본문 바로가기

조치 가이드

시스템 오류로 위장한 기술 지원 사기 주의 최근 온라인 광고 사이트를 통해서 시스템 오류로 위장한 기술 지원 사기가 유행하고 있습니다. [기술 지원 사기(Tech Support Scams)]시스템 또는 소프트웨어의 문제가 발생한 것처럼 위장한 뒤, 사용자에게 이를 수리하기 위한 기술 지원 비용을 요구하는 기법최근 인터넷 뉴스 사이트에 포함된 광고 네트워크에서 기술 지원 사기 웹 사이트가 발견되었습니다. 이러한 웹 사이트는 시스템 오류가 발생한 것처럼 위장하여 팝업창을 출력합니다. [그림] 기술 지원 사기 웹 사이트발견된 기술 지원 사기 웹 사이트는 다음과 같이 두가지 종류의 팝업창을 사용합니다.이미지와 HTML을 이용하여 Windows에서 발생하는 오류로 위장[그림 1-1] Windows에서 발생하는 오류 위장[그림 1-1]은 'Windows 시..
보안취약점을 이용한 악성코드 감염 예방 방법 최근 운영체제와 응용프로그램의 취약점을 이용한 악성코드가 유행하고 있습니다. 악성코드에 감염되면 파일 암호화, 개정보 유출 등의 피해를 입을 수 있습니다.악성코드로부터의 피해를 예방하기 위해서는 운영체제 및 응용프로그램의 보안 업데이트를 최신 상태로 유지해야 하고 V3 제품의 실시간 감시, 행위 기반 진단, Active Defense 기능을 설정하여 사용하시기를 권장합니다. [주요 OS 및 애플리케이션 보안 패치 업데이트 안내]* Adobe Flash Player : http://get.adobe.com/kr/flashplayer/* Microsoft : http://update.microsoft.com/ (Windows 정품인증 필요)* Adobe Acrobat Reader : http://get.ad..
악성코드가 이용하는 취약점 패치 (Flash Player / Java ) 권고 ■ 개 요 최근 다수의 웹페이지에 삽입된 악성스크립트로 인해 온라인게임계정을 탈취하는 Onlinegamehack 류의 악성코드에 감염되는 현상이 급증하고 있습니다.현재 유포 중인 온라인게임핵류 악성코드는 OS 정상 시스템 파일을 교체함으로 치료가 매우 까다롭고, 악성코드의 버그 및 치료 방해 기능으로 인해 감염시 인터넷이 되지 않거나, 심할 경우 시스템 부팅이 되지 않는 증상이 발생하여 개인 및 기업에 심각한 피해를 입히고 있습니다.이러한 악성코드 감염을 근본적으로 예방하고자, 온라인게임핵류 악성코드가 주로 이용하는 취약점 관련 어플리케이션 중 'Flash player', 'Java' 패치 방법 에 대해 IT 관리자 측면에서 사용자에게 패치를 적용시키는 방법을 공유하오니, IT 관리자분들은 아래 내용을 ..
imm32.dll을 패치하는 악성코드 조치 가이드 Ver. 2.0 1. 서 론 imm32.dll을 패치하는 악성코드와 관련된 피해사례가 꾸준히 접수되고 있어 확인해 본 결과 기존의 방식과는 조금은 다른 방식을 사용하여 악성코드를 실행하도록 되어 있어 일반 사용자들을 위해서 "imm32.dll을 패치하는 악성코드"에 대한 정보를 업데이트하였다. 2. imm32.dll을 패치하는 악성코드, 수동조치는 어떻게? 최근에 발견된 imm32.dll을 패치하는 악성코드를 수동조치하기 위해서는 두 가지 경우의 수를 두고 수동조치를 해야한다. Case 1. 정상 imm32.dll -> imm32A.dll로 백업 후 순도 100%의 악성 imm32.dll로 교체되는 경우 Case 1에 해당하는 PC에서 안리포트를 실행하여 프로세스 & 모듈 -> 로드된 모듈 부분을 살펴보면 아래 그림처럼..
[긴급] MBR 및 파일 손상 !! 시스템 복구 불가능 !! 부팅전에 전용백신으로 조치하세요 !! ◆ 서론 2011년 3월 3일부터 국내 웹사이트를 겨냥한 DDoS 공격 및 감염PC의 시스템 손상을 일으키는 악성코드가 발견 되었습니다. 시스템 손상은 하드디스크 내부에 존재하는 모든 문서파일 등 주요파일을 손상시킨 후 부팅에 관여하는 MBR 정보를 파괴하여 PC를 부팅불가 및 데이터복구 불가 상태로 만들게 됩니다. 이에 아래 조치 가이드를 활용하여 즉시 예방조치 하실 것을 권해 드립니다. (본 문서는 윈도2000 이상의 모든 OS군에 유효 합니다.) 1. 현재 사용 중인(전원이 켜있는) 컴퓨터의 예방조치 방법 A. 안철수연구소 홈페이지에 접속하여 [전용백신 다운로드] 후 검사 2. 현재 사용 중이지 않은(전원이 꺼진) 컴퓨터의 예방조치 방법 A. 안전모드(네트워크사용)로 부팅 B. 안철수연구소 홈페이지..
