악성코드를 퍼뜨리는 스팸메일의 대명사, DHL 이 다시 등장했습니다.

이번 스팸메일에 사용된 제목은 Please attention!  입니다.

아래의 메일 본문을 확인해보시고 비슷한 유형의 메일 첨부파일은 절대로 실행하지 마세요!

Dear customer!
The courier company was not able to deliver your parcel by your address.
Cause: Error in shipping address.
You may pickup the parcel at our post office personaly.
Please attention!
The shipping label is attached to this e-mail.
Print this label to get this package at our post office.
Please do not reply to this e-mail, it is an unmonitored mailbox!
Thank you,
DHL Delivery Services.

첨부된 압축파일을 해제하면 아래의 파일이 나옵니다.

 

이번에는 ini 파일 아이콘으로 위장하여 실행을 유도하고 있습니다.

위 스팸메일의 첨부파일은 V3에서 Win-Trojan/Downloader.135680.U 로 진단가능합니다.

 

 

항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.

2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.

3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.

4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원

악성코드에 감염되어 인터넷이 안되면 참 난감해집니다.

현재 버젼의 V3에서 인터넷을 못하게 하는 악성코드가 제거가 된다면 좋겠지만, 만약 최신엔진에서만 치료되는 변종 악성코드일 경우는 어떻게 해야 될까요? 엔진은 인터넷으로 업데이트 받는데 말이죠.

이제부터 엔진 업데이트가 불가한 상황(인터넷이 안되는 이유 등으로)에서 엔진을 최신버젼으로 업데이트 하는 방법을 소개하겠습니다.

1. 인터넷이 되는 PC에서 www.ahnlab.com 에 접속

2. 홈페이지 상단의 다운로드 –> 제품관련 파일 클릭

 

3. 윈도우즈용 클라이언트 및 서버 제품군 엔진을 다운받습니다. (우측 디스켓 모양 클릭)

 

4. 파일을 USB와 같은 이동식디스크에 저장합니다

 

5. 저장이 완료되면, 인터넷이 되지 않는 PC로 파일을 복사하고 설치합니다.

 
                                            [ 압축이 풀리고.. ]

 
                                                            [ 업데이트 시작을 눌러주세요 ]

 

5. 작업이 끝난 후 V3 가 제대로 업데이트되었는지 확인합니다.

6. 정밀(수동)검사를 통해 시스템 전체를 스캔하여 발견되는 악성코드를 치료합니다.

방법은 여기까지입니다!
혹시라도 막히시는 부분있으면 언제든지 댓글 남겨주세요~

신고
Creative Commons License
Creative Commons License
Posted by 비회원
현지 시각으로 7일에 미국 LA 코닥극장에서 제82회 아카데미 시상식이 열렸습니다. 영화에 관심 많으신 분들은 아시리라 생각이 듭니다.

이번 아카데미 시상식에서 오스카상을 누가 수상하게 되었는지 궁금할텐대요?  구글에서 "Oscar 2010" 으로 검색 시 주의를 하시기 바랍니다. 현재 다수의 페이지가 허위 악성코드를 유포하는 페이지로 나타나고 있음을 확인하였습니다.


현재 다수의 링크가 클릭 시 아래와 같이 허위 백신와 같은 모습이 나타나며 악성코드에 감염이 되었으니 주의를 하라는 메세지를 나타내게 됩니다.


그리고 치료를 위해 아래의 파일을 다운로드 받아 실행을 하도록 유도를 하게 됩니다. 해당 파일은 허위 백신을 설치하는 악성코드 이므로 실행을 절대 하면 안되니 주의하시기 바랍니다. 현재 해당 파일은 V3 제품군에서 Win-Trojan/Fakealert.382464 진단명으로 진단이 되고 있습니다.


최근 해당 내용처럼 사회적인 이슈를 이용하여 검색엔진에 노출시켜 공격을 하는 형태가 많이 발생하고 있습니다. 이러한 공격을 SEO Poisoning Attack 이라고 하는대요. 자세한 내용은 http://core.ahnlab.com/128 글을 참고하시기 바랍니다.

