았습니다.

위와 같이 svhost.exe라는 이름으로 실행되는데

대부분의 악성코드가 사용하는 교묘한 이름쓰기 수법을 이용하여

svchost.exe라는 정상파일을 위장하여 만든 악성코드임을 알 수 있습니다.

해당 파일에 관한 정보입니다.

주 드라이브에 ProgramData라는 폴더 안에 생성됩니다.

특별히 적혀있는 Build, Version이나 Company명이 없는것으로 보아

단순 아마추어 개인제작자가 만든 것 또는

마치 예를 들자면 Zeus Tool같은 악성코드 생성기를 이용하여 만든 악성코드일 가능성이 높습니다.

네트워크 쪽을 보시면 아시겠지만 Send Bytes, Send 시도 횟수를 보아

외부로 개인정보를 유출하는 악성코드임을 확실히 알 수 있습니다.

마지막으로 해당 악성코드의 데이터가 도착되는 중계지 IP주소입니다.

[221.158.46.232:1212] 위 아이피는 통신사 서버와 연결되어 있기만 할 뿐,

직접적인 거주지 같은건 전혀 알 수가 없습니다.

항상 주의하실점은 인터넷에서 검증받지 않은 파일은 반드시 백신으로 검사하시고

실행하는 것이 안전합니다.

저작자표시동일조건

'악성코드분석' 카테고리의 다른 글

스팸메일 악성코드 Payment.doc (2)	2014.08.05
피파온라인3 이적시장 매크로를 사칭한 악성코드 주의!! (1)	2014.01.19
m.v9.com 사이트가 계속 접속될 경우 해결법(Android) (0)	2013.07.16
안드로이드 마켓 악성 앱 유포!! (New Year Live Wallpaper-5.apk) (0)	2012.01.07
팔레보웜 [P2P-Worm.Win32.Palevo.doqc] (0)	2011.09.12
VBS 바이러스 메모장 코드 복사 테스트 (0)	2011.08.29

posted by 쿠들릭

Trackback 0 Comment 1

댓글을 달아 주세요

Ec0nomist 2014.01.20 23:54 신고 Addr Edit/Del Reply

C:\Programdata\이라.... 참 꼼꼼하게 숨겨놨네요

2013. 7. 16. 02:18 악성코드분석

m.v9.com 사이트가 계속 접속될 경우 해결법(Android)

최근 안드로이드폰 사용자 중

시작페이지가 m.v9.com으로 고정되는 현상이 빈번하게 일어나고 있습니다.

윈도우OS에서는 알다시피 시작페이지를 레지스트리를 강제로 수정하여 고정화시키는 Adware/Win32.Startpage같은

악성코드 수법을 사용하고 있습니다.

이는 exe같은 실행파일이나 툴바를 잘못 설치하게 되면서 시작페이지가 고정되는 애드웨어 종류 이므로 마찬가지로 폰에서도 악성코드 apk같은 파일을 통하여 설치된것 이기 때문에 해당 어플을 직접 찾아 삭제하시면 그 증상은 사라집니다.( 직접 악성 어플을 찾기 번거로우시다면 마켓에서 직접 avast나 Dr.Web 같은 무료 모바일 백신을 돌려보십시오.)

현재까지 m.v9.com를 고정 시키는 어플로 알려져 있는 것은 런처8 어플이 존재합니다. 해당 어플이 존재하실경우 삭제하신다면 해결 되는것으로 직접 테스트 해보았습니다.

(혹시 더 m.v9.com를 고정시키는 어플에 대해 정보를 알고 계신다면 덧글 부탁드립니다.)

그러나 굳이 런처8를 계속 사용하고 싶으시다면 런처8의 자체 런처의 인터넷 아이콘을 삭제후 다시 인터넷 아이콘을 재설치하여 배경에 옮겨 놓으면 m.v9.com 시작페이지 고정증상이 없어지기도 합니다.

<시작 페이지 재설정 및 찌꺼기 제거>

※ 혹시 어플 문제가 아니다 싶으면 해당 방법도 따라해보십시오.

