아래 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있습니다. 메일 본문은 첨부한 악성코드를 확인하기 위해 첨부한 파일을 다운로드하여 실행하도록 사용자에게 유도하도록 작성되어 있으며 사용자들의 각별한 주의가 필요합니다.

Email Policy Violation
FROM [영문명 이름]


아래 링크에 포스팅 된 글에 기재된 첨부파일과 똑같은 형식의 파일 아이콘 형식이며 실행 시 FakeAV가 실행되어 허위 진단 후치료를 위해 사용자에게 결제를 유도합니다.

http://core.ahnlab.com/203





http://core.ahnlab.com/152

위 링크에 포스팅 된 글에서 언급해 드렸듯이 실행파일이 아닌 것으로 위장하는 파일들은 아래와 같이 폴더 옵션에서 "알려진 파일 형식의 파일 확장명 숨기기" 옵션을 체크해제하면 확장명을 확인할 수 있으므로 문서 파일로 오인하고 실행하는 것을 사전에 예방할 수 있습니다.



스팸메일을 통해 전파되는 악성코드 감염으로부터 예방하기 위해 항상 아래와 같은 사항을 준수해 주시기 바랍니다.


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.




신고
Creative Commons License
Creative Commons License
Posted by 비회원

http://core.ahnlab.com/192
http://core.ahnlab.com/193
http://core.ahnlab.com/196

상기 링크 글들에서 광고성 html을 가장하여 악성코드를 다운로드하는 HTML 첨부 파일 및 HTML 링크를 삽입한 스팸메일 관련하여 포스팅하였습니다.

지속적으로 해당 스팸메일의 변형이 발견되고 있으며 최근에 발견된 스패메일은 아래와 같은 제목으로 유포되고 있습니다.

Delivery Status Notification (Delay)
Delivery Status Notification (Failure)

해당 스팸메일에 첨부된 파일은 아래와 같은 파일명의 html 파일입니다.

Forwarded Message.html

첨부된 html 파일을 실행하면 이전과 동일하게 iframe이 삽입된 URL로 연결이 되게 되며 아래와 같은 난독화된 스크립트를 확인할 수 있습니다.



난독화된 스크립트 디코딩 후 수집한 파일들은 아래와 같이 수집되었으며 분석 후 V3 엔진에 반영될 예정입니다. 추가적으로 악성으로 추정되는 PDF 파일을 수집하여 V3엔진에 반영하도록 하겠습니다.








신고
Creative Commons License
Creative Commons License
Posted by 비회원

최근 수집된 악성코드 유포 스팸메일 중, 첨부파일이 마치 해외보안업체의 바이러스 검사를 통과한 안전한 파일인 것처럼 위장하여 전송되는 스팸메일이 발견되어 안내드립니다.


 Re: my website
--------------------------------------------------------------------------------------------------

 Please read the document.


website.zip: No virus found
Powered by the new Norton OnlineScan
Get protected: www.symantec.com


위 그림처럼 website.zip 이 바이러스테스트를 통과한 것처럼 메일을 뿌려, 사용자가 안심하고 실행할 수 있게끔 유도하고 있습니다.

website.zip 압축파일 내에 존재하는 파일은 악성코드이므로 절대 첨부파일 실행하지 마시고, 메일 확인 즉시 삭제해주시기 바랍니다.



첨부 파일은 현재 V3 에서 Win32/Virut 으로 진단 및 치료 가능합니다.


항상 아래의 사항을 준수하여 악성코드에 감염되지 않게 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.

2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.

3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다
.

4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원

1.
현재 'Antimalware Doctor' 라는 FakeAV(허위백신) 감염사실이 다수 제보된 상태입니다. 같은 증상을 갖고 있는 네티즌들에게 도움이 되고자 'Antimalware Doctor'의 치료법을 안내하는 조치가이드를 작성하여 공유합니다.

2. 감염 증상
허위백신이 동작하면 아래와 같은 화면이 지속적으로 나타납니다.

[그림1. 감염 생성되는 ]

 위협요소를 치료하겠다고 클릭하면, 아래와 같이 Key 활성화되어있지 않다고 안내하며 결제페이지로 유도합니다.

[그림2. Key 활성화 안내창]


트레이에는 그림과 같은 2가지 아이콘이 생성되며, Close 눌러도 종료되지 않습니다.

