본문 바로가기

안철수연구소25

Please attention! - DHL 메일로 위장한 스팸메일 주의! 악성코드를 퍼뜨리는 스팸메일의 대명사, DHL 이 다시 등장했습니다. 이번 스팸메일에 사용된 제목은 Please attention! 입니다. 아래의 메일 본문을 확인해보시고 비슷한 유형의 메일 첨부파일은 절대로 실행하지 마세요! Dear customer! The courier company was not able to deliver your parcel by your address. Cause: Error in shipping address. You may pickup the parcel at our post office personaly. Please attention! The shipping label is attached to this e-mail. Print this label to get thi.. 2010. 4. 23.
악성코드에 감염되어 인터넷이 안됩니다. 어떻게 최신엔진으로 업데이트하나요? 악성코드에 감염되어 인터넷이 안되면 참 난감해집니다. 현재 버젼의 V3에서 인터넷을 못하게 하는 악성코드가 제거가 된다면 좋겠지만, 만약 최신엔진에서만 치료되는 변종 악성코드일 경우는 어떻게 해야 될까요? 엔진은 인터넷으로 업데이트 받는데 말이죠. 이제부터 엔진 업데이트가 불가한 상황(인터넷이 안되는 이유 등으로)에서 엔진을 최신버젼으로 업데이트 하는 방법을 소개하겠습니다. 1. 인터넷이 되는 PC에서 www.ahnlab.com 에 접속 2. 홈페이지 상단의 다운로드 –> 제품관련 파일 클릭 3. 윈도우즈용 클라이언트 및 서버 제품군 엔진을 다운받습니다. (우측 디스켓 모양 클릭) 4. 파일을 USB와 같은 이동식디스크에 저장합니다 5. 저장이 완료되면, 인터넷이 되지 않는 PC로 파일을 복사하고 설치합.. 2010. 4. 14.
컴퓨터 부팅 시 특정 사이트로 자동 연결 되는 경우! 1. 개 요 최근 악성코드로 인해 thenewspedia.com, bizromour.com, mainstories.com, cultarts.com 등의 사이트가 나타나는 현상이 있어 해당 증상에 대한 조치가이드를 작성합니다. 2. 증 상 컴퓨터 부팅 후 아래와 같은 주소의 웹페이지로 연결이 되거나 웹서핑 도중 아래의 사이트로 연결이 되는 현상이 나타납니다. 3. 조치 방법 1) [시작] - [실행] 을 선택하여 실행창에 [regedit] 입력 후 [확인] 버튼을 누릅니다. 2) 레지스트리 편집기가 실행이 되면 아래 경로를 찾아 이동합니다. HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon 3) Winlogon 이하에.. 2009. 11. 20.
Conficker 조치 가이드 (2) 3. Conficker 조치 방법 -------------------------------------------------------------- A. 수동 조치 방법(진단불가능) * Win32/Conflicker.worm 변형 수동조치 법 [1] GMER Download : http://www.gmer.net/gmer.zip 에서 툴을 다운로드 받으신 후, 임의의 폴더에 압축을 해제하여 gmer.exe를 실행합니다. [2] GMER를 실행했을 때 은폐형 파일이 존재할 경우 아래와 같이 메시지가 출력됩니다. 붉은색으로 표시된 부분(svchost.exe에 hidden으로 표시)의 Value 항목에 위치한 값을 확인합니다. (여기서는 Remoteserv) [3] 2번 과정에서 이미 붉은색으로 확인된 내용이 .. 2009. 10. 16.
Conficker 조치 가이드 (1) 1. Conficker 개요 ------------------------------------------------------------------------------------------------------- 해당 악성코드는 윈도우 보안 취약점(MS08-067), 관리공유 및 이동디스크를 통해 빠르게 확산되어 네트워크 자원(랜덤 및 B클래스 IP대역을 대상으로 Remote TCP 445포트로 대량의 트래픽 발생)을 소모시킨다. 추가적으로 진단을 어렵게 하는 기법이 사용되었는데, 악성코드 원본을 Svchost.exe에 Remote Handle(원격핸들)로 오픈하여 실행되며, 악성코드가 등록한 레지스트리 서비스 및 악성파일 원본에 Read권한을 없애 파일/레지스트리에 접근을 불가능하게 한다. 2. Co.. 2009. 10. 13.
네트워크 트래픽 유발 Win32/Palevo.worm 조치가이드 1. 개 요 Win32/Palevo.worm(원본파일명 ; sysdate.exe) 악성코드 관련하여 UDP/5907, UDP/80 등 다수 트래픽을 유발하는 현상이 발생하여 긴급 조치를 위한 가이드를 작성/배포합니다. [그림 1. 관련 트래픽 차단 현황] 2. 주요 증상 주요증상은 다음과 같습니다. 1) 시스템 루트\RECYCLER\s-1-5-21-[숫자]에 sysdate.exe, Desktop.ini 파일을 생성. 2) 레지스트리 추가를 통해 시작프로그램에 등록. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman "C:\RECYCLER\S-1-5-21-[숫자]\sysdate.exe" HKEY_USERS\S-1-5-21-[숫자]\Sof.. 2009. 9. 22.
리포트 수동 수집 안내 이전에 안철수연구소에 바이러스를 신고하는 방법에 대한 글을 포스팅 한적이 있습니다. http://core.ahnlab.com/25 이번 글에서는 인터넷이 불가능한 PC에서 신고하는 방법에 대해 포스팅 하도록 하겠습니다. 먼저 아래 안리포트 파일을 임의의 폴더에 다운로드 받습니다. 안리포트(AhnReport) 다운로드(클릭) 다운받은 파일을 실행하여 상단의 [악성코드신고]을 클릭하고 창이 뜨면 하단의 [저장]을 클릭합니다. 저장될 위치를 선택하고 파일명을 임의로 적으신뒤 저장합니다. 이제 저장이 완료되면 생성된 arc 파일을 바이러스신고센터의 '현재 증상이 나타나고 있는 PC에서 신고할 수 없는 경우'의 신고하기 버튼을 클릭하셔서 첨부하여 보내주시기 바랍니다. 신고하여 주시는 내용은 확인 후 신속하게 답변.. 2009. 9. 9.
바이러스(Win32/Induc) 수동 제거 방법 V3 제품에서 Win32/Induc 진단명에 대해 수동 제거로 나타난 항목에 대해 제거하는 방법에 대해 소개해 드리겠습니다. 현재 국내에서 배포되는 프로그램 중 많은 프로그램이 Win32/Induc 바이러스에 감염되어 있습니다. 해당 글에서는 이러한 프로그램 리스트를 목록화 하여 제거하는 방법까지 소개를 하도록 하겠습니다. 먼저 V3 제품에서의 진단 로그를 확인합니다. 위의 빨간 박스의 내용의 감염된 파일 경로를 확인합니다. 그리고 아래 목록에서 감염된 파일 경로가 같은 항목을 찾습니다. 위 프로그램들은 Win32/Induc 바이러스에 감염된 이력이 있었던 프로그램들로 최신 버젼은 대다수 조치가 되었으니 최신버젼으로 설치를 권장 드립니다. 진단된 파일 경로와 같은 경로를 찾으셨다면 우측에 있는 삭제할 파.. 2009. 9. 3.