평상시에도 한번 실행해주시는게 찌꺼기를 제거하는데 큰 도움이 됩니다.

<기기는 갤럭시노트2 기준입니다. 각 회사 폰마다 설정이 다를수도 있습니다.>

저작자표시동일조건

'악성코드분석' 카테고리의 다른 글

스팸메일 악성코드 Payment.doc (2)	2014.08.05
피파온라인3 이적시장 매크로를 사칭한 악성코드 주의!! (1)	2014.01.19
m.v9.com 사이트가 계속 접속될 경우 해결법(Android) (0)	2013.07.16
안드로이드 마켓 악성 앱 유포!! (New Year Live Wallpaper-5.apk) (0)	2012.01.07
팔레보웜 [P2P-Worm.Win32.Palevo.doqc] (0)	2011.09.12
VBS 바이러스 메모장 코드 복사 테스트 (0)	2011.08.29

posted by 쿠들릭

Trackback 0 Comment 0

댓글을 달아 주세요

2012. 7. 27. 22:50 악성코드분석/웹 유포 분석

소비자가 만드는 신문 배포중...

Java 취약점과 CVE-2010-0806 취약점을 이용합니다.

오랜만에 분석을 해서 그런지 감염경로가 확실한지는 장담못합니다만

위에 두 취약점을 사용하는 건 맞는것 같네요.

※ IE9로 Java 취약점을 통해 Java 실행창이 떠 실행할 경우 감염되는것을 확인했습니다.

img.html https://www.virustotal.com/file/222c51d9e40a6849f856dd66a44f4a21e87370bccded28ca9c47caf4089f4ec0/analysis/1343395822/

NliKum.jpg

https://www.virustotal.com/file/52c24f31071617541b3e41163e23aaec72682938eb3ffa3c086620b96c467a1b/analysis/1343395835/

온라인 게임 핵 파일 목록

0e442966.sys

https://www.virustotal.com/file/b5d6df41d47daa9cb87cf81008bacaa6485e1705d4fb06b69c2aa2e5e131b7f6/analysis/1343395500/

esetepo.dll

https://www.virustotal.com/file/743273b244439d75f8b113ba39bfbfbb40513696b47a4f427ca7fbae6662501f/analysis/1343395518/

wshtcpip.dll

https://www.virustotal.com/file/ffece1246eb4909b801b7a321321a9e452c5b5a4b742204cca51ded1b5e9501f/analysis/1343395523/

저작자표시동일조건

소비자가 만드는 신문 배포중... (0)	2012.07.27
개소문 닷컴 유포중... (2)	2011.11.13
iPhone5 중계를 가장한 Daum팟 플레이어 위장 악성코드 (rfmon.exe) (3)	2011.10.05
옐로우 캡 택배 유포중 (0)	2011.08.27
여러 웹하드,뉴스,게임사이트에서 배포중... (0)	2011.08.20
주말 웹하드 악성코드의 conf.gif 변종! (6)	2011.08.06

댓글을 달아 주세요

2012. 1. 7. 15:39 악성코드분석

안드로이드 마켓 악성 앱 유포!! (New Year Live Wallpaper-5.apk)

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.

File name:

New Year Live Wallpaper-5.apk0

Submission date:

2012-01-07 06:27:56 (UTC)

Current status:

finished

Result:

3/ 43 (7.0%)