전 세계적으로 이슈가 되는 내용을 검색 시 항상 주의를 해야 할 필요가 있어 보입니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원

이번 포스트에서는 최근들어 급증하고 있는 온라인게임핵(Cyban) 의 증상과 조치방법에 대해 살펴보겠습니다.


◆ 증 상

특정 사이트에서 악성코드를 다운로드+드랍하고 아래와 같은 동작들을 수행합니다.

 < 캡쳐된 패킷 >

1. 온라인게임사이트 계정정보 탈취

- 악성코드는 인터넷익스플로러에 인젝션되어 아래 그림과 같이 하드코딩된 특정 게임사이트의 목록에서 쿠키값(ID,PW 등)을 노립니다.

 
<
게임사이트 목록 >

....
....
var b=LOGIN.getCookieValue("CAT");if(b.length>0){var a=b.split("+");if(a.length>1){return a[1];}}return"2";
....
....
< 쿠키값 탈취하는 코드의 일부 >

2. 키보드로깅
- 악성코드는 실행중인 프로세스에 인젝션되어 Key정보를 후킹합니다.
 
< dll 인젝션 >



3. Autorun 을 이용한 자동실행 + 확산, File 숨기기
 - Autorun 취약점을 이용하여 악성코드를 이동디스크매체를 통해 퍼뜨리고, 자신을 은폐하기 위해 레지스트리를 조작합니다.

< inf file내용 >


< 탐색기-숨김폴더보기 레지스트리 + 부팅실행 레지스트리 >



4. 안티바이러스를 무력화시키는 AV Kill
 - 아래 그림과 같이 A.V(안티바이러스) 프로세스들의 이름들이 저장되어 있으며, 해당되는 프로세스들의 실행을 방해합니다.

< A.V 리스트 >

◆ 조치방법

현재 v3 최신버젼으로 업데이트 하실 경우, 아래와 같이 진단 및 삭제가 가능합니다.

무료백신 V3Lite 다운로드




만약 다른 제품을 쓰시는 분이라면 수동으로 아래의 악성파일들을 삭제하면 됩니다.

c:\windows\system32\ieban(숫자).dll
c:\windows\system32\cyban(숫자).dll
c:\windows\system32\cyban.exe
c:\(랜덤영문+숫자).exe



파일이 숨겨져 있어서 안보일 경우, 아래의 링크들을 참조하셔서 삭제하시기 바랍니다.

은폐된 악성파일 수집 및 삭제 방법(Gmer)

의심파일 수집 방법(ICESword)



◆ 예방 방법

1) 신뢰할 수 없는 곳에서 유포된 프로그램(게임핵프로그램 등 불법프로그램 포함)은 다운로드하거나 실행하지 않습니다. 
* 악성코드는 불법프로그램을 통해서 주로 유포됩니다. *

2) 주기적인 업데이트로 V3 제품을 항상 최신엔진으로 유지하며, 실시간 감시 기능을 활성화합니다.

3) 웹 페이지를 통해 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어를 설치합니다.

4) 윈도우 취약점을 이용한 악성코드 감염을 예방하기 위해 Windows Update 를 통해 윈도우 보안 패치를 확인하고 설치합니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원
1. 개 요
최근 악성코드로 인해 thenewspedia.com, bizromour.com, mainstories.com, cultarts.com 등의 사이트가 나타나는 현상이 있어 해당 증상에 대한 조치가이드를 작성합니다.


2. 증 상
컴퓨터 부팅 후 아래와 같은 주소의 웹페이지로 연결이 되거나 웹서핑 도중 아래의 사이트로 연결이 되는 현상이 나타납니다.




3. 조치 방법
1) [시작] - [실행] 을 선택하여 실행창에 [regedit] 입력 후 [확인] 버튼을 누릅니다.



