■ 개 요

최근 다수의 웹페이지에 삽입된 악성스크립트로 인해 온라인게임계정을 탈취하는 Onlinegamehack 류의 악성코드에 감염되는 현상이 급증하고 있습니다.

현재 유포 중인 온라인게임핵류 악성코드는 OS 정상 시스템 파일을 교체함으로 치료가 매우 까다롭고, 악성코드의 버그 및 치료 방해 기능으로 인해 감염시 인터넷이 되지 않거나, 심할 경우 시스템 부팅이 되지 않는 증상이 발생하여 개인 및 기업에 심각한 피해를 입히고 있습니다.

이러한 악성코드 감염을 근본적으로 예방하고자, 
온라인게임핵류 악성코드가 주로 이용하는 취약점 관련 어플리케이션  중 'Flash player', 'Java' 패치 방법 에 대해 IT 관리자 측면에서 사용자에게 패치를 적용시키는 방법을 공유하오니, IT 관리자분들은 아래 내용을 참고하시어 관련 업데이트를 적용하시길 권해드립니다.




1. Flash Player silent update guide


최신버전확인: https://www.adobe.com/kr/software/flash/about/ 

  1.  Flash Player 최신버전 다운로드
    http://www.adobe.com/products/flashplayer/distribution3.html
    상단의 링크에서 플랫폼에 맞는 설치파일을 다운로드합니다.

  2. Silent 모드 인스톨

     Install_flash_player_active_x.exe /install 

    C.  참 고
          Adobe Flash player 기술지원
          http://www.adobe.com/kr/support/


2. Java(JRE) silent update guide

  1. Java(JRE) 다운로드
     http://javadl.oracle.com/webapps/download/AutoDL?BundleId=216432 (32bit)
     http://javadl.oracle.com/webapps/download/AutoDL?BundleId=216434 (64bit)
     위 링크 또는 
     http://java.com/ko/download/manual.jsp 로 이동 후
     "Windows 오프라인" 클릭 및 다운로드

  2. Silent 모드 인스톨
     jre-8u111-windows-i586-s.exe /s REBOOT=Suppress
    (설치는 대략 5-10분이 소요됩니다.)

  3. 참 고
    ▶ Java 버전 확인
    $ C:\Program Files\Java\jre8\bin\java.exe -version

    ▶ Java 기술 지원
    http://www.java.com/ko/download/support.jsp

 


관련 어플리케이션 설치및 업데이트시 문제가 발생할 경우 해당  기술 지원센터를 통해 도움받으시기 바랍니다.

※ 추가내용
위의 가이드는 IT관리자가 다수의 PC에 패치를 배포하기 위한 가이드입니다.
일반사용자들은 아래의 방법을 통해 프로그램을 업데이트하시기 바랍니다.

▶ Flash Player 업데이트
http://get.adobe.com/kr/flashplayer/
위 링크 이동 후, "지금 다운로드" 클릭하여 설치 진행
(추가 프로그램 설치를 원치 않을시엔 선택사항 체크 해제 하신 후 다운로드 클릭)

▶ Java (JRE) 업데이트
http://www.java.com/ko/
위 링크 이동 후 "무료 자바 다운로드" 클릭하여 설치 진행



 



저작자 표시 변경 금지
신고
Posted by 비회원
최근 운영체제와 응용프로그램의 취약점을 이용한 악성코드가 유행하고 있으며 치료 후에도 다양한 변종에 의해 지속적으로 재감염되는 사례가 증가하고 있습니다. 그리고 악성코드에 감염되면 게임 계정 탈취 및 개인정보 유출 등의 피해를 입을 수 있습니다.

악성코드로부터의 피해를 예방하기 위해서는 운영체제 및 응용프로그램의 보안 업데이트를 최신 상태로 유지해야 하고
V3 제품의 실시간 감시 및 ASD(AhnLab Smart Defense) 기능을 반드시 켜서 사용하시기를 권장합니다.

 
[주요 OS 및 애플리케이션 보안 패치 업데이트 안내]

* Adobe Flash Player 업데이트 :http://www.adobe.com/go/getflash

* Microsoft : http://update.microsoft.com(Windows 정품인증 필요)

* Adobe Reader :http://www.adobe.com/go/getreader/

 

[V3 Lite V3 365 클리닉 사용자 조치 안내]

- 운영체제 및 응용 프로그램 보안 업데이트 설치
- V3 제품군 최신 업데이트 후 수동 검사
- V3 제품군[환경설정] –[고급설정]-[Smart Defense사용하기] 옵션 선택

[그림 1] V3Lite의 Smart Defense 옵션 설정하기


[그림 2] V3 365 Clinic의 Smart Defense 옵션 설정하기

이미 악성코드에 감염이 되어 V3 제품군이 정상적으로 실행되지 않는 사용자분들은 아래의 전용백신을 통해 검사하기를 권장합니다.  