VT Community

not reviewed
Safety score: -

Compact

Print results

Antivirus	Version	Last Update	Result
AhnLab-V3	2012.01.06.00	2012.01.06	-
AntiVir	7.11.20.194	2012.01.06	-
Antiy-AVL	2.0.3.7	2012.01.07	-
Avast	6.0.1289.0	2012.01.06	-
AVG	10.0.0.1190	2012.01.06	-
BitDefender	7.2	2012.01.07	-
ByteHero	1.0.0.1	2011.12.31	-
CAT-QuickHeal	12.00	2012.01.06	-
ClamAV	0.97.3.0	2012.01.06	-
Commtouch	5.3.2.6	2012.01.06	-
Comodo	11205	2012.01.07	UnclassifiedMalware
DrWeb	5.0.2.03300	2012.01.07	-
Emsisoft	5.1.0.11	2012.01.07	-
eSafe	7.0.17.0	2012.01.03	-
eTrust-Vet	37.0.9668	2012.01.06	-
F-Prot	4.6.5.141	2012.01.06	-
F-Secure	9.0.16440.0	2012.01.07	Trojan:Android/Nyearleak.A!mfb
Fortinet	4.3.388.0	2012.01.07	-
GData	22	2012.01.07	-
Ikarus	T3.1.1.109.0	2012.01.07	-
Jiangmin	13.0.900	2012.01.06	-
K7AntiVirus	9.123.5881	2012.01.06	-
Kaspersky	9.0.0.837	2012.01.07	-
McAfee	5.400.0.1158	2012.01.07	-
McAfee-GW-Edition	2010.1E	2012.01.07	-
Microsoft	1.7903	2012.01.07	-
NOD32	6773	2012.01.07	a variant of Android/Plankton.A
Norman	6.07.13	2012.01.06	-
nProtect	2012-01-06.01	2012.01.06	-
Panda	10.0.3.5	2012.01.06	-
PCTools	8.0.0.5	2012.01.07	-
Prevx	3.0	2012.01.07	-
Rising	23.91.04.02	2012.01.06	-
Sophos	4.73.0	2012.01.07	-
SUPERAntiSpyware	4.40.0.1006	2012.01.07	-
Symantec	20111.2.0.82	2012.01.07	-
TheHacker	6.7.0.1.373	2012.01.06	-
TrendMicro	9.500.0.1008	2012.01.07	-
TrendMicro-HouseCall	9.500.0.1008	2012.01.07	-
VBA32	3.12.16.4	2012.01.06	-
VIPRE	11363	2012.01.07	-
ViRobot	2012.1.7.4868	2012.01.07	-
VirusBuster	14.1.154.0	2012.01.06	-

Additional information
MD5 : c4ac2500cba52d9ca85a60d8cd89ed96
SHA1 : 197a0c9d9ac22f89caececc41b89ea8d5c0f212a
SHA256: 2bac4f7dd6eb50182ae3429f792bf403b60f31c920cf28c9abdd58812f1f4331 안드로이드의 개방성의 어두운 점을 잘 보여주는 군요. 지금은 마켓에서 삭제되었습니다.

저작자표시동일조건

'악성코드분석' 카테고리의 다른 글

피파온라인3 이적시장 매크로를 사칭한 악성코드 주의!! (1)	2014.01.19
m.v9.com 사이트가 계속 접속될 경우 해결법(Android) (0)	2013.07.16
안드로이드 마켓 악성 앱 유포!! (New Year Live Wallpaper-5.apk) (0)	2012.01.07
팔레보웜 [P2P-Worm.Win32.Palevo.doqc] (0)	2011.09.12
VBS 바이러스 메모장 코드 복사 테스트 (0)	2011.08.29
네이트 해킹 악성코드 분석... (0)	2011.07.29

posted by 쿠들릭

Trackback 0 Comment 0

댓글을 달아 주세요

2011. 11. 13. 01:05 악성코드분석/웹 유포 분석

개소문 닷컴 유포중...

IE 취약점과 Adobe Flash 취약점을 통해 유포중입니다.

마지막으로 배포되는 lolo.css 최종파일은 실제로는 exe파일이며 온라인게임핵 역할을 합니다. (Malware/Win32.Generic)해당 사이트는 매주 유포하므로 주말에는 안들어가시는게 좋습니다.

http://www.virustotal.com/file-scan/report.html?id=74e8055a53b0e68b2ad4996a2c417474922ee71224ceb92a5b37d284ac26039a-1321112584

※오랜만에 유포글 써보네요...

