본문 바로가기

조치 가이드112

Conficker 조치 가이드 (1) 1. Conficker 개요 ------------------------------------------------------------------------------------------------------- 해당 악성코드는 윈도우 보안 취약점(MS08-067), 관리공유 및 이동디스크를 통해 빠르게 확산되어 네트워크 자원(랜덤 및 B클래스 IP대역을 대상으로 Remote TCP 445포트로 대량의 트래픽 발생)을 소모시킨다. 추가적으로 진단을 어렵게 하는 기법이 사용되었는데, 악성코드 원본을 Svchost.exe에 Remote Handle(원격핸들)로 오픈하여 실행되며, 악성코드가 등록한 레지스트리 서비스 및 악성파일 원본에 Read권한을 없애 파일/레지스트리에 접근을 불가능하게 한다. 2. Co.. 2009. 10. 13.
Total Security 조치 가이드 1. 개 요 최근 새롭게 변형되어 등장한 허위 안티 바이러스(AV) 프로그램인 Total Security에 대한 피해사례가 다수 보고되어 조치가이드를 작성하게 되었습니다. 2. 주요 증상 1) 바탕화면이 아래와 같이 바뀝니다. 2) 아래의 그림과 같은 “Total Security” 라는 허위 안티바이러스(AV) 프로그램이 실행 됩니다. 3) 증상 발생 시 조치방법 먼저 Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다. 다운로드 : http://asec001.v3webhard.com/IceSword.zip Ice Sword 프로그램을 실행 후 [Process] 메뉴로 가서 [숫자8자리.exe] 프로세스를 찾은 후 아래 그림처럼 마우스 오른 클릭 후 [Termin.. 2009. 9. 29.
_Restore 폴더 치료 불가에 대한 조치 방법 _Restore 폴더는 Windows Me/XP에서 사용되는 시스템 복원 폴더로서 윈도우 환경에서는 해당 폴더내 파일을 삭제할 수 없도록 윈도우에서 쓰기금지되어 있습니다. 따라서 해당 폴더에서 진단되는 경우 치료실패로 나타나게 됩니다. 해당 폴더에서 바이러스나 트로이 목마가 발견되는 것은 사용자 백신 프로그램을 사용하여 치료나 삭제한 파일이 해당 폴더에 백업된 것 입니다. 따라서 해당 폴더내에서 바이러스나 트로이 목마등이 발견 되어도 사용자가 어느 시점으로 시스템을 복원하지 않는 이상 해당 파일이 사용되지 않으므로 그대로 두셔도 무방합니다. 또한 요즘의 최신 백신들은 해당 폴더를 기본적으로 검사대상에서 제외하였습니다. 아래 V3 제품의 [환경설정]을 확인하시면 더 이상 해당 폴더는 검사하지 않습니다. V.. 2009. 9. 26.
네트워크 트래픽 유발 Win32/Palevo.worm 조치가이드 1. 개 요 Win32/Palevo.worm(원본파일명 ; sysdate.exe) 악성코드 관련하여 UDP/5907, UDP/80 등 다수 트래픽을 유발하는 현상이 발생하여 긴급 조치를 위한 가이드를 작성/배포합니다. [그림 1. 관련 트래픽 차단 현황] 2. 주요 증상 주요증상은 다음과 같습니다. 1) 시스템 루트\RECYCLER\s-1-5-21-[숫자]에 sysdate.exe, Desktop.ini 파일을 생성. 2) 레지스트리 추가를 통해 시작프로그램에 등록. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman "C:\RECYCLER\S-1-5-21-[숫자]\sysdate.exe" HKEY_USERS\S-1-5-21-[숫자]\Sof.. 2009. 9. 22.