[전용백신 사용 시 주의사항]
1. 설치된 백신의 실시간 감시기능을 중지
2. 작업 중인 프로그램은 저장 및 종료
3. 전용백신의 동작중 다른 응용 프로그램의 실행은 가급적 권장 하지 않습니다.
4. 전용백신은 반드시 "관리자 권한" 으로 실행 되어야 합니다.
5. 진단/치료가 끝나면 반드시 시스템을 재부팅 해주시길 바랍니다.
6. 전용백신은 본 악성코드를 진단 / 치료하는 기능만 제공되며 예방하는 기능은 제공되지 않습니다


[전용백신 치료방법]
1. [V3 GameHackKill]을 다운로드 합니다.
2. 저장된 파일을 실행하여 [검사] > [전체 치료]합니다.
3. 컴퓨터 재부팅 후 V3가 실행되는지 확인합니다.
4. V3실행하여 [PC검사]-[정밀검사]를 진행하여 하드디스크 전체를 검사합니다.

만약 전용백신으로 정상적인 치료가 안되거나 재감염 증상이 발생할 경우 자세한 증상설명을 첨부하여 바이러스 신고센터로 접수해 주시기 바랍니다. (바이러스 신고센터 이용 시 로그인 필요)

[바이러스 신고센터 바로가기]

신고
Posted by 비회원

1. 서 론

imm32.dll을 패치하는 악성코드와 관련된 피해사례가 꾸준히 접수되고 있어 확인해 본 결과 기존의 방식과는 조금은 다른 방식을 사용하여 악성코드를 실행하도록 되어 있어 일반 사용자들을 위해서 "imm32.dll을 패치하는 악성코드"에 대한 정보를 업데이트하였다.

2. imm32.dll을 패치하는 악성코드, 수동조치는 어떻게?

최근에 발견된 imm32.dll을 패치하는 악성코드를 수동조치하기 위해서는 두 가지 경우의 수를 두고 수동조치를 해야한다.


Case 1. 정상 imm32.dll -> imm32A.dll
로 백업 후 순도 100%의 악성 imm32.dll로 교체되는 경우

Case 1에 해당하는 PC에서 안리포트를 실행하여 프로세스 & 모듈 -> 로드된 모듈 부분을 살펴보면 아래 그림처럼 이름 기준으로 서명이 Unsigned된 imm32.dll과 Signed catalog(nt5.cat)된 imm32a.dll파일 두 개가 실행 중임을 알 수 있다.

[그림 1] Case 1에 해당하는 PC의 상태


Unsigned된 imm32.dll은 순도 100%의 악성 imm32.dll이며, Signed catalog(nt5.cat)된 imm32a.dll은 악성코드가 백업한 정상 imm32.dll이다. 수동조치는 아래 단계를 거친다.

1.
%SYSTEM%\dllcache\imm32.dll이 존재하는지 확인 필요

* %SYSTEM%의 경로: 운영체제가 설치된 드라이브 기준, C:\Windows\System32\


2. GMER나 IceSword를 사용하여 Unsigned된 imm32.dll 삭제

* 수동조치 시 필요한 툴:
-. GMER:
http://www.gmer.net/gmer.zip
-. IceSword: http://asec001.v3webhard.com/IceSword.zip


참고로 IceSword는 GMER와 동일한 성격을 가진 프로그램으로 중국에서 제작된 툴로 사용자의 편의상 V3 웹하드에 링크하였으므로 오해없기를 바란다.

                                   [그림 2] IceSword를 사용하여 수동조치

[그림 3] GMER를 사용하여 수동조치


3. 윈도우 운영체제에 의해서 자동으로 정상 imm32.dll로 복구됨.

4. %SYSTEM%\dllcache\imm32.dll이 존재하지 않을 경우
   백업된 정상 imm32A.dll을 imm32.dll로 변경
한 후 재부팅. [그림 2, 3]참고.

이때 윈도우 파일 보호 기능창이 뜰 수 있는데 무시하고 재부팅 한다.

Case 2: 기존의 방식대로 정상 imm32.dll을 패치하는 경우

* 수동조치 방법: http://core.ahnlab.com/173

                              전용백신 다운로드


3. imm32.dll을 패치하는 악성코드, 어떻게 감염될까?
imm32.dll을 패치하는 악성코드는 해킹된 국내 웹 사이트를 통해서 응용 프로그램에 보안 취약점(주로, Internet Explorer에 존재하는)이 존재할 경우 감염되는 경우가 대부분이다.

* MS10-018:
http://www.microsoft.com/korea/technet/security/bulletin/ms10-018.mspx

* MS10-090: http://www.microsoft.com/korea/technet/security/bulletin/ms10-090.mspx

윈도우 업데이트 기능을 사용하여 보안 업데이트를 적용시켜 주는 것이 좋다.

 

* Windows XP 계열의 Windows Update 방법:

http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=ko

* Windows Vista이상 계열의 Windows Update 방법: 제어판 -> Windows Update를 이용

4. imm32.dll을 패치하는 악성코드, 어떻게 동작할까?
여기서는 이해를 돕기 위해서 동작방식의 차이점을 기준으로 원형과 변형으로 구분했다.
우선 원형의 동작방식을 간단하게 그림으로 나타내면 아래와 같다.