2) 레지스트리 편집기가 실행이 되면 아래 경로를 찾아 이동합니다.
HKEY_LOCAL_MACHINE\
                         SOFTWARE\
                                    Microsoft\
                                           Windows NT\
                                                       CurrentVersion\
                                                                          Winlogon



3) Winlogon 이하에 Taskman 이라는 값을 확인 후 해당 값에 쓰여진 경로를 기억합니다. 대부분 C:\RECYCLER 경로 이하의 폴더가 기록되어 있습니다. 그리고 해당 Taskman 값을 선택하여 마우스 오른클릭 후 삭제를 합니다.



4) Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 : http://asec001.v3webhard.com/IceSword.zip


5) Ice Sword를 실행하여 [File] 탭으로 이동합니다.



6) File 탭에서 이전에 이전에 레지스트리 편집기에서 Taskman 값에 기록된 경로로 이동합니다.
예) C:\RECYCLER\S-1-5-21-1202660629-1214440339-725345543-1003


7) 해당 경로로 이동하여 nissan.exe 파일을 찾아 마우스 오른 클릭 후 [force delete]를 선택하여 삭제합니다.


8) 해당 바이러스는 이동형 USB 디스크 장치를 통해 전파되는 Autorun 계열 악성코드 이므로 http://core.ahnlab.com/43 글을 참고하여 재감염을 예방하시기 바랍니다.

9) 마지막으로 컴퓨터를 재부팅 합니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원
아이폰(iPhone) 악성코드가 나타났다고 합니다... 해당 악성코드에 감염된 아이폰은 배경화면이 아래의 사진처럼 바뀐다고 합니다.


감염 경로는 모든 아이폰이 감염 대상은 아닙니다. 아이폰을 크랙하여 사용하는 기기들에 대해서만 감염이 되는데 이러한 크랙하여 사용하는 아이폰을 탈옥된(Jailbroken) 아이폰이라고 합니다.

이러한 아이폰들은 대부분 SSH 서비스가 활성화 되어 있고 패스워드가 대부분 Default(alpine)로 설정되어 있어 이러한 취약점을 이용하여 감염된다고 합니다.

전파원리는 아래 소스에서처럼 해당 IP 들을 스캔해서 Cydia application을 통해 접속한다고 하네요. 이때 당연히 패스워드를 확인하겠지만 위에 설명한거처럼 Default로 설정해놓고 바꾸지 않았다면 감염이 되겠죠?



즉, 패스워드만 변경해주거나 SSH 서비스를 활성화 하지 않는다면 해당 악성코드로 부터 감염은 예방될 수 있을거 같습니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원
이전에 안철수연구소에 바이러스를 신고하는 방법에 대한 글을 포스팅 한적이 있습니다. http://core.ahnlab.com/25

이번 글에서는 인터넷이 불가능한 PC에서 신고하는 방법에 대해 포스팅 하도록 하겠습니다. 먼저 아래 안리포트 파일을 임의의 폴더에 다운로드 받습니다.

안리포트(AhnReport) 다운로드(클릭)

다운받은 파일을 실행하여 상단의 [악성코드신고]을 클릭하고 창이 뜨면 하단의 [저장]을 클릭합니다.


저장될 위치를 선택하고 파일명을 임의로 적으신뒤 저장합니다. 이제 저장이 완료되면 생성된 arc 파일을 바이러스신고센터의 '현재 증상이 나타나고 있는 PC에서 신고할 수 없는 경우'의 신고하기 버튼을 클릭하셔서 첨부하여 보내주시기 바랍니다.


신고하여 주시는 내용은 확인 후 신속하게 답변을 해 드립니다.

어때요? 참 쉽죠?


신고
Creative Commons License
Creative Commons License
Posted by 비회원
안철수연구소에서는 24시간 365일 대응체제를 유지하며, 악성코드 관련 문의 및 신고를 받고 있습니다.

그럼 신고 방법에 대해 알아보도록 하겠습니다.

먼저, 안철수연구소 홈페이지(http://www.ahnlab.com)의 [시큐리티 센터] > [바이러스 신고센터]를 방문합니다.
(또는 현 블로그 상단의 "바이러스 신고센터" 메뉴를 통해서도 접속하실 수 있습니다.)

