요즘 USB 드라이브나 외장형 하드디스크를 통해 전파되는 악성코드가 증가하고 있다.
프로세스가 실행 중일 떄는 악성코드 실행 파일과 autorun.inf 파일을 삭제해도 다시 생성해 사용자 입장에서는 지워도 지워도 치료가 안되는 것처럼 보이게 한다.

발견된지는 오래되었지만 USB 드라이브에 자신의 사랑을 얘기하는 악성코드가 존재한다.

- 생성 파일명 : Edelin_X.exe
- 파일길이 : 32,768 바이트
- MD5 : 3ca1a6fe4c3eb75f580b988d06ae26c4
- V3 진단명 : Win32/Autorun.worm.32768.B (2007.11.26.00 엔진 이후 진단)

이 악성코드는 실행 파일과 autorun.inf 외에 Surat Untuk Edelin.txt 파일이 생성되며 아래 내용을 담고 있다.

Dearest Edelin bt. Baharum

    ***     ***
  *     * *     *
 *       *       *
 *               *
 *               *
  *             *
   *           *
     *       *
       *   *
         *

From:
ur_edmirer@yahoo.com

011001010110010001100101011011000110100101101110
011010010110110001101001011010110110010101110101

오늘 접수된 새로운 론다 웜은 자신의 블로그로 접속하게 한다.

- 샘플코드 : EC07072600074-000001
- MD5 : cb0a07279af5c7f4d13f6c3e56a46587
- 파일길이 : 184441
- V3 진단명 : Win32/Ronda.worm (2007.07.27.00 이후 엔진)

접수된 파일이름은 co방어기.exe 였다.
아마도 카페 등에 게임 관련 유틸리티로 올리게 아닐까 싶다.

악성코드는 SVKP 로 압축되어 있으며 이 패커는 디버거나 모니터링 프로그램이 있으면 실행되지 않는다. 따라서, 분석하기 좀 까다롭다.

실행되면 특정 주소 (http://****.ze.to) 사이트로 접속을 시도한다.

2007년 7월 26일 오후 6시 12분 현재 오늘만 311명이 접속했다.
총 16025 명 접속.

글은 달랑 1개 올라와있기 때문에 악성코드에 감염된 사용자 수가 아닐까 싶다.

제가 가지고 있는 백신의 엔진(주로 DLL)과 시그니처 파일의 크기입니다.
부가적인 프로그램은 빠진 순수 엔진과 시그니처 길이 입니다.

압축 후에도 길이 비교해서 큰 변화없는건 이미 압축되어 있다는 얘기겠죠.

Fortinet : 44 MB -> 44 MB (압축 추정)
Trend : 35.2 MB -> 22.2 MB (미압축. 34.1 MB 시그니처 파일만 압축할 때 21.6 MB 로 줄어듬)
Rising : 28.1 MB -> 24.2 MB (압축 추정. DLL 파일이 30개로 많음)
V3 : 26.1 MB -> 14.4 MB
Microsoft : 20 MB --> 18.6 MB (압축 추정)
AntiVir : 18.3 MB     --> 16 MB (압축 추정)
F-PROT : 17.9 MB -> 8.6 MB (미압축)
McAfee : 16.2 MB -> 13 MB (압축 추정. DLL 파일이 3개로 하나 크기가 2.7 MB)
Kaspersky : 12 MB --> 12 MB (압축 추정)
Sophos : 11.7 MB --> 10.2 Mb (압축 추정)
Ikarus : 10.7 MB -> 9.8 MB (압축 추정)
BitDefender : 10.4 MB -> 10 MB (압축 추정)
Jiangmin : 7.6 MB -> 5.8 MB (압축 추정. 시그니처 파일만 압축시 4.9 MB)
Dr Web : 6.11 MB -> 5.1 MB (압축 추정)

V3 도 제법 크네요.
이제 다이어트 좀 해야겠습니다.

하긴 V3 도 벌써 55 만개를 진단하니... @.@

2007년 7월 25일 오전에 MSN 메신저를 이용한 웜 등장 기사가 나왔다.

- MSN 메신저를 이용한 웜 등장
http://www.ddaily.co.kr/news/news_view.php?uid=27092

- MSN 메신저 신종 웜 주의하세요. (머니투데이)
http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2007072509483914628

MD5 : 6889bc7b62929dd98d29310e5fc73055 
파일명 : pictures04.sc2513
파일크기 : 121,344 bytes 
V3 진단명 : Win32/Agent.worm.121344 (V3,진단버전:2007.07.24.01/치료버전:2007.07.24.01)

[관련정보]

http://www.cisrt.org/enblog/read.php?128

* V3 진단명 : Win32/IRCBot.worm

* 샘플코드 : EC07070303998-000001
* MD5 : 596fc1018ab4148924b92cf5f12c69ef
* 파일 길이 : 64273

Mutex 부분에 PhatBot 2007 (0.4.2) "Release" on "Win32" 을 생성하는 악성코드가 있다.
PhatBot ??!?!
예전에 많이 보던 이름인데 제작자가 잡혔지 않나 ?

PhatBot 2007 로 주장하는데 과거의 PhatBot 의 영광을 이용한건지는 추가 확인이 필요할 것으로 보인다.

떨어지는 svc.dll 파일은 tftp.exe, ftp.exe 로 악성코드인 svc.exe 를 복사하는 것으로 보인다.

* MD5 : 41a8e7d0b4c7b23cdefe412fc49650bd
* 파일길이 : 11776

1. 악성코드 정보
  ㄱ. Harrenix.A(panda)
      http://www.pandasoftware.com/com/virus_info/encyclopedia/overview.aspx?IdVirus=165764&sind=0

2. 스파이웨어 정보
  ㄱ. Trojan.Media-Codec(spywareguide)
       http://www.spywareguide.com/spydet_2839_trojan_media_codec.html
 
[참고] 정보출처
  - www.pandasoftware.com
  - spywareguide.com

2007년 6월 20일 바이러스체이서에서 Win32.HLLM.Limar.based 로 진단되는 웜이 메신저로 국내에 퍼지고 있다는 기사가 났다.
V3 에는 작년에 추가된 Win32/Stration.worm.Gen 으로 기진단된다.

[관련기사]

- 뉴테크웨이브, MSN 메신저를 이용한 웜 주의보
http://www.pbj.co.kr/news/read.php?idxno=33550

- 뉴테크웨이브, 메신저 웜 주의 당부
http://www.etnews.co.kr/news/detail.html?id=200706200098

- 뉴테크웨이브, MSN 메신저 이용한 웜 '리마르' 주의
http://www.inews24.com/php/news_view.php?g_serial=267685&g_menu=020200

[파일 정보]
- 파일 길이 : 90,684
- MD5 : d6146e712d3369a0db0c0f73a542c120

1. 악성코드 정보
  ㄱ. W32/Zaflen.a(McAfee)
     - http://vil.nai.com/vil/content/v_142474.htm

2. 스파이웨어 정보
  ㄱ. SpyCrush(sunbelt)
       http://research.sunbelt-software.com/threatdisplay.aspx?name=SpyCrush&threatid=123566

[참고] 정보출처
  - McAfee
  - sunbelt