조치 가이드112 GSPI + 숫자로 이루어진 VBS/Autorun 악성코드 대처법 1. 서론 VBS 악성코드는 wscript을 이용하기 때문에 작성이 용이하여 높은 감염률을 보이고 있습니다. 이러한 VBS악성코드 중 특정 레지스트리 값을 변경하여 컴퓨터 사용에 장애를 유발하는 GSPI라는 이름의 악성코드에 대한 증상과 치료법에 대해 알아보도록 하겠습니다. 2. 악성코드 감염 시 나타나는 증상 1) 여러 폴더에 자신을 복사해 놓습니다. 아래 그림은 악성코드가 실행됨과 동시에 wscript에 의해 생성되는 파일입니다. 자기 자신을 Root폴더에 복사하는 것을 볼 수 있습니다. 2) 레지스트리의 Run에 자신을 등록시켜 Windows 시작 시에 자동 실행이 되도록 합니다. 3) Internet Explorer의 기본 Title의 값인 Windows Internet Explorer을 GS.. 2010. 9. 15. VBS/Autorun 악성코드 감염사례 및 치료, 예방방법 1. VBS(Visual Basic Script)와 VBS 이용 악성코드 작성 이유 요즘에는 전문서적뿐 아니라 인터넷의 정보를 이용하면 누구나 유해 가능한 악성코드를 손쉽게 만들 수 있습니다. 이러한 악성코드를 제작하는데 있어 많이 사용되는 것이 바로 VBS(Visual Basic Script)입니다. 그래서 빈번하게 퍼지고 있는 유해 악성프로그램(바이러스, 웜, 백도어, 트로이목마 등)의 종류를 보면 VBS를 이용하여 제작된 것이 많습니다. VBS란 비주얼 베이직의 서브세트로써, 넷스케이프 커뮤니케이션즈사에서 개발한 자바 스크립트와 마찬가지로 MS사의 인터넷 익스플로러, IIS (Internet Information Server)에서 실행 가능한 스크립트 언어로 비주얼 베이직 문법에 기초를 두고 제작되.. 2010. 9. 2. 악성코드로 인한 imm32.dll 파일 변조 조치 가이드 1. 서론 최근 imm32.dll 파일을 변조하는 악성코드로 인해 한/영 전환이 정상적으로 동작하지 않거나, 게임 혹은 기타 프로그램 실행 시 해당 파일 변조로 게임을 실행할 수 없다는 메세지가 나타나는 현상이 많이 접수되고 있습니다. 따라서 해당 조치가이드를 안내해 드립니다. 2. 악성코드 감염 시 나타는 증상 해당 악성코드는 imm32.dll 파일을 변조시켜 게임 계정을 탈취하는 기능을 가진 악성코드 입니다. 해당 악성코드에 감염되면 운영체제에서 사용되는 정상파일인 imm32.dll 파일을 imm32.dll.log, imm32.dll.bak, imm32.dll.tmp 등의 이름으로 백업시킨 후 악성코드로 교체하게 됩니다. (발견되는 변종에 따라 일부 파일명은 달라질 수 있습니다.) 따라서 아래 파일들.. 2010. 5. 12. Antimalware Doctor (가짜백신) 조치가이드 1. 개 요 현재 'Antimalware Doctor' 라는 FakeAV(허위백신) 감염사실이 다수 제보된 상태입니다. 같은 증상을 갖고 있는 네티즌들에게 도움이 되고자 'Antimalware Doctor'의 치료법을 안내하는 조치가이드를 작성하여 공유합니다. 2. 감염 시 증상 허위백신이 동작하면 아래와 같은 화면이 지속적으로 나타납니다. [그림1. 감염 시 생성되는 창] 위협요소를 치료하겠다고 클릭하면, 아래와 같이 Key가 활성화되어있지 않다고 안내하며 결제페이지로 유도합니다. [그림2. Key 활성화 안내창] 트레이에는 그림과 같은 2가지 아이콘이 생성되며, Close를 눌러도 종료되지 않습니다. [그림3. 트레이에 나타나는 아이콘] 3. 조치 방법 현재 V3 제품에서 해당 허위백신을 Win-Tr.. 2010. 