[그림 4] 원형의 동작방식

그럼 변형의 동작방식을 살펴보자.

[그림 5] 변형의 동작방식
 

지금까 imm32.dll 패치하는 악성코드의 원형과 변형의 동작방식에 대해서 간단하게 살펴 보았는데 변형의 경우 V3제품의 설치여부를 체크하여 두 가지 경우의 수로 동작함을 알 수 있었다. 그럼 변형의 그 두 가지 경우의 수에 대해서 좀더 기술적인 부분을 살펴보도록 하겠다.

Case 1. 정상 imm32.dll -> imm32A.dll
로 백업 후 순도 100%의 악성 imm32.dll로 교체되는 경우

악성코드가 실행되면 해당 PC
에서 아래 루틴을 수행하여 V3가 설치되어 있는지 여부를 체크한다

[그림 6] V3관련 Process 체크

만약 위 프로세스들이 실행 중이라면 다음 단계인 정상 imm32.dll에 대해서 윈도우 파일 보호(WFP, Windows File Protection)를 무력화한다.

[그림 7] 정상 imm32.dll에 대해서 WFP 기능 무력화

* 참고 사이트: http://www.bitsum.com/aboutwfp.asp

정상 imm32.dll에 대해서 WFP를 무력화 시킨 후 imm32A.dll로 백업한 후 순도 100%의 악성코드를 imm32.dll로 생성한다.

-. 순도 100%의 악성 imm32.dll: %SYSTEM%\imm32.dll
-. 백업된 정상 imm32.dll: %SYSTEM%\imm32A.dll


Case 2: 기존의 방식대로 정상 imm32.dll을 패치하는 경우
Case 1과 동일하게 %SYSTEM%\imm32.dll에 대해서 WFP를 무력화 한 후 패치를 위해서 %SYSTEM%\dllcache\imm32.dll -> %SYSTEM%\oldimm32.bak로 복사한다.

[그림 8] 파일복사

C 표준 함수인 f****()계열의 함수들을 사용하여 %SYSTEM%\oldimm32.bak 패치한 후 백업 및 교체과정을

수행한다.

                                                                 [그림 9] 백업 및 교체과정

-. 정상 %SYSTEM%\imm32.dll -> %SYSTEM%\imm32.dll[랜덤문자].tmp로 백업
-. 패치된 %SYSTEM%\oldimm32.bak -> %SYSTEM%\imm32.dll
로 교체

패치작업이 완료되면 악성코드인 %SYSTEM%\ole.dll 또는 nt32.dll을 생성한다.

Case 1
에서처럼 순도 100% 악성 imm32.dll 생성 및 정상 imm32.dll imm32A.dll로 교체된 경우, PC에서 특정 프로그램을 실행하면 에러가 발생할까? 결론부터 말하면 해당 프로그램은 에러가 발생하지 않고 정상적으로 실행된다. 그 이유는 순도 100% 악성 imm32.dllEAT(Export Address Table)에서 찾을 수 있다.

[그림 10] 악성 imm32.dll의 EAT(Export Address Table)

[그림 11] 백업된 정상 imm32A.dll의 EAT(Export Address Table)

[그림 10]을 보면 순도 100%의 악성 imm32.dll은 실제 함수기능은 없기 때문에 프로그램에 의해서 특정 함수가 호출될 때 백업된 정상 imm32A.dll의 해당 특정 함수와 매핑(Mapping)되는 구조로 되어 있다.

예를들어 그림판이 실행되면서 악성 imm32.dll을 로딩하여 CtfAmmActivate()를 호출했다고 가정했을 때 순도 100%의 악성 imm32.dll은 그림판이 호출한 해당 함수의 기능이 없기 때문에 [그림 11]에서처럼 백업된 정상 imm32A.dll로부터 해당 함수를 호출하는 매핑(Mapping)구조를 가진다. 그러니까 쉽게 설명하면 아래 그림으로 설명할 수 있겠다.

[그림 12] 프로그램, 악성 imm32.dll 그리고 백업된 정상 imm32A.dll의 매핑(Mapping)구조

반대로 순도 100%의 악성 imm32.dll이 어떤 이유로 인해서 존재하지 않는다면 그림판 실행 시, 어떤 현상이 발생할까? 그에 대한 해답은 아래 그림으로 대신하는 것이 좋겠다.

[그림 13] imm32.dll이 존재하지 않을 경우

[그림 13]에 보는 에러가 발생하는 이유는 그림판과 백업된 정상 imm32A.dll 사이에서 다리역할을 하는 순도 100%의 악성 imm32.dll이 존재하지 않기 때문이다.
신고
Posted by 비회원


◆ 서론

 2011년 3월 3일부터 국내 웹사이트를 겨냥한 DDoS 공격 및 감염PC의 시스템 손상을 일으키는 악성코드가 발견 되었습니다. 시스템 손상은 하드디스크 내부에 존재하는 모든 문서파일 등 주요파일을 손상시킨 후 부팅에 관여하는 MBR 정보를 파괴하여 PC를 부팅불가 및 데이터복구 불가 상태로 만들게 됩니다.

