본문 바로가기

V371

[악성 스팸메일 주의!] "DHL Tracking Number 3YMH6JJY" DHL을 가장하여 악성파일을 첨부한 메일이 다시 스팸메일로 전파되고 있습니다. 해당 스팸 메일의 본문은 아래와 같습니다. Dear customer! The courier company was not able to deliver your parcel by your address. You may pickup the parcel at our post office personaly. The shipping label is attached to this e-mail. Please print this label to get this package at our post office. Thank you for attention. DHL Express Services. 이 스팸메일에 첨부된 파일은 아래와 같으며 V3에서.. 2009.11.11
[주의] "UPS Delivery Problem" 스팸 메일 UPS를 가장한 스팸메일이 발견되고 있습니다. 해당 메일은 inv.exe 라는 악성 파일을 첨부하고 있습니다. 메일 본문은 아래와 같습니다. Dear customer! Unfortunately we were not able to deliver the postal package which was sent on the 20th of June in time because the addressee's address is incorrect. Please print out the invoice copy attached and collect the package at our office. United Parcel Service of America. 해당 파일은 현재 V3에서 아래와 같이 진단을 하고 있습니다. Win.. 2009.11.06
"부팅불가 & 검은화면에 마우스" 악성코드, Bug Fix? 안철수연구소 ASEC대응팀에서는 Active Honeypot 모니터링을 통해서 "부팅불가 & 검은화면에 마우스" 악성코드의 변종이 여러 사이트에서 유포중임을 인지하여 V3 엔진에 반영하였으며 V3로 진단/치료가 가능합니다. Win-Trojan/Daonol.46080 Win-Trojan/Daonol.71168 Win-Trojan/Kates.71168 Win-Trojan/Kates.49152 Win-Trojan/Daonol.48640 1. 자체 테스트한 결과 이번 변종에서 수정된 사항은 아래와 같다. (1) 기존의 변종들에 존재하는 버그로 인해서 부팅이 안되던 현상은 이번 변종에서는 해결되어 감염되어도 부팅이 정상적으로 가능하였다. (2) 기존의 변종들이 실행될때 추가한 레지스트리 값이 이번 변종에서는 시스.. 2009.11.05
"UPS Invoice 5305325782943" 스팸 메일 주의! 아래 그림과 같이 UPS 메일인 것처럼 위장하고 파일을 첨부하여 스팸메일을 발송하고 있습니다. 아래 그림은 첨부된 파일이며 V3에서 아래 진단명으로 진단을 하게 됩니다. Win-Trojan/ZBot.104960.E V3엔진은 항상 최신버전인지 확인해 주시고 만약, 아래 악성파일을 실행시켜 감염이 되셨다면 V3 수동검사를 통하여 삭제해 주시기 바랍니다. 2009.10.28
Rustock 조치 가이드 (2) 3. 증상 발생 시 조치방법 II : 수동조치 ----------------------------------------------------------------- 제품에서 진단되는 않는 경우, 아래 과정으로 수작업 조치를 통해 해결해야 한다. 1) GMER Download : http://www.gmer.net/gmer.zip 에서 툴을 다운로드 받으신 후, 임의의 폴더에 압축을 해제하여 gmer.exe를 실행한다. 2) GMER 실행 시 은폐형 파일이 존재할 경우 아래와 같이 메시지가 출력되며, hidden으로 표시된 항목을 찾는다. Rustock 의심파일의 특징은 Hidden이면서 파일명이 숫자로 시작하며 영문/숫자 조합으로 생성된다. 3) 여기서는 System32\drivers\7f0ed690.s.. 2009.10.28
"You've received a postcard" 스팸 메일 주의! 악성파일이 첨부된 새로운 스팸 메일이 발견되었습니다. 이 스팸메일의 제목은 "You've received a postcard" 이며 본문은 아래와 같습니다. Good day. Your family member has sent you an ecard from 123greetings.com. Send free ecards from 123greetings.com with your choice of colors, words and music. Your ecard will be available with us for the next 30 days. If you wish to keep the ecard longer, you may save it on your computer or take a print. To vi.. 2009.10.23
Rustock 조치 가이드 1. 증상 및 진단 확인 ----------------------------------------------------------------- 1) 방화벽 등의 보안장비에서 Remote 25번 포트로 트래픽을 발생시키는 시스템을 찾는다. 2) 감염이 의심되는 시스템에서 [시작] – [실행]에서 cmd.exe 를 실행 후, netstat –ano 명령으로 네트워크 연결을 확인한다. Rustock에 감염된 시스템은 Remote TCP 25번 포트로 SYN_SENT 증상을 발생시킨다. 아래와 같이 Ahnreport의 ‘네트워크 연결’ 항목에서도 확인이 가능하다. 2. 증상 발생 시 조치방법 I : 제품 ------------------------------------------------------------.. 2009.10.22
Conficker 조치 가이드 (2) 3. Conficker 조치 방법 -------------------------------------------------------------- A. 수동 조치 방법(진단불가능) * Win32/Conflicker.worm 변형 수동조치 법 [1] GMER Download : http://www.gmer.net/gmer.zip 에서 툴을 다운로드 받으신 후, 임의의 폴더에 압축을 해제하여 gmer.exe를 실행합니다. [2] GMER를 실행했을 때 은폐형 파일이 존재할 경우 아래와 같이 메시지가 출력됩니다. 붉은색으로 표시된 부분(svchost.exe에 hidden으로 표시)의 Value 항목에 위치한 값을 확인합니다. (여기서는 Remoteserv) [3] 2번 과정에서 이미 붉은색으로 확인된 내용이 .. 2009.10.16