5. 10. Autorun 관련 악성코드 조치 가이드! 1. 개요 Autorun의 증상 가운데 정상 폴더와 파일의 속성을 숨김 속성으로 바꾸어 파일을 숨기고, 폴더명과 동일한 파일명의 실행 파일을 생성하여 사용자로 하여금 백신프로그램이 정상적인 프로그램을 삭제한다는 이슈가 발견되고 있어 관련 증상 및 조치가이드를 안내해 드립니다. 2. 주요증상 악성코드가 실행되면 USB 폴더 내(또는 C:\나 D:\등의 특정폴더)의 정상적인 폴더를 숨김 속성으로 바꾼 후 정상적인 폴더명과 폴더 모양의 아이콘을 갖는 실행 파일(.exe)을 생성합니다. 아이콘 모양이 폴더모양과 동일하지만 아래 [그림 1]과 같이 [보기]속성을 변경할 경우 실행 파일이라는 것을 알 수 있습니다. (해당 실행 파일은 악성코드의 복사본입니다.) [그림 1] 폴더 보기속성 변경 [그림 2] 감염시스템.. 2010. 5. 10. 허위백신으로 인한 증상 및 조치 방법 1. 서론 최근 허위백신으로 인하여 피해가 다수 발생하고 있어 증상 및 임시 조치 방법을 소개하고자 해당 내용을 작성 합니다. 2. 증상 해당 악성코드에 감염이 되면 아래와 같은 허위 백신이 실행되며 허위로 악성코드를 진단하여 결제를 유도하게 됩니다. [그림1. 허위백신이 실행된 화면] 위 이미지에서는 AntiVirus XP 2010 이지만 아래와 같이 다수의 이름이 존재합니다. Windows 7 WIndows Vista Windows XP Win 7 Internet Security 2010 Win 7 Internet Security Win 7 Antivirus Pro 2010 Win 7 Antivirus Pro Win 7 Antivirus 2010 Win 7 Antivirus Win 7 Defender.. 2010. 3. 17. Microsoft 3월 보안 패치 Excel 및 Windows Movie Maker 취약점 보안 패치가 Microsoft 3월 월례 보안 패치를 통해 금일 발표 되었습니다. MS10-016 - Microsoft Windows의 취약점 해결(KB 975561) 이 보안 업데이트는 Windows Movie Maker 및 Microsoft Producer 2003에서 발견되어 비공개적으로 보고된 취약점을 해결합니다. Windows Vista 및 Windows 7에서 사용할 수 있는 Windows Live Movie Maker는 이 취약점의 영향을 받지 않습니다. 이 취약점으로 인해 공격자가 특수하게 조작된 Movie Maker 또는 Microsoft Producer 프로젝트 파일을 전송하고 특수하게 조작된 파일을 열도록 사용자를 유도한 경우 .. 2010. 3. 10. Win32/Bredolab 류로 인한 네트워크 트레픽 유발 가이드 1. 서론 최근 다수의 시스템에서 네트워크 트래픽을 유발하는 악성코드가 확인 되어 가이드를 작성합니다. 2. 악성코드 감염 증상 해당 악성코드에 감염이 되면 다수의 파일을 다운로드 및 드랍하여 지속적인 재감염 및 네트워크 트래픽을 유발하여 네트워크 장애 및 시스템 리소스를 고갈 시킵니다. 네트워크 트래픽의 대부분은 스팸메일 발송으로 V3 제품이 설치된 시스템이라면 아래와 같은 메시지를 확인할 수 있습니다. 3. 악성코드 감염 시 생성되는 파일 및 레지스트리 3. 1 파일 대표적으로 아래와 같은 파일을 생성하며 해당 파일 외 다수의 파일이 있습니다. C:\RECYCLER\S-1-5-21-4023274132-7382142363-650398018-2867(임의의 폴더명)\wnzip32.exe C:\RECYCL.. 2010. 2. 9. 이전 1 ··· 9 10 11 12 13 14 다음