이에 아래 조치 가이드를 활용하여 즉시 예방조치 하실 것을 권해 드립니다.
(본 문서는 윈도2000 이상의 모든 OS군에 유효 합니다.)

1. 현재 사용 중인(전원이 켜있는) 컴퓨터의 예방조치 방법
 A. 안철수연구소 홈페이지에 접속하여 [전용백신 다운로드] 후 검사

2. 현재 사용 중이지 않은(전원이 꺼진) 컴퓨터의 예방조치 방법
 A. 안전모드(네트워크사용)로 부팅
 B. 안철수연구소 홈페이지에 접속하여 [전용백신 다운로드] 검사



따라서, 최초 시스템을 부팅하실때 안전모드(네트워크 사용)으로 부팅하여, 안철수연구소에서 제공하는
전용백신으로 선 조치
후 PC 를 사용하시기 바랍니다.

MBR 이란?
하드 디스크의 맨 앞에 기록되어 있는 시스템 기동용 영역. 컴퓨터(PC)에 전원을 넣으면 먼저 첫 번째 하드 디스크의 MBR에 기록되어 있는 프로그램이 읽힌다. 이렇게 읽힌 MBR의 프로그램은 분할표(partition table)의 정보를 기점으로 기동하는 분할(partition)의 부트 섹터(boot sector:분할의 맨 앞에 있는 OS 기동 프로그램이 기록된 부분)를 읽어 이 섹터의 프로그램에 의해 운영 체계(OS)가 기동된다. 따라서 MBR의 정보가 파괴되면 PC는 기동할 수 없게 된다.

조치 방법

1.     PC를 안전모드(네트워킹 사용)로 부팅.

안전모드 부팅하는 방법은 PC 부팅한 후 F8 키를 연속적으로(0.5초 간격으로 !!! 누름) 누르시면 아래 그림과 같이Windows 고급 옵션 메뉴 (Vista,Win7은 고급부팅옵션)” 화면으로 넘어가게 됩니다.

 

A.     윈도 2000 의 경우 안전모드(네트워크 드라이버 사용) 선택

 

B.      윈도 XP (Vista,Win 7,2003,2008서버 공통)의 경우 안전모드(네트워킹 사용) 선택

 

2.     최신 전용백신 다운로드 및 실행

A.     안철수연구소 홈페이지(http://www.ahnlab.com) 접속


 
i.        
메인 팝업창에서 전용백신 다운로드 받기클릭

  

B.      보호나라 홈페이지 (http://www.boho.or.kr) 접속

                         i.         메인 팝업창에서 안철수연구소 전용백신 다운로드클릭

 

3.     전용백신 실행 후 검사클릭

 

안철수연구소 홈페이지 전용백신

 

보호나라 홈페이지 안철수연구소 전용백신

 

4.     악성코드 발견시 치료 수행 (미 발견시 5번항목으로 이동)

A.     안철수연구소 홈페이지 전용백신

                         i.         악성코드 발견


                        ii.         전체치료 클릭


                       iii.         재부팅 하시겠습니까?(Y) 선택시 치료와 동시에 재부팅 진행

 

B.      보호나라 홈페이지 안철수연구소 전용백신

                         i.         악성코드 발견


                        ii.         악성코드 치료

               

 

5.     검사 완료되면 종료클릭 후 PC 재부팅

 

     V3 사용자께서는 V3를 최신버전으로 업데이트 후 실시간 감시를 꼭 켜 두십시오.

신고
Posted by 비회원
1. 서  론

이름을 바꿔가며 변형이 유포되며, 그리고 감염 피해가 발생되고 있는 허위 백신 프로그램이 최근에는 'System Tool 2011'이라는 이름으로 유포되고 있어 주의가 필요합니다.

- 관련 포스팅 글 : http://core.ahnlab.com/52


2. 악성코드 유포 방법 및 증상

주로 SEO(Search Engine Optimazation) 기법, 또는 스팸 메일을 통해 유포되어 왔으며, System Tool, Total Security 같은 유사한 이름으로 변경되어 유포되고 있습니다.

감염 후, 아래와 같이 배경화면이 변경되어 악성코드에 감염됨을 확인할 수 있습니다.

[그림 1] 감염시 변경된 배경화면

그리고 아래와 같이 허위 감염창을 띄워 사용자로 하여금 악성코드에 감염된 것 처럼 보여주게 됩니다.

[그림 2] 허위 진단 창

또한, 실행 파일들에 대한 실행이 불가하게 되며, 실행시 아래 그림과 같이 파일이 감염되어 실행할 수 없다는 메시지를 띄우게 됩니다.

[그림 3] 파일 실행시 허위 감염 메시지

이와 거의 동일한 글이 이전에도 포스팅(http://core.ahnlab.com/52)되어 있으며 함께 참고하시기를 권해드립니다.