저작자표시동일조건

소비자가 만드는 신문 배포중... (0)	2012.07.27
개소문 닷컴 유포중... (2)	2011.11.13
iPhone5 중계를 가장한 Daum팟 플레이어 위장 악성코드 (rfmon.exe) (3)	2011.10.05
옐로우 캡 택배 유포중 (0)	2011.08.27
여러 웹하드,뉴스,게임사이트에서 배포중... (0)	2011.08.20
주말 웹하드 악성코드의 conf.gif 변종! (6)	2011.08.06

댓글을 달아 주세요

Kwan 2012.01.29 16:44 Addr Edit/Del Reply

잘 보고 갑니다 : )
역쉬 능력자 !
- 쿠들릭 2012.02.01 03:00 신고 Addr Edit/Del
  감사합니다.~

2011. 10. 5. 01:13 악성코드분석/웹 유포 분석

iPhone5 중계를 가장한 Daum팟 플레이어 위장 악성코드 (rfmon.exe)

http://www.enxxxast.com/apple/appletv.htm

현재 아이폰5를 중계하는 사이트에서 Daum팟를 위장한 ActiveX 악성코드를 배포하고 있습니다.

http://www.virustotal.com/file-scan/report.html?id=b57b9223293137f853aa5673811b64881b7330e6f856723265e9b5f3d4c67caa-1317744037

http://www.virustotal.com/file-scan/report.html?id=7792acac573bd86d3df327031bc7c67f563d62b55b0963906839e64303da50ff-1317743929

많은 백신에서 미탐지이고 차후에 해당 악성코드가 웹에서 새로운 악성코드를 다운로드를 할수 있으므로 해당사이트에 어쩔수 없이 들어갈때는 ActiveX를 절대 설치하시면 안됩니다.

※경로는 C:\WINDOWS\system32\rfmon.exe 입니다.

PS.저도 지금 설치했다가 피봤네요;

저작자표시동일조건

소비자가 만드는 신문 배포중... (0)	2012.07.27
개소문 닷컴 유포중... (2)	2011.11.13
iPhone5 중계를 가장한 Daum팟 플레이어 위장 악성코드 (rfmon.exe) (3)	2011.10.05
옐로우 캡 택배 유포중 (0)	2011.08.27
여러 웹하드,뉴스,게임사이트에서 배포중... (0)	2011.08.20
주말 웹하드 악성코드의 conf.gif 변종! (6)	2011.08.06

댓글을 달아 주세요

철이 2011.10.05 16:47 Addr Edit/Del Reply

이거 유포당시 ASD에서 잡고있었나요 ^^;
- 쿠들릭 2011.10.05 17:39 신고 Addr Edit/Del
  아니오, 그땐 하우리와 시만텍의 insight로만 진단되었습니다.
철이 2011.10.06 16:41 Addr Edit/Del Reply

놀랍군요 하우리가 선제진단을 하고 있었다니요 ㅎ;

2011. 9. 12. 02:33 악성코드분석

팔레보웜 [P2P-Worm.Win32.Palevo.doqc]

오랜만에 글을 써보네요.^^;
해당 악성코드는 facebook-pic00049232016.exe 로 페이스북과 관련있는척 하는 팔레보 웜입니다.
http://camas.comodo.com/cgi-bin/submit?file=8840a31dceb0b7eb3b2a9b84ebc57216a9416f97116aec9357f48a78b5ed364d
한눈에 척 봐도 악성코드가 하는짓 이라는것을 알수가 있습니다.
원본파일 http://www.virustotal.com/file-scan/report.html?id=8840a31dceb0b7eb3b2a9b84ebc57216a9416f97116aec9357f48a78b5ed364d-1315761380

생성파일 http://www.virustotal.com/file-scan/report.html?id=e94c6ab4c3cddc905fc9f36205422eddff9e24badd0e200f6789a40862603a64-1315761629
PS.카스퍼스키의 빠른 업데이트 선방과 안랩의 ASD의 능력이 돋보이네요;;
아무쪼록 추석 잘보내시기 바랍니다~!