[그림3. 트레이에 나타나는 아이콘] 

3. 조치 방법
현재 V3 제품에서 해당 허위백신을
Win-Trojan/Fakeav.743424 진단하고 있습니다. 따라서 V3 제품에서 스마트업데이트를 통해 엔진을 최신엔진으로 업데이트 하신 검사 치료를 진행해 보시기 바랍니다.

만일 V3 설치하지 않으셨다면, 아래의 링크를 통해 무료백신 V3lite 설치하여 치료하시기 바랍니다.


V3lite
바로가기 -
www.v3lite.com

수동으로 직접 조치를 원하시면 아래와 같이 진행하여 주십시오.

1. 시작->실행->Taskmgr 입력 후 gotnewupdate005.exe 를 프로그램 종료시킵니다.

2. Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 :
http://asec001.v3webhard.com/IceSword.zip

3. Ice Sword 에서 [File] 메뉴를 선택을 합니다. 선택 후 아래의 경로의 파일 및 폴더를 찾아 마우스 오른클릭 후 [
Force Delete]를 눌러 파일 및 폴더를 삭제 합니다.

참고 : http://core.ahnlab.com/18

C:\Documents and Settings\my\Application Data\[숫자영문혼합]\gotnewupdate005.exe
C:\Documents and Settings\my\Application Data\[숫자영문혼합]\hookdll.dll
C:\Documents and Settings\my\Application Data\[숫자영문혼합]\enemies-names.txt


4. 시스템을
재부팅 합니다.

※ 현재 gotnewupdate005000.exe 등의 변종파일도 발견되고 있으니, 조치시 참고하시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원
오늘도 어김없이 악성코드를 퍼뜨리는 스팸메일이 등장했습니다.
이번엔 Amazon 관계자로 위장해서 첨부파일이 송장(invoice)파일이라고 속여서 선량한 네티즌들을 유혹하네요.

메일 내용은 아래와 같으니, 꼭 확인해보시고, 같은 내용으로 온 메일은 바로 삭제하세요.

제목:
Your transaction has been processed


본문:

Your transaction has been processed by WorldPay, on behalf of Amazon Inc.

The invoice file is attached to this message.

This is not a tax receipt.

We processed your payment.

Amazon Inc has received your order,

and will inform you about delivery.

Sincerely,

Amazon Team




위 메일에 첨부된 Setup.exe 를 실행하면 'Desktop Security 2010' 이라는 가짜백신(FakeAV)이 설치되어 아래와 같은 증상이 나타납니다.














제발 결제해달라고 아우성치는군요~^^
똑똑한 우리 네티즌들은 절대 낚이면 안되겠지요?
만약 실수로 위 악성코드에 감염되었다면 당황하지말고 V3 로 간단하게 치료하시면 되겠습니다!

끝으로 스팸에 의한 악성코드 감염을 예방수칙을 안내해드리겠습니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. V3와 같은 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원

eCard, christmas card 등등.. 이제 이런 스팸메일들은 제목만 봐도 느낌이 오실거라 생각합니다^^;

이번에 소개드리는 악성코드 유포 스팸메일은 본문에 포함된 링크를 통해 악성코드를 다운받게끔 유도하므로, 메일에 포함된 링크는 절대 클릭하지 마세요!

아래는 메일의 내용입니다.

  • 메일 제목
You have received an eCard 
  • 본문 내용

Good day.
You have received an eCard
To pick up your eCard, click on the following link (or copy & paste it into your web browser):
http://micro.[삭제].com/ecard.zip
Your card will be aviailable for pick-up beginning for the next 30
days.
Please be sure to view your eCard before the days are up!
We hope you enjoy you eCard.
Thank You

링크를 통해 받은 파일의 압축을 해제하면 ecard.exe 가 나옵니다.

이번에도 ini 파일 아이콘으로 위장했네요.

위 파일은 V3에서 Win-Trojan/Agent.145920.AE(V3, 진단버전:2010.04.25.00)  로 진단됩니다.

항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로부터 피해를 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.

2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.

3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.

4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원

악성코드를 퍼뜨리는 스팸메일의 대명사, DHL 이 다시 등장했습니다.

이번 스팸메일에 사용된 제목은 Please attention!  입니다.

아래의 메일 본문을 확인해보시고 비슷한 유형의 메일 첨부파일은 절대로 실행하지 마세요!

