헐랭이와 IT보안 (opt9's IT Security)

덧글

• fullc0de 2007/03/15 11:55 # 답글

  저두 어제 SANS ISC 를 통해서 내용을 접했습니다. 보면서 자꾸 드는 생각이.. AV 엔지니어들 피곤하겠따... -_-;;; 네요 ㅠㅠ 불쌍해요..

• 2007/03/15 14:17 # 삭제 답글

  비공개 덧글입니다.

• 쿨캣 2007/03/15 19:08 # 삭제 답글

  노르웨이 은행이 목표인데 제작한 곳은 중국으로 보이네요. 중국애들이 한국도 모자라 이제 유럽으로 진출하는게 아닐가 합니다.
  
  코드 보면 국내에서 발견되는 형태와 유사한 부분이 많네요.
  (Win32/Viking 바이러스나 Win32/Dellboy 바이러스에서도 볼 수 있음)
  
  - Kingsoft, Rising AntiVirus (모두 중국 로컬 제품) 종료
  - KAV 탐지 창 끄기 (사용자가 발견 사실을 모르게)
  - 진단시 백신에서 출력하는 소리 꺼 버리기 (처음 본다고 했지만 예전부터 사용되던 기법)
  - _desktop.ini 파일 생성
  
  특히 전파 기능이 있다는거 봐서는 정말 노르웨이 은행 타겟으로 한 샘플이 맞는지 궁금하네요 ?!?!?!

• 헐랭이 2007/03/15 19:17 # 답글

  노르웨이 은행만을 별도로 target 화 해서 공격한 형태는 아닌 듯 합니다. SANS Handler's diary 에 보면 노르웨이 은행 PC 들이 대량으로 이 바이러스에 감염되었고, 해외 엔지니어들이 이 바이러스 처리에 좀 골치 아팠나 봅니다.

• 쿨캣 2007/03/16 08:58 # 삭제 답글

  아.. 노르웨이 은행 PC 감염이군요.
  
  최근에 노르웨이 은행 계좌 정보 탈취를 위해 트로이목마가 뿌려진 일이 있어서 그 샘플인줄 알았거든요.
  

• fullc0de 2007/03/16 16:30 # 답글

  제가 샘플을 가지고 있는데 노르웨이 은행의 PC가 감염된 것과 100% 동일하지는 않지만 같은 악성코드 입니다. dll이름이 좀 다르고.. 근데 대부분이 똑같으니 변종이라고 생각하면 되겠쪄? ^^ 필요하시면 메신저나 메일 아무거나 편하신 형태로 드릴께요.. 그럼 립흘~ ㅎㅎ

• 헐랭이 2007/03/16 18:15 # 답글

  감사합니다. swbaes@shinbiro.com 으로 메일 주시면 고맙겠습니다. *^^*

• 맹이★ 2007/05/10 16:21 # 삭제 답글

  fullc0de님&&헐랭이님//혹시 괜찮으시다면 저에게도 보내주셨으면..ㅠ_뉴
  부산의 부경대에 다니고 있는 학생인데..
  이번에 악성코드 분석을 하고 싶은데 분석하기 전에 코드 구하기가 힘들어서욧..;!
  부탁드립니다..ㅠㅁ뉴/!!!!!!
  d o n a t m @ naver.com

• 꼬마애기 2007/06/05 11:06 # 삭제 답글

  fullc0de님 저에게도 샘플을 보내주시면 감사하겠습니다 ^^;
  
  꼭 부탁드립니다
  
  yeonghunkim @ naver.com