반응형
특히 작년 연말, 새해, 미국 대통령 취임식, 발렌타인 등을 이용하여 다양한 변종이 유포되고 있는 것으로 보입니다.
유포 방식은 이메일이나 특정 악의적인 링크를 통해 위와 같은 하트 모양의 그림 파일이 존재하는 사이트에 접속하여 다양한 형태의 파일명을 가진 트로이목마를 다운로드하게 만들고 있습니다.
you.exe / love.exe / meandyou.exe 파일 등 파일명은 다양하게 존재하는 것으로 보입니다.
| Antivirus | Version | Last Update | Result |
| a-squared | 4.0.0.93 | 2009.01.29 | - |
| AhnLab-V3 | 5.0.0.2 | 2009.01.29 | - |
| AntiVir | 7.9.0.60 | 2009.01.29 | - |
| Authentium | 5.1.0.4 | 2009.01.28 | W32/Waledac.2!Generic |
| Avast | 4.8.1281.0 | 2009.01.28 | - |
| AVG | 8.0.0.229 | 2009.01.29 | - |
| BitDefender | 7.2 | 2009.01.29 | Trojan.Waledac.Gen.1 |
| CAT-QuickHeal | 10.00 | 2009.01.29 | - |
| ClamAV | 0.94.1 | 2009.01.29 | - |
| Comodo | 952 | 2009.01.29 | - |
| DrWeb | 4.44.0.09170 | 2009.01.29 | - |
| eSafe | 7.0.17.0 | 2009.01.29 | - |
| eTrust-Vet | 31.6.6334 | 2009.01.29 | - |
| F-Prot | 4.4.4.56 | 2009.01.28 | W32/Waledac.2!Generic |
| F-Secure | 8.0.14470.0 | 2009.01.29 | - |
| Fortinet | 3.117.0.0 | 2009.01.29 | - |
| GData | 19 | 2009.01.29 | Trojan.Waledac.Gen.1 |
| Ikarus | T3.1.1.45.0 | 2009.01.29 | - |
| K7AntiVirus | 7.10.609 | 2009.01.29 | - |
| Kaspersky | 7.0.0.125 | 2009.01.29 | - |
| McAfee | 5509 | 2009.01.28 | - |
| McAfee+Artemis | 5509 | 2009.01.28 | - |
| Microsoft | 1.4205 | 2009.01.29 | - |
| NOD32 | 3811 | 2009.01.29 | - |
| Norman | 6.00.02 | 2009.01.29 | - |
| nProtect | 2009.1.8.0 | 2009.01.29 | - |
| Panda | 9.5.1.2 | 2009.01.29 | - |
| PCTools | 4.4.2.0 | 2009.01.29 | - |
| Prevx1 | V2 | 2009.01.29 | Cloaked Malware |
| Rising | 21.13.42.00 | 2009.01.23 | - |
| SecureWeb-Gateway | 6.7.6 | 2009.01.29 | Trojan.LooksLike.Pakes |
| Sophos | 4.38.0 | 2009.01.29 | - |
| Sunbelt | 3.2.1835.2 | 2009.01.16 | - |
| Symantec | 10 | 2009.01.29 | W32.Waledac |
| TheHacker | 6.3.1.5.232 | 2009.01.29 | - |
| TrendMicro | 8.700.0.1004 | 2009.01.29 | - |
| VBA32 | 3.12.8.11 | 2009.01.29 | - |
| ViRobot | 2009.1.29.1580 | 2009.01.29 | - |
| VirusBuster | 4.5.11.0 | 2009.01.28 | - |
| Additional information | |||
| File size: 392704 bytes | |||
| MD5...: 7232751c59610f4e06dd16ec9d623a79 | |||
| SHA1..: 8f5a9f82243f01f33e008da19e386ed6b0a4afc5 | |||
변종일 경우 해외 유명 보안 제품 역시 Generic 진단을 제외하고는 제대로 진단하는 제품을 찾기 힘들어 보입니다.
[레지스트리 생성]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- PromoReg = 경로 및 파일명
■ 특정 포트(Port) 오픈 및 원격 서버 접속을 통한 사용자 정보 유출
213.xx.5.156:80 (네덜란드)
70.xxx.176.215:80 (미국)
84.xx.228.132:80 (독일)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- PromoReg = 경로 및 파일명
■ 특정 포트(Port) 오픈 및 원격 서버 접속을 통한 사용자 정보 유출
213.xx.5.156:80 (네덜란드)
70.xxx.176.215:80 (미국)
84.xx.228.132:80 (독일)
전 세계 다양한 서버와 연결되는 것을 보면 광범위하게 유포되고 감염된 상태임을 추정할 수 있습니다.
악성코드의 유포 방식 중의 하나가 특정일, 사건 등을 이용하는 방식이 사용되고 있으므로 신뢰할 수 없는 이메일 또는 사이트에서 제공하는 파일은 다운로드하여 실행하지 않도록 주의하시기 바랍니다.
[관련글 보기]
2008/02/13 - [벌새::Analysis] - 발렌타인(Valentine) Storm Worm 주의
2008/04/01 - [벌새::Analysis] - 만우절을 이용한 이메일 웜 유포 - Email-Worm.Win32.Zhelatin.wt (Kaspersky)
2008/02/13 - [벌새::Analysis] - 발렌타인(Valentine) Storm Worm 주의
2008/04/01 - [벌새::Analysis] - 만우절을 이용한 이메일 웜 유포 - Email-Worm.Win32.Zhelatin.wt (Kaspersky)
반응형
참 무섭군요 .. ;; 백신들도 진단이 어렵다니 .. ;; 제가 일부러 구글 가서 그냥 쳐보니깐 사이트 금방 알 수 있더군요 ;; 그래서 일단 파일은 받고 압축 해나서 조금 있다가 백신 사이트에 신고를 해야 할거 같네요 ..
제가 받은 변종은 only you인데 노턴이 진단을 못하네요 ..
아마 변종인가 봅니다.
안녕하세요. 벌새님 바제 2 혜성이라고 합니다 .
맨처음 이미지 2장을 제블로그에 좀 가져가겠습니다 .
만약 원치않으시면 바로 제거하겠습니다.
출처만 잘 밝혀주시면 상관없습니다.^^
형도 왔나? ㅋㅋ 얼마나 뿌린거야.
이메일은 안왔어~ 우연히 샘플 수집 중에..ㅋ
담아갈께요^^