다만, 해당 악성코드에 감염시에는 대부분의 파일에 대한 실행을 방해하여, 조치에 어려움이 있으므로 아래와 같은 방법으로의 조치를 권해드립니다.

1) 악성코드에 감염시 생성되는 바탕화면의 바로가기 아이콘(System Tool 2011.lnk)에서 마우스 오른쪽 버튼을 눌러 [속성]을 클릭합니다.

[그림 4] 바로가기 파일의 속성 확인


2) 바로가기 등록정보상에서 [그림 5] 내용과 같이 파일의 경로 및 파일 명을 확인합니다.

[그림 5] 연결된 파일 찾기
 
3) 안내드리는 툴(IceSword 또는 GMER)을 다운로드하여 파일명을 변경(gmer.exe -> iexplore.exe, 아래 '파일명 변경 가이드' 참조)한 후, 실행하여 관련 프로세스를 종료 및 파일을 삭제합니다.
(Windows Vista 이상의 OS에서는 IceSword 사용이 불가하므로 GMER 툴로의 조치가 필요)

<파일명 변경 가이드>
- 인터넷이 실행되는 경우 iexplore.exe 로 변경 후 실행
- 윈도우 주요 프로세스명(explorer.exe, winlogon.exe, csrss.exe 등)으로 변경 후 실행

<툴 다운로드시 참고사항> 
예를 들어 GMER 툴을 다운로드하는 경우, 압축해제 툴의 실행이 불가하므로 아래와 같은 방법이 필요합니다.

1) 압축파일에 대해서(예. gmer.zip) 마우스 우클릭합니다.
2) [연결 프로그램] > [Windows 탐색기]를 선택하여 확인되는 파일을 복사하여 바탕화면에 [붙여넣기]합니다.
('Windows 탐색기' 항목 없는 경우, [연결 프로그램] > [프로그램선택 > [찾아보기]를 클릭하여C:\WINDOWS\Explorer.exe 를 선택)
 
* 툴에 관한 자세한 안내 및 관련 내용은 아래의 블로그 내용을 참조하시기를 권해드립니다.
 

신고
Posted by 비회원

 1. 서론
 VBS 악성코드는 wscript을 이용하기 때문에 작성이 용이하여 높은 감염률을 보이고 있습니다. 이러한 VBS악성코드 중 특정 레지스트리 값을 변경하여 컴퓨터 사용에 장애를 유발하는 GSPI라는 이름의 악성코드에 대한 증상과 치료법에 대해 알아보도록 하겠습니다.


 2. 악성코드 감염 시 나타나는 증상

1) 여러 폴더에 자신을 복사해 놓습니다. 아래 그림은 악성코드가 실행됨과 동시에 wscript에 의해
      생성되는 파일입니다. 자기 자신을 Root폴더에 복사하는 것을 볼 수 있습니다.
 



   2)
레지스트리의  Run에 자신을 등록시켜 Windows 시작 시에 자동 실행이 되도록 합니다.  

  



   3) Internet Explorer
의 기본 Title의 값인 Windows Internet ExplorerGSPI로 변경합니다.



 

4) Registry 값을 변경해 엑세스를 거부하여 사용자가 레지스트리 편집기를 사용하지 못하도록 합니다.

 



   5) 기타 레지스트리 값을 변경하여 Internet Explorer의 정상적 사용이나 정상적인 부팅을 방해합니다.
     
다음은 VBS로 작성된 해당 악성코드 파일을 edit창으로 확인한 코드입니다.

 

  

 

3. 감염 시 차단 및 예방 방법
   (V3 이용)

 최신 스마트 업데이트 후 V3의 정밀검사를 통해 악성코드를 치료합니다. 복사되어있던 모든 악성코드가 삭제되고 레지스트리 편집기 엑세스 거부를 해제하는 것을 볼 수 있습니다. 


 

4. 감염 시 차단 및 예방 방법
   (
백신으로 치료가 불가능할 경우 수동 조치방법)

 GSPI+숫자와 같은 VBS/Autorun 악성코드의 경우 무수히 많은 변종이 존재합니다. 따라서 백신을 이용하여도 치료가 되지 않는다면 다음의 수동 조치를 따라주시기 바랍니다.

 

1) 활성화 되어있는 wscript를 종료합니다.



2) 레지스트리 편집기의 엑세스를 거부를 해제시킵니다.
  
다음 파일은 안철수연구소에서 제공하는 유틸리티로써 악성코드가 변경한 레지스트리 정보를 수정하는
   프로그램 입니다.
   레지스트리 엑세스 허용 이외에 여러가지 변경된 레지스트리 값을 기본값으로 수정해 줍니다.
   http://download.ahnlab.com/vaccine/v3curereg.com


3) 레지스트리 편집기로 들어가 아래에 값을 수정 또는 삭제합니다. 

   레지스트리 편집기는 시작->실행->regedit의 순서로 들어갑니다.