Dear customer!
The courier company was not able to deliver your parcel by your address.
Cause: Error in shipping address.
You may pickup the parcel at our post office personaly.
Please attention!
The shipping label is attached to this e-mail.
Print this label to get this package at our post office.
Please do not reply to this e-mail, it is an unmonitored mailbox!
Thank you,
DHL Delivery Services.

첨부된 압축파일을 해제하면 아래의 파일이 나옵니다.

 

이번에는 ini 파일 아이콘으로 위장하여 실행을 유도하고 있습니다.

위 스팸메일의 첨부파일은 V3에서 Win-Trojan/Downloader.135680.U 로 진단가능합니다.

 

 

항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.

2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.

3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.

4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원

악성코드에 감염되어 인터넷이 안되면 참 난감해집니다.

현재 버젼의 V3에서 인터넷을 못하게 하는 악성코드가 제거가 된다면 좋겠지만, 만약 최신엔진에서만 치료되는 변종 악성코드일 경우는 어떻게 해야 될까요? 엔진은 인터넷으로 업데이트 받는데 말이죠.

이제부터 엔진 업데이트가 불가한 상황(인터넷이 안되는 이유 등으로)에서 엔진을 최신버젼으로 업데이트 하는 방법을 소개하겠습니다.

1. 인터넷이 되는 PC에서 www.ahnlab.com 에 접속

2. 홈페이지 상단의 다운로드 –> 제품관련 파일 클릭

 

3. 윈도우즈용 클라이언트 및 서버 제품군 엔진을 다운받습니다. (우측 디스켓 모양 클릭)

 

4. 파일을 USB와 같은 이동식디스크에 저장합니다

 

5. 저장이 완료되면, 인터넷이 되지 않는 PC로 파일을 복사하고 설치합니다.

 
                                            [ 압축이 풀리고.. ]

 
                                                            [ 업데이트 시작을 눌러주세요 ]

 

5. 작업이 끝난 후 V3 가 제대로 업데이트되었는지 확인합니다.

6. 정밀(수동)검사를 통해 시스템 전체를 스캔하여 발견되는 악성코드를 치료합니다.

방법은 여기까지입니다!
혹시라도 막히시는 부분있으면 언제든지 댓글 남겨주세요~

신고
Creative Commons License
Creative Commons License
Posted by 비회원
1. 개 요
최근 악성코드로 인해 thenewspedia.com, bizromour.com, mainstories.com, cultarts.com 등의 사이트가 나타나는 현상이 있어 해당 증상에 대한 조치가이드를 작성합니다.


2. 증 상
컴퓨터 부팅 후 아래와 같은 주소의 웹페이지로 연결이 되거나 웹서핑 도중 아래의 사이트로 연결이 되는 현상이 나타납니다.




3. 조치 방법
1) [시작] - [실행] 을 선택하여 실행창에 [regedit] 입력 후 [확인] 버튼을 누릅니다.



2) 레지스트리 편집기가 실행이 되면 아래 경로를 찾아 이동합니다.
HKEY_LOCAL_MACHINE\
                         SOFTWARE\
                                    Microsoft\
                                           Windows NT\
                                                       CurrentVersion\
                                                                          Winlogon



3) Winlogon 이하에 Taskman 이라는 값을 확인 후 해당 값에 쓰여진 경로를 기억합니다. 대부분 C:\RECYCLER 경로 이하의 폴더가 기록되어 있습니다. 그리고 해당 Taskman 값을 선택하여 마우스 오른클릭 후 삭제를 합니다.



4) Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 : http://asec001.v3webhard.com/IceSword.zip


5) Ice Sword를 실행하여 [File] 탭으로 이동합니다.



6) File 탭에서 이전에 이전에 레지스트리 편집기에서 Taskman 값에 기록된 경로로 이동합니다.
예) C:\RECYCLER\S-1-5-21-1202660629-1214440339-725345543-1003


7) 해당 경로로 이동하여 nissan.exe 파일을 찾아 마우스 오른 클릭 후 [force delete]를 선택하여 삭제합니다.


8) 해당 바이러스는 이동형 USB 디스크 장치를 통해 전파되는 Autorun 계열 악성코드 이므로 http://core.ahnlab.com/43 글을 참고하여 재감염을 예방하시기 바랍니다.