System Tool 2011 조치 안내 1. 서 론 이름을 바꿔가며 변형이 유포되며, 그리고 감염 피해가 발생되고 있는 허위 백신 프로그램이 최근에는 'System Tool 2011'이라는 이름으로 유포되고 있어 주의가 필요합니다. - 관련 포스팅 글 : http://core.ahnlab.com/52 2. 악성코드 유포 방법 및 증상 주로 SEO(Search Engine Optimazation) 기법, 또는 스팸 메일을 통해 유포되어 왔으며, System Tool, Total Security 같은 유사한 이름으로 변경되어 유포되고 있습니다. 감염 후, 아래와 같이 배경화면이 변경되어 악성코드에 감염됨을 확인할 수 있습니다. [그림 1] 감염시 변경된 배경화면 그리고 아래와 같이 허위 감염창을 띄워 사용자로 하여금 악성코드에 감염된 것 처럼 보..
GSPI + 숫자로 이루어진 VBS/Autorun 악성코드 대처법 1. 서론 VBS 악성코드는 wscript을 이용하기 때문에 작성이 용이하여 높은 감염률을 보이고 있습니다. 이러한 VBS악성코드 중 특정 레지스트리 값을 변경하여 컴퓨터 사용에 장애를 유발하는 GSPI라는 이름의 악성코드에 대한 증상과 치료법에 대해 알아보도록 하겠습니다.  2. 악성코드 감염 시 나타나는 증상 1) 여러 폴더에 자신을 복사해 놓습니다. 아래 그림은 악성코드가 실행됨과 동시에 wscript에 의해 생성되는 파일입니다. 자기 자신을 Root폴더에 복사하는 것을 볼 수 있습니다. 2) 레지스트리의 Run에 자신을 등록시켜 Windows 시작 시에 자동 실행이 되도록 합니다. 3) Internet Explorer의 기본 Title의 값인 Windows Internet Explorer을 GS..
VBS/Autorun 악성코드 감염사례 및 치료, 예방방법 1. VBS(Visual Basic Script)와 VBS 이용 악성코드 작성 이유 요즘에는 전문서적뿐 아니라 인터넷의 정보를 이용하면 누구나 유해 가능한 악성코드를 손쉽게 만들 수 있습니다. 이러한 악성코드를 제작하는데 있어 많이 사용되는 것이 바로 VBS(Visual Basic Script)입니다. 그래서 빈번하게 퍼지고 있는 유해 악성프로그램(바이러스, 웜, 백도어, 트로이목마 등)의 종류를 보면 VBS를 이용하여 제작된 것이 많습니다. VBS란 비주얼 베이직의 서브세트로써, 넷스케이프 커뮤니케이션즈사에서 개발한 자바 스크립트와 마찬가지로 MS사의 인터넷 익스플로러, IIS (Internet Information Server)에서 실행 가능한 스크립트 언어로 비주얼 베이직 문법에 기초를 두고 제작되..
V3 제품 업데이트 시 "업데이트 중 오류가 발생하였습니다. (-1)" 메세지가 나오는 경우 온라인 게임핵 류 악성코드에 감염이 되면 V3 제품이 업데이트가 안되는 증상이 발생하는 경우가 있습니다. 이러한 경우 조치방법을 안내해 드리겠습니다.우선 아래 아래 안내드리는 전용백신을 다운로드 하여 검사를 해보시기 바랍니다.전용백신 다운로드 (클릭)전용백신으로 진단이 되었다면 치료 후 V3제품이 업데이트가 되는지 확인해보신 후 업데이트가 된다면 업데이트 후 시스템 전체에 대해 검사를 진행하시기 바랍니다. 만약 전용백신으로 진단되는 내역이 없다면 아래 안내해 드리는 방법대로 조치하시기 바랍니다. 1) 아래의 파일을 임의의 폴더에 다운로드 받아 압축을 해제합니다. Ice Sword 다운로드 (클릭) 2) IceSword.exe를 실행합니다. 3) 왼쪽의 [File]을 클릭합니다. 4) 아래 삭제 할 파일이..
악성코드로 인한 imm32.dll 파일 변조 조치 가이드 1. 서론 최근 imm32.dll 파일을 변조하는 악성코드로 인해 한/영 전환이 정상적으로 동작하지 않거나, 게임 혹은 기타 프로그램 실행 시 해당 파일 변조로 게임을 실행할 수 없다는 메세지가 나타나는 현상이 많이 접수되고 있습니다. 따라서 해당 조치가이드를 안내해 드립니다.2. 악성코드 감염 시 나타는 증상 해당 악성코드는 imm32.dll 파일을 변조시켜 게임 계정을 탈취하는 기능을 가진 악성코드 입니다. 해당 악성코드에 감염되면 운영체제에서 사용되는 정상파일인 imm32.dll 파일을 imm32.dll.log, imm32.dll.bak, imm32.dll.tmp 등의 이름으로 백업시킨 후 악성코드로 교체하게 됩니다. (발견되는 변종에 따라 일부 파일명은 달라질 수 있습니다.) 따라서 아래 파일들을..