"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ProxyEnable", 1, "REG_DWORD"

 → 0으로 변경


 

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer", "0.0.0.0:80"

"HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\Connection Settings\Connwiz Admin Lock", 1, "REG_DWORD"

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\MSConfig"

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSConfig”


  → 키 삭제



4) 악성코드에 대한 치료가 아직 이루어진 것이 아니므로 의심 파일 또는 AhnReport를 저희에게 보내주시기 바랍니다.

 

 

5. 분석 에필로그
 GSPI+숫자 악성코드는 숫자부분만 다른 무수히 많은 변종 악성코드로 존재합니다. 하여 V3로 치료가 되지 않는 경우가 발생할 수 있습니다.

그러므로 관련파일을 아래의 링크를 통해 저희에게 보내주시면 빠른 엔진대응을 통해 치료가 가능합니다.

http://kr.ahnlab.com/info/customer/virus_call_new_renew.jsp?svccode=ac6001&contentscode=007

 

 

감사합니다^^)/


                                                                                                                                          -SukSuny
 
                                                                                                                                          -dada319

신고
Posted by 비회원

1. VBS(Visual Basic Script)와 VBS 이용 악성코드 작성 이유 

 요즘에는 전문서적뿐 아니라 인터넷의 정보를 이용하면 누구나 유해 가능한 악성코드를 손쉽게 만들 수 있습니다. 이러한 악성코드를 제작하는데 있어 많이 사용되는 것이 바로 VBS(Visual Basic Script)입니다. 그래서 빈번하게 퍼지고 있는 유해 악성프로그램(바이러스, , 백도어, 트로이목마 등)의 종류를 보면 VBS를 이용하여 제작된 것이 많습니다.

 VBS란 비주얼 베이직의 서브세트로써, 넷스케이프 커뮤니케이션즈사에서 개발한 자바 스크립트와 마찬가지로 MS사의 인터넷 익스플로러, IIS (Internet Information Server)에서 실행 가능한 스크립트 언어로 비주얼 베이직 문법에 기초를 두고 제작되어 HTML문서 안에 스크립트를 두고 동적으로 처리하는 언어이며 대화형 월드 와이드 웹(WWW) 홈 페이지를 작성하기 위하여 사용됩니다. 또 액티브 X 제어(Active X control)나 자바 애플릿(Java applet)을 조작할 수 있는 특징을 갖고 있습니다.

 따라서 일반적인 프로그램 제작 언어(어셈블러, C )에 비하여 프로그램 분석이나 제작이 쉬울 뿐 아니라 기존의 프로그램을 변형하는 것도 쉬워 변종 바이러스가 많이 나타나고 있는 문제점을 안고 있는 상황입니다. 일단 피해를 입으면 데이터의 복구가 어려워지는 특징이 있어, 한번에 많은 데이터 손실의 위험이 있습니다. 이와 같이 VBS를 이용한 악성코드가 나타나는 이유는 앞에서 설명한 제작의 간편함 뿐만 아니라 대부분의 컴퓨터 사용자가 설치하고 있는 OS Windows COM(Common Object Model)형식으로 제작되어 VBS와 같은 간단한 스크립트 만으로도 여러 가지 종류의 응용프로그램에 접근이 가능하다는 취약점이 있기 때문입니다.

 

2. VBS/Autorun 악성코드 감염 여부 확인방법

1) VBS 악성코드에 감염이 되면 아래 그림과 같이 wscript.exe 가 활성화 되는 것을 볼 수 있습니다.

 

[그림] 작업 관리자 창에 새로 추가된 wscript.exe

 

2) MyMP3와 같은 VBS/Autorun 악성코드에 감염된 이동식디스크를 PC에 연결한 뒤 폴더내용을 확인하기 위해 이동식디스크를 더블 클릭하게 되면 Autorun으로 인해 위의 그림과 같이 자동으로 PC에 감염이 됩니다. 감염된 이동식디스크가 PC에 연결되어 폴더내용을 확인할때 실행되는 Autorun으로 방식으로 다수의 PC를 감염시키게 됩니다. 보통 악성코드는 보통 숨김파일로 존재하기 때문에 사용자가 파악하기 쉽지 않습니다. 아래 그림은 숨김파일을 해제한 후 보여지는 악성코드입니다.

 

[그림] 이동식디스크와 로컬디스크(C:\)에 악성코드(MyMP3)에 감염된 모습

 


3. 치료 및 권장사항

1) V3Lite의 실시간 검사를 항상 유지합니다. V3엔진에 추가된 악성코드라면 폴더내용을 확인하기 위해 이동식디스크 더블클릭 하는 순간 아래 그림과 같이 악성코드를 발견하게 됩니다.

 

[그림] V3 Lite의 실시간 감지기의 VBS/Autorun 악성코드 발견

 

2) 이미 감염되었다고 의심이 되는 경우 v3Lite의 정밀검사를 통해 악성코드를 치료합니다.

 

[그림] V3 Lite VBS/Autorun 악성코드를 치료하는 모습

 

3) 자동실행(Autorun) 실행방지 방법

 안철수연구소에서 제공하는 Autorun 실행 방지 프로그램을 다운로드 받아 설치합니다.