저작자표시동일조건

'악성코드분석' 카테고리의 다른 글

m.v9.com 사이트가 계속 접속될 경우 해결법(Android) (0)	2013.07.16
안드로이드 마켓 악성 앱 유포!! (New Year Live Wallpaper-5.apk) (0)	2012.01.07
팔레보웜 [P2P-Worm.Win32.Palevo.doqc] (0)	2011.09.12
VBS 바이러스 메모장 코드 복사 테스트 (0)	2011.08.29
네이트 해킹 악성코드 분석... (0)	2011.07.29
Trojan-Dropper.Win32.Agent.exkk 外 4종 (0)	2011.06.08

posted by 쿠들릭

Trackback 0 Comment 0

댓글을 달아 주세요

2011. 8. 29. 01:50 악성코드분석

VBS 바이러스 메모장 코드 복사 테스트

우연찮게 발견한 사실입니다. 단지 단순히 코드를 메모장으로 복사해 MD5값만 달라졌을뿐인데 V3와 Comodo에서는 미진단 됩니다. 아마 다른백신은 메모장에 있는 코드를 분석하는 반면 안랩같은 경우 1:1 방식의 파일 자체 진단으로 잡아내는것 같습니다.

코드를 진단할수 있는 새로운 Generic진단을 추가해야할듯 싶네요.

원본

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.

File name:

.vbs

Submission date:

2011-08-28 16:28:42 (UTC)

Current status:

finished

Result:

32/ 44 (72.7%)

VT Community

not reviewed
Safety score: -

Compact

Print results

Antivirus	Version	Last Update	Result
AhnLab-V3	2011.08.27.01	2011.08.28	VBS/Radier
AntiVir	7.11.14.0	2011.08.26	VBS/Autorun.AL
Antiy-AVL	2.0.3.7	2011.08.28	-
Avast	4.8.1351.0	2011.08.28	VBS:Agent-BD [Trj]
Avast5	5.0.677.0	2011.08.28	VBS:Agent-BD [Trj]
AVG	10.0.0.1190	2011.08.28	VBS/Worm.G
BitDefender	7.2	2011.08.28	VBS.Worm.Runauto.D
ByteHero	1.0.0.1	2011.08.22	-
CAT-QuickHeal	11.00	2011.08.28	VBS/Autorun.S
ClamAV	0.97.0.0	2011.08.28	VBS.Autorun-21
Commtouch	5.3.2.6	2011.08.27	VBS/Agent.F
Comodo	9901	2011.08.28	UnclassifiedMalware
DrWeb	5.0.2.03300	2011.08.28	VBS.Siggen.7356
Emsisoft	5.1.0.10	2011.08.28	Virus.VBS.Agent.ah!IK
eSafe	7.0.17.0	2011.08.28	-
eTrust-Vet	36.1.8525	2011.08.26	-
F-Prot	4.6.2.117	2011.08.27	VBS/Agent.F
F-Secure	9.0.16440.0	2011.08.28	VBS.Worm.Runauto.D
Fortinet	4.2.257.0	2011.08.27	-
GData	22	2011.08.28	VBS.Worm.Runauto.D
Ikarus	T3.1.1.107.0	2011.08.28	Virus.VBS.Agent.ah
Jiangmin	13.0.900	2011.08.28	I-Worm/VBS.Solow.h
K7AntiVirus	9.111.5060	2011.08.26	Trojan
Kaspersky	9.0.0.837	2011.08.28	Trojan.VBS.Agent.go
McAfee	5.400.0.1158	2011.08.28	VBS/Autorun.worm.k
McAfee-GW-Edition	2010.1D	2011.08.28	VBS/Autorun.worm.k
Microsoft	1.7604	2011.08.28	Worm:VBS/Radier.B
NOD32	6418	2011.08.28	VBS/Naiad.L
Norman	6.07.10	2011.08.27	VBS/AutoRun.G
nProtect	2011-08-28.01	2011.08.28	VBS.Worm.Runauto.D
Panda	10.0.3.5	2011.08.28	VBS/Autorun.KNS
PCTools	8.0.0.5	2011.08.28	Malware.VBS-Runauto!rem
Prevx	3.0	2011.08.28	-
Rising	23.72.04.03	2011.08.26	Worm.Script.VBS.Agent.aa
Sophos	4.68.0	2011.08.28	VBS/Autorun-AO
SUPERAntiSpyware	4.40.0.1006	2011.08.27	-
Symantec	20111.2.0.82	2011.08.28	VBS.Runauto
TheHacker	6.7.0.1.286	2011.08.28	-
TrendMicro	9.500.0.1008	2011.08.25	-
TrendMicro-HouseCall	9.500.0.1008	2011.08.28	-
VBA32	3.12.16.4	2011.08.26	-
VIPRE	10297	2011.08.28	Trojan.VBS.Generic (v)
ViRobot	2011.8.27.4643	2011.08.28	VBS.Autorun.55694
VirusBuster	14.0.189.0	2011.08.28	-