[그림 1] 바이러스 신고센터 접속 방법

[그림 2] 바이러스 신고센터 페이지

증상이 발생되는 시스템에서 "현재 증상이 나타나고 있는 PC에서 신고하는 경우" 를 통해 자세한 증상과 함께 문의를 접수시, 자동으로 시스템 정보파일(AhnReport)의 수집 및 문의가 접수됩니다.

만일, 증상 발생 시스템에서 안철수연구소 홈페이지 접속이 불가능 하거나, 의심파일만 접수하시는 등의 이유로 직접적인 접수가 불가한 경우에는 "현재 증상이 나타나고 있는 PC에서 신고할 수 없는 경우" 로 접수하시면 됩니다.

그럼 저희 ASEC대응팀에서 수집된 리포트 및 문의내용을 바탕으로 문제를 파악하고 분석하여 문제를 해결하여 답변을 드리게 되는 것입니다.

어때요? 안철수연구소에 문의 및 신고하기 참 쉽죠?



신고
Creative Commons License
Creative Commons License
Posted by 비회원
Redirected Hostfile Entries 진단명은 윈도우의 hosts 파일이 변조되었을 시 나타나는 진단명 입니다. 해결 방법은 아래 설명 드리는 대로 수정을 권해 드립니다.

1) 내컴퓨터를 켠 후 C:\WINDOWS\system32\drivers\etc 로 이동합니다.



2) [시작] - [모든 프로그램] - [보조프로그램]에서 메모장(notepad.exe)을 실행합니다.

3) hosts 파일을 마우스로 선택 후 드래그 앤 드롭으로 메모장에서 열도록 합니다.



4) 127.0.0.1 localhost 로 입력되어 있는 부분을 제외한 모든 내용을 삭제하신 후 저장합니다.


(내용 추가)
위에 안내해 드린대로 한 후 파일이 저장이 안된다면 아래 안내해 드리는 방법대로 해주시기 바랍니다.
[시작] - [실행] - [cmd] 라고 입력 후 [확인] 버튼을 눌러 실행된 검은 콘솔 창에서 아래 명령어를 실행시켜 주시기 바랍니다.

attrib -r -s -h C:\WINDOWS\system32\drivers\etc\hosts

그리고 저장을 해보시기 바랍니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원
1. 개 요
Win32/Induc 바이러스는 볼랜드사에서 제작한 델파이 프로그램의 일부 버전(Delphi4~7)에서 사용하는 특정 라이브러리(Sysconst)가 감염된 후 컴파일 과정에서 생성되는 EXE, DLL 등에 바이러스 코드를 삽입하는 기법을 사용하는 피라미드형 바이러스 입니다.
현재 국내에서 델파이로 제작된 다양한 프로그램들이 해당 악성코드에 감염된 상태로 배포되고 있으므로 주의가 필요합니다.

2. 분석 정보
 2.1 감염방법
Win32/Induc 바이러스는 델파이로 제작된 파일에 악성코드 소스가 삽입된 형태로 동작합니다. 그러나 일반적인 파일 바이러스와 달리 델파이 프로그램만을 대상으로 공격을 시도하고 실행 파일을 감염시키는 행위를 하지는 않습니다. 따라서 개발프로그램이 설치되어있지 않은 사용자들의 경우 감염 증상이 나타나지 않습니다.

감염 방식 또한 일반적인 파일 바이러스와 차이가 있습니다. 일반적인 파일 바이러스는 공격 대상 파일에 직접 악성코드 소스를 삽입하는 형태로 감염을 시키지만 Win32/Induc 바이러스는 델파이 프로그램에서 사용하는 DCU(Delphi Compiled Unit) 중 Sysconst.dcu 파일에 악성코드 소스를 삽입해두고 개발자가 프로그램을 컴파일 할때마다 저장된 악성코드 소스를 제작된 프로그램에 삽입합니다.