아래에 안내해 드리는 프로그램은 안철수연구소에 자체 제작한 프로그램으로 이동식디스크를 더블 클릭시에 작동하는 Autorun의 실행을 방지하여 다수의 Autorun 악성코드의 감염을 예방할 수 있습니다.


 [USB Block 다운로드]

 

 

4. 끝으로..

 퍼져있는 모든 악성코드를 조기에 발견하여 치료하는 것이 가장 좋은 방법입니다. 하지만 매일 무수히 만들어지는 모든 악성코드에 미리 대응하는 것은 현실적으로 어렵다고 할 수 있습니다. 이미 퍼져있는 악성코드의 확산을 막는 것과 새로 만들어진 악성코드에 최대한 빠른 대응을 통해 사용자 피해를 최소화 하는 것이 저희 ASEC대응팀의 임무라고 생각합니다. 또한 대부분의 악성코드들은 VBS/Autorun 악성코드와 같이 사용자가 인식하지 못하는 상태에서 확산되는 경우가 대부분입니다. 그러므로 사용자들 또한 주기적인 백신 업데이트 및 검사를 통해 피해를 막는 것이 중요하다고 생각합니다.

 

이것으로 저희 첫 블로그 포스팅을 마치겠습니다.

감사합니다^^)/

 

신고
Posted by 비회원
TAG autorun, USB, vbs
온라인 게임핵 류 악성코드에 감염이 되면 V3 제품이 업데이트가 안되는 증상이 발생하는 경우가 있습니다. 이러한 경우 조치방법을 안내해 드리겠습니다.



우선 아래 아래 안내드리는 전용백신을 다운로드 하여 검사를 해보시기 바랍니다.
전용백신 다운로드 (클릭)

전용백신으로 진단이 되었다면 치료 후 V3제품이 업데이트가 되는지 확인해보신 후 업데이트가 된다면 업데이트 후 시스템 전체에 대해 검사를 진행하시기 바랍니다. 만약 전용백신으로 진단되는 내역이 없다면 아래 안내해 드리는 방법대로 조치하시기 바랍니다.

1) 아래의 파일을 임의의 폴더에 다운로드 받아 압축을 해제합니다.
Ice Sword 다운로드 (클릭)

2) IceSword.exe를 실행합니다.
3) 왼쪽의 [File]을 클릭합니다.
4) 아래 삭제 할 파일이 위치한 경로로 이동하여 파일을 찾습니다.

[삭제할 파일]
c:\windows\system32\ole.dll

5) 해당 파일을 마우스 우클릭후, [force delete]를 클릭합니다.
6) 시스템을 재부팅하여 V3 제품 업데이트를 해보시기 바랍니다. 업데이트가 정상적으로 이루어 지면 업데이트 후 전체 시스템에 대해 검사를 진행하시기 바랍니다.

위 내용에 대하여 아래 페이지를 참고 하시기 바랍니다.
http://core.ahnlab.com/18


신고
Posted by 비회원
1. 서론
 최근 imm32.dll 파일을 변조하는 악성코드로 인해 한/영 전환이 정상적으로 동작하지 않거나, 게임 혹은 기타 프로그램 실행 시 해당 파일 변조로 게임을 실행할 수 없다는 메세지가 나타나는 현상이 많이 접수되고 있습니다. 따라서 해당 조치가이드를 안내해 드립니다.


2. 악성코드 감염 시 나타는 증상
 해당 악성코드는 imm32.dll 파일을 변조시켜 게임 계정을 탈취하는 기능을 가진 악성코드 입니다.

해당 악성코드에 감염되면 운영체제에서 사용되는 정상파일인 imm32.dll 파일을 imm32.dll.log, imm32.dll.bak, imm32.dll.tmp 등의 이름으로 백업시킨 후 악성코드로 교체하게 됩니다.
(발견되는 변종에 따라 일부 파일명은 달라질 수 있습니다.)

따라서 아래 파일들을 삭제하고 변조된 파일은 정상 파일로 복원을 시켜주어야 합니다.

C:\Windows\System32\imm32.dll
C:\Windows\System32\ole.dll
C:\Windows\System32\nt32.dll


3. 조치 방법

3-1. 전용백신으로 치료

아래의 링크를 클릭하시어 전용백신을 다운로드 합니다.

[전용백신 다운로드 (클릭)
]



3-2.  수동 조치 방법
우선 수동조치 방법보다 위에 안내해드린 전용백신을 통한 치료를 권장 드립니다.

1) imm32.dll은 탐색기창에서는 정상적인 삭제가 되지 않을 수 있습니다.  아래 주소에서 GMER를 다운로드하여 악성파일을 삭제해 보시기 바랍니다.

-  GMER 다운로드 (클릭)

# 일부 변종에 감염될 경우 Gmer 실행 시 시스템이 다운되는 증상이 발생하여 툴 사용이 어려울 수 있습니다. 이러한 경우 아래 블로그 내용을 참고하셔서 IceSword 툴을 이용하여 imm32.dll 파일을 삭제하여 보시기 바랍니다.
- http://core.ahnlab.com/18

2) 프로그램 실행 후 [Files] 탭으로 이동하여 아래 파일들을 찾아서 오른쪽에 있는 [Delete] 버튼울 눌러 삭제 합니다.