Additional information
MD5 : 9a28db16a3111fdffa518528395afe41
SHA1 : d72f9e9c73f27a6caee06b38a9f8138fc80f7757
SHA256: e04fc5bbf23af038e84d8f065bfea5d2b4aa17406d9c6f615c3fc97e23399837 메모장에 코드 복사 후...

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.

File name:

b.vbs

Submission date:

2011-08-28 16:38:50 (UTC)

Current status:

finished

Result:

30/ 44 (68.2%)

VT Community

not reviewed
Safety score: -

Compact

Print results

Antivirus	Version	Last Update	Result
AhnLab-V3	2011.08.27.01	2011.08.28	-
AntiVir	7.11.14.0	2011.08.26	VBS/Autorun.AL
Antiy-AVL	2.0.3.7	2011.08.28	-
Avast	4.8.1351.0	2011.08.28	VBS:Agent-BD [Trj]
Avast5	5.0.677.0	2011.08.28	VBS:Agent-BD [Trj]
AVG	10.0.0.1190	2011.08.28	VBS/Worm.G
BitDefender	7.2	2011.08.28	VBS.Worm.Runauto.D
ByteHero	1.0.0.1	2011.08.22	-
CAT-QuickHeal	11.00	2011.08.28	VBS/Autorun.S
ClamAV	0.97.0.0	2011.08.28	VBS.Autorun-21
Commtouch	5.3.2.6	2011.08.27	VBS/Agent.F
Comodo	9901	2011.08.28	-
DrWeb	5.0.2.03300	2011.08.28	VBS.Siggen.7356
Emsisoft	5.1.0.10	2011.08.28	Virus.VBS.Agent.ah!IK
eSafe	7.0.17.0	2011.08.28	-
eTrust-Vet	36.1.8525	2011.08.26	-
F-Prot	4.6.2.117	2011.08.27	VBS/Agent.F
F-Secure	9.0.16440.0	2011.08.28	VBS.Worm.Runauto.D
Fortinet	4.2.257.0	2011.08.27	-
GData	22	2011.08.28	VBS.Worm.Runauto.D
Ikarus	T3.1.1.107.0	2011.08.28	Virus.VBS.Agent.ah
Jiangmin	13.0.900	2011.08.28	I-Worm/VBS.Solow.h
K7AntiVirus	9.111.5060	2011.08.26	Trojan
Kaspersky	9.0.0.837	2011.08.28	Trojan.VBS.Agent.go
McAfee	5.400.0.1158	2011.08.28	VBS/Autorun.worm.k
McAfee-GW-Edition	2010.1D	2011.08.28	VBS/Autorun.worm.k
Microsoft	1.7604	2011.08.28	Worm:VBS/Radier.B
NOD32	6418	2011.08.28	VBS/Naiad.L
Norman	6.07.10	2011.08.27	VBS/AutoRun.G
nProtect	2011-08-28.01	2011.08.28	VBS.Worm.Runauto.D
Panda	10.0.3.5	2011.08.28	VBS/Autorun.KNS
PCTools	8.0.0.5	2011.08.28	Malware.VBS-Runauto!rem
Prevx	3.0	2011.08.28	-
Rising	23.72.04.03	2011.08.26	Worm.Script.VBS.Agent.aa
Sophos	4.68.0	2011.08.28	VBS/Autorun-AO
SUPERAntiSpyware	4.40.0.1006	2011.08.27	-
Symantec	20111.2.0.82	2011.08.28	VBS.Runauto
TheHacker	6.7.0.1.286	2011.08.28	-
TrendMicro	9.500.0.1008	2011.08.25	-
TrendMicro-HouseCall	9.500.0.1008	2011.08.28	-
VBA32	3.12.16.4	2011.08.26	-
VIPRE	10297	2011.08.28	Trojan.VBS.Generic (v)
ViRobot	2011.8.27.4643	2011.08.28	VBS.Autorun.55694
VirusBuster	14.0.189.0	2011.08.28	-