백신 외에 파일의 감염여부를 추가 확인해보기 위해서는 델파이로 제작된 프로그램을 에디트 프로그램(BinText, Hiew 등)을 이용하여 오픈한 후 아래와 같은 문자열의 존재여부를 확인함으로써 판단할 수 있습니다.
 
[그림 1. 감염여부 수동확인]

2.2 감염 과정

1) 델파이 제품(버전별 4.0~7.0) 설치 유무와 설치 경로를 확인합니다.
2) 델파이 설치디렉토리 내SysConst.pas을 열어 자체 문자열 코드를 삽입합니다.
3) 삽입 후 델파이 설치 루트디렉토리에 SysConst.pas를 저장합니다.
4) 정상 SysConst.dcu 파일은 SysConst.bak 파일 형태로 Backup 저장합니다.
5) 커맨드라인 컴파일러(DCC32.EXE)를 실행하여 감염된 소스코드 파일(SysConst.pas)을 컴파일하여 SysConst.dcu 파일을 생성합니다.
6) 감염된 SysConst.dcu 파일 생성 후 감염된 소스코드 SysConst.pas 파일은 삭제합니다.
7) 이후에 컴파일 되는 모든 실행 프로그램에 삽입됩니다.
8) 사용자는 바이러스에 감염된 채 배포되는 프로그램을 사용하게 됩니다.

2.3 감염 증상
감염된 프로그램을 사용하는 사용자는 별다른 감염 증상이 나타나지 않습니다. 델파이 프로그램이 설치된 개발 시스템에서 위의 방법으로 감염시키는 증상만 나타납니다.

3. 치료 이
3.1 백신(V3)을 이용할 경우
1) 진단 후 치료 : V3는 바이러스에 감염된 실행프로그램을 진단 후 치료를 수행합니다. 여기서 치료란 원본파일에 삽입된 바이러스코드 부분을 삭제하여 원본파일 상태로 되돌리는 것을 말합니다. V3와 일부 백신프로그램은 치료기능이 제공되나 대부분 백신은 삭제하게 됩니다.

2) 진단 후 삭제되는 문제 : 일부 실행 프로그램의 경우 실행파일의 사이즈를 줄이기 위해 실행압축(UPX, UPack, PECompact 등) 방법을 이용하여 압축 후 배포하게 됩니다. 실행압축된 상태에서는 진단할 수 없으므로 실행압축 해제 후 진단/치료하게 됩니다.

진단/치료 후 다시 실행압축 상태로 돌려야 하나, 불가하므로 치료할 수 없는 파일로 인식하게 되고, V3 치료방법 설정 옵션에 따라(삭제 또는 그대로 두기) 동작합니다. 바이러스에 의해 감염된 파일은 치료 또는 치료 불가능할 경우 삭제 되는 것이 정상입니다. 
 
[그림2. 바이러스 치료옵션 화면]


3.2 델파이 개발프로그램 사용자를 위한 조치방법
다음 그림과 같이 감염이 확인이 될 경우, 아래 방법으로 조치를 취하기 바랍니다.
 
[그림3. 바이러스 진단화면]

1)    감염 파일 진단(삭제) 후, 델파이가 설치된 폴더의 하위 폴더 중 bin 폴더에서 감염된 Sysconst.dcu 파일은 V3에 의해  확장자를 .dxx 등으로 임의 변경합니다.

2)    동일 폴더에 Sysconst.bak 파일이 백업되어 존재하므로 해당 백업파일의 확장자를 Sysconst.dcu로 변경합니다.(만약 파일이 존재하지 않는 경우 신뢰할 수 있는 시스템에 설치 되어있는 델파이 프로그램에서 동일한 파일을 복사해 오거나 델파이 프로그램을 재설치해야 합니다.)

3)    확장자를 변경한 Sysconst.dxx 파일은 삭제 조치합니다.

4)    감염된 채 배포된 파일의 교체를 위해 모든 프로그램을 정상 컴파일하여 사용자에게 재 배포하시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원