C:\Windows\System32\imm32.dll
C:\Windows\System32\ole.dll
C:\Windows\System32\nt32.dll



3) [내컴퓨터] 를 실행한 후 아래 경로로 이동하여 imm32.dll.log 또는 imm32.dll.tmp 또는 imm32.dll.bak 파일을 imm32.dll 로 이름을 변경하도록 합니다.

만약 해당 파일이 모두 존재하지 않는 경우 감염되지 않은 정상 PC에서 파일을 복사 후 붙여넣기를 하시면 됩니다.



4) 재부팅 후 인터넷 익스플로러를 실행하여 한글 입력이 정상적으로 동작하는지 확인 부탁 드립니다. 만약 한글 입력이 정상적으로 동작하지 않는다면 아래 안내해 드리는 방법대로 조치하시기 바랍니다.


[인터넷 익스플로러에서 한글 입력이 안되는 경우]

마이크로소프트 오피스의 한글 입력기와의 충돌로 인해 발생 되며 이를 해결하기 위해서는 ctfmon.exe의 실행을 유도하는 2개의 dll 파일을  수동 삭제해 주어야 합니다.


1) 시작 -> 실행 -> cmd 입력 후 아래 명령어를 순서대로 입력합니다.

[그림] msimtf.dll 제거

[그림] msctf.dll 제거



만약 재부팅 후에도 증상이 해결되지 않는다면 시스템 복구를 이용하여 문제가 생기기 이전의 상태로 복구를 하는것을 권장 드립니다. 시스템 복구는 아래 경로에서 진행 할 수 있으며 자세한 내용은 FAQ에서 다루었으니  관련 글을 참고 하세요.

시스템 복원 방법 : http://core.ahnlab.com/176
시스템 복원을 취소하는 방법 : http://core.ahnlab.com/177


현재 imm32.dll 관련 악성코드는 현재 많은 변종이 나타나고 있으며 변종에 다른 증상이 각각 다르게 발생되고 있습니다.


위와 같이 조치하신 이후에도 한영키 변환의 문제가 있거나, 시스템 이상 증상이 계속적으로 발생할 경우
상단의 [바이러스 신고센터] 메뉴를 이용하여 신고주시면 확인 후 답변 드리겠습니다. 감사합니다.
신고
Posted by 비회원

1.
현재 'Antimalware Doctor' 라는 FakeAV(허위백신) 감염사실이 다수 제보된 상태입니다. 같은 증상을 갖고 있는 네티즌들에게 도움이 되고자 'Antimalware Doctor'의 치료법을 안내하는 조치가이드를 작성하여 공유합니다.

2. 감염 증상
허위백신이 동작하면 아래와 같은 화면이 지속적으로 나타납니다.

[그림1. 감염 생성되는 ]

 위협요소를 치료하겠다고 클릭하면, 아래와 같이 Key 활성화되어있지 않다고 안내하며 결제페이지로 유도합니다.

[그림2. Key 활성화 안내창]


트레이에는 그림과 같은 2가지 아이콘이 생성되며, Close 눌러도 종료되지 않습니다.

[그림3. 트레이에 나타나는 아이콘] 

3. 조치 방법
현재 V3 제품에서 해당 허위백신을
Win-Trojan/Fakeav.743424 진단하고 있습니다. 따라서 V3 제품에서 스마트업데이트를 통해 엔진을 최신엔진으로 업데이트 하신 검사 치료를 진행해 보시기 바랍니다.

만일 V3 설치하지 않으셨다면, 아래의 링크를 통해 무료백신 V3lite 설치하여 치료하시기 바랍니다.


V3lite
바로가기 -
www.v3lite.com

수동으로 직접 조치를 원하시면 아래와 같이 진행하여 주십시오.

1. 시작->실행->Taskmgr 입력 후 gotnewupdate005.exe 를 프로그램 종료시킵니다.

2. Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 :
http://asec001.v3webhard.com/IceSword.zip

3. Ice Sword 에서 [File] 메뉴를 선택을 합니다. 선택 후 아래의 경로의 파일 및 폴더를 찾아 마우스 오른클릭 후 [
Force Delete]를 눌러 파일 및 폴더를 삭제 합니다.

참고 : http://core.ahnlab.com/18

C:\Documents and Settings\my\Application Data\[숫자영문혼합]\gotnewupdate005.exe
C:\Documents and Settings\my\Application Data\[숫자영문혼합]\hookdll.dll
C:\Documents and Settings\my\Application Data\[숫자영문혼합]\enemies-names.txt


4. 시스템을
재부팅 합니다.

※ 현재 gotnewupdate005000.exe 등의 변종파일도 발견되고 있으니, 조치시 참고하시기 바랍니다.
신고
Posted by 비회원