9) 마지막으로 컴퓨터를 재부팅 합니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원
3.    Conficker 조치 방법
--------------------------------------------------------------


 

A.    수동 조치 방법(진단불가능)

* Win32/Conflicker.worm 변형 수동조치 법

 

[1] GMER Download : http://www.gmer.net/gmer.zip 에서 툴을 다운로드 받으신 후, 임의의 폴더에 압축을 해제하여 gmer.exe를 실행합니다.

 

[2] GMER를 실행했을 때 은폐형 파일이 존재할 경우 아래와 같이 메시지가 출력됩니다. 붉은색으로 표시된 부분(svchost.exe hidden으로 표시) Value 항목에 위치한 값을 확인합니다. (여기서는 Remoteserv)



[3] 2번 과정에서 이미 붉은색으로 확인된 내용이 존재하므로, 아니오를 선택합니다.(‘를 선택할 경우 Full Scan을 시작하며 많은 시간이 소모됩니다.) 물론 은폐형 파일이라고 해서 모두 악성은 아니며 아래 경우와 동일한 경우에만 수동조치가 필요합니다.

 

[4] >>> 탭을 클릭하면 숨어있던 탭이 보이게 됩니다.

 


[5] Registry 을 클릭한 후, 아래의 경로를 따라 Services 항목의 하위 키값를 확인합니다.



[6] 2번에서 확인된 Value값과 동일한 서비스명을 찾아 하위 Parameter 위치로 이동합니다.(마찬가지로 해당 키 값도 붉은색으로 표시됩니다.)




[7] ServiceDLL 더블클릭하여 의심파일의 위치를 확인합니다.



[8] 의심파일명과 경로가 확인한 후, ‘Files’ 탭에서 "%SYSTEM%\[랜덤 파일명].dll"클릭하고(여기서는 C:\WINDOWS\System32\ilfakut.dll) Kill을 선택 후, Copy를 클릭하여 임의의 폴더에 복사하고 해당 파일은 Delete를 클릭하여 삭제합니다.



[9] 레지스트리는 [시작] – [실행] 에서 regedit 또는 regedt32 를 실행하여 레지스트리를 찾아 권한 부여(로그인 계정) 후 삭제합니다.




[10] 끝으로 Win32/Conflicker.worm에 감염됐을 때 인터넷이 안 되는 이유는 감염 시스템에서 다른 MS08-067취약점이 존재하는 시스템을 찾는 과정에서 랜덤한 TCP 445포트로 트래픽을 발생하여 윈도우 TCP/IP버퍼를 다 소모하므로 인터넷이나 네트워크가 안될 가능성이 존재합니다.

따라서 위와 같이 조치한 후 반드시 재 부팅이 필요합니다.


B.    엔진 추가 후 조치 방법: 제품 + 전용백신(진단가능 혹은 엔진 포함 후)

- FirstBlock 설치 대상 : V3 2004, V3 365, V3 lite, V3Net 6.0 사용 고객

MS08-067 취약점은 V3 IS 2007, V3 IS 2008, V3 Net 7.0 에 차단룰 모두 적용되어 있으며, 해당 제품 이외의 제품(V3 2004, V3 365, V3 lite, V3Net 6.0 )을 사용할 경우 FirstBlock을 설치하여 추가적인 감염을 예방해야 한다.

- 엔진 업데이트 후 치료 방법 (이미 감염된 상태)

[V3 IS 2007 이하의 제품]

진단/치료가 불가하며 전용백신을 통해 치료해야 한다.

(전용백신을 통해 치료하더라도 감염 쓰레드 종료가 되지 않기 때문에, 재부팅 후 치료가 완료된다.)

APC 사용하는 기업의 경우, Silence 모드로 동작하는 Conficker 전용백신을 배포 조치를 안내한다.

[V3 Internet Security 8.0]

재부팅 없이 진단/치료가 가능하다. (전용백신 불필요)

따라서, V3 IS 8.0으로의 제품 업데이트가 시급함.

 

C.      예방 방법

- MS08-067 보안패치 설치

- 취약하지 않은 암호 사용(영문/숫자/특수문자 조합으로 8자리 이상)

** 주의사항 : 취약하지 않은 암호를 사용하더라도, 감염된 시스템과 동일한 계정, 암호를 사용할 경우 감염될 수 있기 때문에 시스템에 대한 동일한 암호 적용을 지양함

- USB Guard 사용 (다운로드 경로 : http://www.ncsc.go.kr/data/usbguard.zip)

 

신고
Creative Commons License
Creative Commons License
Posted by 비회원