Additional information
MD5 : 072ebed7e11bf49df2b40127357567b3
SHA1 : 32a66c228ac1dca2c41dccd01aa6f579765005fa
SHA256: d375a8184d474a4c1ac9a4ec9c073095dbff1d2936cead8fa008496046c84385

저작자표시동일조건

'악성코드분석' 카테고리의 다른 글

안드로이드 마켓 악성 앱 유포!! (New Year Live Wallpaper-5.apk) (0)	2012.01.07
팔레보웜 [P2P-Worm.Win32.Palevo.doqc] (0)	2011.09.12
VBS 바이러스 메모장 코드 복사 테스트 (0)	2011.08.29
네이트 해킹 악성코드 분석... (0)	2011.07.29
Trojan-Dropper.Win32.Agent.exkk 外 4종 (0)	2011.06.08
거의 못잡는 위험적인 파일 (2)	2009.08.11

posted by 쿠들릭

Trackback 0 Comment 0

댓글을 달아 주세요

2011. 8. 27. 10:06 악성코드분석/웹 유포 분석

옐로우 캡 택배 유포중

현재 CVE-0806취약점과 Adobe Flash취약점을 노리고 있습니다.
http://www.virustotal.com/file-scan/report.html?id=63439053ba869316fce5930c5f601173200be992bf5fe98d0dca15a8144a9ea3-1314405759
http://camas.comodo.com/cgi-bin/submit?file=63439053ba869316fce5930c5f601173200be992bf5fe98d0dca15a8144a9ea3
친숙한 이름이 보이네요.
ws3help.dll ws2help.dll
감염시 http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3_gamehackkill.exe에서 치료바랍니다.

저작자표시동일조건

개소문 닷컴 유포중... (2)	2011.11.13
iPhone5 중계를 가장한 Daum팟 플레이어 위장 악성코드 (rfmon.exe) (3)	2011.10.05
옐로우 캡 택배 유포중 (0)	2011.08.27
여러 웹하드,뉴스,게임사이트에서 배포중... (0)	2011.08.20
주말 웹하드 악성코드의 conf.gif 변종! (6)	2011.08.06
Q다운 웹하드 유포중 (0)	2011.08.06

댓글을 달아 주세요

2011. 8. 20. 00:53 악성코드분석/웹 유포 분석

여러 웹하드,뉴스,게임사이트에서 배포중...

이중에서 xxxMSN사이트에서 배포하는 sh819.css에 대해서만 알아보겠습니다.
http://www.virustotal.com/file-scan/report.html?id=a62b785f5421d27399a134c4bf98e3a5cbb5104f522c0c3ea81acb06abfb5a99-1313767743
http://camas.comodo.com/cgi-bin/submit?file=a62b785f5421d27399a134c4bf98e3a5cbb5104f522c0c3ea81acb06abfb5a99
imm32.dll패치와 함께 전형적인 게임핵 형태를 보이고 있습니다.
항상 보안패치후 백신 실시간감시를 최신으로 돌려주시기 바랍니다...

Q다운 웹하드 유포중 (0)	2011.08.06
K디스크 파일유포 (5)	2011.07.22
씨네X울 배포중! (0)	2011.07.17
오X기 P.exe 배포중! (2011.7.2) (0)	2011.07.02
주말 유포지 E.exe 주의! (2011.6.25) (0)	2011.06.25
주말유포지 H.exe 주의! (Dropper/Win32.OnlineGameHack) (0)	2011.06.19

네이트온 악성코드 bsid.css 유포중! (2)	2011.07.09
네이트온 악성코드 유포중 Dropper/Win32.OnlineGameHack (xzasd.css) 2011.6.26 (0)	2011.06.26
네이트온 악성코드 (2011.6.5) naie.css 배포중! (0)	2011.06.05
네이트온 악성코드 krbbb.exe (2011.5.14) (0)	2011.05.14
네이트온 악성코드 2011.5.9 (gasoe.exe) (2)	2011.05.09
네이트온 악성코드 유포 adjku.exe (2011.04.17) (0)	2011.04.17

