본문 바로가기
[루트킷] PC Hunter V1.1(x86 & x64) 안티 루트킷 탐지 툴로 유명한 XueTr 프로그램이 이름이 바뀌어서 새롭게 나왓네요. 새롭게 변경 된 이름은 PC Hunter 입니다. 기존의 XueTr 프로그램은 64Bit가 지원되지 않아서 좀 기다리고 있었는데, 이미 새로운 이름으로 바뀌어서 출시를 했군요. - PC Hunter 다운로드 : http://down.epoolsoft.com/pchunter/PCHunter_free.zip 이번 1.1 업데이트에서는 다음과 같이 수정되었습니다. 지원가능 한 OS :Windows 2000 SP4 (32-bit only)Windows XP (32-bit only)Windows Server 2003 (32-bit only)Windows Vista (32-bit only)Windows Server 2008 (32.. 2013. 3. 7.
[루트킷] GMER 2.1.18952 루트킷 탐지 툴로 유명한 지머(Gmer)가 2.1로 업데이트를 했네요. 이번 2.1 업데이트에서는 다음과 같이 수정되었습니다. The latest version of GMER 2.1.18952 released 2013.02.13 GMER runs only on Windows NT/W2K/XP/VISTA/7/8 - Added third-party software component scan (타사 소프트웨어 구성요소 검사 추가) - Improved services scanning (서비스 스캐닝 향상) - Improved registry scanning (레지스트리 스캐닝 향상) - Fixed Windows 8 x86 lock issue (Windows 8 잠금 이슈 수정) 다운로드 링크 : http://w.. 2013. 2. 14.
ahnurl.sys, olesau32.dll을 이용하여 개인정보를 가로채는 악성파일 주의!! 해당 파일들은 주말을 이용한 국내 홈페이지 변조(어딘지는 말하지 않겠음, 커뮤니티, 웹하드 사이트 라는것만...) 를 통해 설치되었으며, 루트킷 파일을 통해 자신의 파일을 숨기며 감염PC에 개인정보를 유출하게 된다. 변조 된 사이트에 접속하면 오라클 자바 취약점(CVE-2011-3544)에 의해 악성파일이 다운로드 되어 실행된다. - 생성 파일 C:\Documents and Settings\[사용자계정]\Local Settings\Temp\ddd.exe - Trojan.Dropper.OnlineGames.au32 C:\WINDOWS\setupball.bmp - Spyware.OnlineGames.au32 C:\WINDOWS\olesau32.dll - Spyware.OnlineGames.au32 C:\WI.. 2012. 3. 17.
바이오스 루트킷(BIOS Rootkit), Mebromi(MyBios) Bios Rootkit + MBR infected 최근 바이오스 루트킷이라고 불리는 Mebromi 또는 MyBios 로 불리우는 악성파일이 확인 되었다. 분석을 좀 해봣는데 어려워서 ㅠ.ㅠ 그냥~ 기록용으로 남겨본다. 우선 드롭퍼에 의해 악성파일은 총 5개의 드롭파일을 생성한다. 모두 리소스에 담겨져 있으며 용량은 크지 않다. C:\my.sys C:\bios.bin C:\WINDOWS\system32\drivers\bios.sys C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\cbrom.exe C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\hook.rom 각 파일을 간단하게 살펴보면, - my.sys Disk.sys의 IRP Major Function.. 2011. 9. 15.
삼성(SamgSung), 삼성 노트북에 "키로거(StarLogger)" 악성파일이 있다!? 없다!? (내용추가) 유명 보안블로거이신 울지않는 벌새님의 테스트로 인해 삼성측의 말이 사실로 확인 되었다. (삼성블로그에서는 말로만 설명하였는데, 이렇게 단순하게 테스트를 해서 보여주면 사용자들이 좀 더 쉽게 이해했을 텐데...) 벌새님의 테스트 과정은 이렇다. 1. Windows폴더에 "SL" 이라는 빈폴더 생성 2. VIPRE 제품 설치 후 검사(화면에 보이는것 처럼 Starlogger 악성파일이 탐지 되었다.) 아예 Type이 Folder로 되어 있는것이 확인되었다. 결론적으로 VIPRE 제품은 "C:\Windows\SL" 폴더만 있어도 StarLogger 탐지명으로 탐지 된 다는 것을 알 수 있다. 따라서 이번 삼성 노트북의 진실은 삼성의 승!! =======================================.. 2011. 3. 31.
[루트킷]Kernel Detective v1.4.1 분석툴로 많이 사용되고 있는 Kernel Detective 프로그램이 업데이트 되었네요. - 다운로드 링크 : http://www.at4re.com/download.php?view.2 - 파일 다운로드 : Kernel Detective is a free tool that help you detect, analyze, manually modify and fix some Windows NT kernel modifications. Kernel Detective gives you the access to the kernel directly so it's not oriented for newbies. Changing essential kernel-mode objects without enough knowledge.. 2011. 1. 14.
[루트킷]GMER 1.0.15.15315 * version : 1.0.15 - Changed installation method - Improved files scanning - Improved kernel & user mode code sections scanning 다운로드 링크 : http://www2.gmer.net/gmer.zip 2010. 10. 14.
MS10-015 보안 업데이트 배포 재개 Alureon 루트킷 악성코드 잠시 멈추었던 MS10-015 보안 업데이트가 다시 재개되었다. MS10-015 보안업데이트가 성공적으로 설치 된 PC는 업데이트를 안해도 된다^^ - MS코리아 블로그에 올라온 내용이다. 2월 10일에 나왔던 MS10-015 커널 보안 업데이트가 블루 스크린을 일으키는 경우를 조사 중이라고 포스팅했었는데 이에 대해 추가된 내용이 있습니다. 블루 스크린을 일으키는 원인은 시스템이 루트킷 형식의 악성 코드인 Alureon에 감염되어 커널을 일부 변경했기 때문이었습니다. 그래서 마이크로소프트는 MS10-015를 설치해도 문제가 없는지 미리 알 수 있는 스캐닝 툴을 만들어 기술 자료 KB 980966에 공개했습니다. Fix It을 실행하면 MS10-015, 즉 보안 업데이트 97.. 2010. 3. 3.