Autorun 계열 악성코드를 예방해 보자! 이번 포스팅에는 Autorun 계열 악성코드의 감염을 처음부터 예방하는 방법을 소개해 드리도록 하겠습니다. Autorun 계열 악성코드는 이동형 디스크 장치를 통해 주로 전파가 됩니다. 이미 감염이 된 이동형 디스크 장치를 컴퓨터에 연결을 하게 되면 자동으로 감염이 되게 됩니다. 이러한 Autorun 계열 악성코드를 예방할수는 없을까요? Autorun 계열 악성코드를 예방하는 방법으로 autorun.ini 파일을 자동으로 읽어 실행되는 기능을 꺼버리면 더이상 감염이 되지 않을 것입니다. 하지만 해당 기능을 끄는 방법이 일반인들이 하기에는 어려운 부분이 많아 안철수연구소에서는 이러한 설정을 한번에 할 수 있는 툴을 만들어 배포하고 있습니다. Autorun 실행 방지 툴 다운로드 (클릭) 위에 안내해 드린 .. 2009. 9. 17.
Win32/Induc 안내 및 조치 가이드 1. 개 요 Win32/Induc 바이러스는 볼랜드사에서 제작한 델파이 프로그램의 일부 버전(Delphi4~7)에서 사용하는 특정 라이브러리(Sysconst)가 감염된 후 컴파일 과정에서 생성되는 EXE, DLL 등에 바이러스 코드를 삽입하는 기법을 사용하는 피라미드형 바이러스 입니다. 현재 국내에서 델파이로 제작된 다양한 프로그램들이 해당 악성코드에 감염된 상태로 배포되고 있으므로 주의가 필요합니다. 2. 분석 정보 2.1 감염방법 Win32/Induc 바이러스는 델파이로 제작된 파일에 악성코드 소스가 삽입된 형태로 동작합니다. 그러나 일반적인 파일 바이러스와 달리 델파이 프로그램만을 대상으로 공격을 시도하고 실행 파일을 감염시키는 행위를 하지는 않습니다. 따라서 개발프로그램이 설치되어있지 않은 사용자.. 2009. 8. 25.
결재를 요구하는 허위백신 대처하는 방법 2 가짜백신을 만들어 돈을 많이 벌었나 봅니다. 2009년 1월 부터 AntiVirus 2009 --> System Security 2010 --> Home AntiVirus 2010, 벌써 세 번째 업데이트네요. 돈벌이가 되니 계속 만들어 내고 있는 거겠죠? 사설이 길었습니다. 계속 살펴보도록 하겠습니다. 사용자의 PC에 쓰레기 파일을 임의 생성시키고 그 파일을 다시 찾아 진단치료하는 과정에서 결재를 요구합니다. 설치되는 파일 정보입니다. hp32_nword.exe (파일명에 차이가 있을 수 있음) : V3 진단명은 Win-Trojan/Reboot.27526 ① 설치경로 : %system% 폴더 , \Documents and Settings\사용자계정\ ② 주요 기능 - 윈도우즈의 중요 시스템 드라이버인 .. 2009. 8. 7.
결재를 요구하는 허위백신 대처하는 방법 1 이걸로 돈을 벌 수 있을까? FakeAV라 칭하는 돈벌이용 백신들이 한동안 잠잠하다가 제목을 바꾸고 기능을 업데이트하여 다시 사용자들을 괴롭히고 있습니다. 오늘은 가장 최근 등장한 Home AntiVirus 2010에 대해 살펴 보고 대처하는 요령에 대해 설명 드리겠습니다. 무엇이 추가 되었나? 2009년 초부터 등장했던 AntiVirus 2009, System Security 2010 과 비교 해 봅니다. - 바탕화면을 변조하여 사용자의 불안감을 조장하는 기능을 없애 신뢰성을 높이려 했습니다. - 윈도우즈의 정상 시스템 파일인 ntfs.sys 파일을 변조하여 악성코드 설치에 활용합니다. - 윈도우즈 방화벽 기능을 해제하고 인터넷익스플로러 시작페이지를 구글로 변경합니다. ( HKLM\SOFTWARE\Mi.. 2009. 8. 7.