주말유포지 H.exe 주의! (Dropper/Win32.OnlineGameHack) (0)	2011.06.19
여러 웹하드 및 각종 유포지 scvhost.exe 주의! (2)	2011.06.12
현재 많은 뉴스사이트와 웹하드 사이트에서 취약점을 노린 악성코드 유포중... (0)	2011.05.14
판X라 TV 유포中 (0)	2011.05.07
폴X뉴스 유포중... (0)	2011.05.03
올림X스 유포 (2011.4.25) (0)	2011.04.25

Antivirus	Version	Last Update	Result
AhnLab-V3	2011.05.03.01	2011.05.03	-
AntiVir	7.11.7.120	2011.05.03	TR/Obfuscate.GE.15
Antiy-AVL	2.0.3.7	2011.05.03	-
Avast	4.8.1351.0	2011.05.03	-
Avast5	5.0.677.0	2011.05.03	-
AVG	10.0.0.1190	2011.05.03	Win32/NSAnti
BitDefender	7.2	2011.05.03	-
CAT-QuickHeal	11.00	2011.05.03	-
ClamAV	0.97.0.0	2011.05.03	-
Commtouch	5.3.2.6	2011.05.03	W32/SuspPack.AC.gen!Eldorado
Comodo	8567	2011.05.03	-
DrWeb	5.0.2.03300	2011.05.03	-
Emsisoft	5.1.0.5	2011.05.03	AdvHeur!IK
eSafe	7.0.17.0	2011.05.02	-
eTrust-Vet	36.1.8304	2011.05.03	-
F-Prot	4.6.2.117	2011.05.02	W32/SuspPack.AC.gen!Eldorado
F-Secure	9.0.16440.0	2011.05.03	-
Fortinet	4.2.257.0	2011.05.03	-
GData	22	2011.05.03	-
Ikarus	T3.1.1.103.0	2011.05.03	AdvHeur
Jiangmin	13.0.900	2011.05.03	-
K7AntiVirus	9.98.4541	2011.05.02	Riskware
Kaspersky	9.0.0.837	2011.05.03	-
McAfee	5.400.0.1158	2011.05.03	Artemis!0C9B505B2FEB
McAfee-GW-Edition	2010.1D	2011.05.03	Artemis!0C9B505B2FEB
Microsoft	1.6802	2011.05.03	VirTool:Win32/Obfuscator.GE
NOD32	6090	2011.05.03	-
Norman	6.07.07	2011.05.03	-
Panda	10.0.3.5	2011.05.03	-
PCTools	7.0.3.5	2011.05.03	-
Prevx	3.0	2011.05.03	Medium Risk Malware
Rising	23.56.01.06	2011.05.03	-
Sophos	4.64.0	2011.05.03	-
SUPERAntiSpyware	4.40.0.1006	2011.05.03	-
Symantec	20101.3.2.89	2011.05.03	-
TheHacker	6.7.0.1.187	2011.05.03	-
TrendMicro	9.200.0.1012	2011.05.03	PAK_Generic.012
TrendMicro-HouseCall	9.200.0.1012	2011.05.03	PAK_Generic.012
VBA32	3.12.16.0	2011.05.02	-
VIPRE	9185	2011.05.03	-
ViRobot	2011.5.3.4443	2011.05.03	Trojan.Win32.Obfuscator.85005
VirusBuster	13.6.333.0	2011.05.03	Trojan.Hupigon.Gen!Pac.6

calendar

Notice

Tag

Search

Category

Recent Post

Recent Comment

Recent Trackback

Archive

My Link

'악성코드분석'에 해당되는 글 48건

'악성코드분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석 > 네이트온 악성코드' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석 > 네이트온 악성코드' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석 > 웹 유포 분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요

'악성코드분석' 카테고리의 다른 글

Trackback |

댓글을 달아 주세요