1. Conficker 개요
-------------------------------------------------------------------------------------------------------

해당 악성코드는 윈도우 보안 취약점(MS08-067), 관리공유 및 이동디스크를 통해 빠르게 확산되어 네트워크 자원(랜덤 및 B클래스 IP대역을 대상으로 Remote TCP 445포트로 대량의 트래픽 발생)을 소모시킨다. 추가적으로 진단을 어렵게 하는 기법이 사용되었는데, 악성코드 원본을 Svchost.exe Remote Handle(원격핸들)로 오픈하여 실행되며, 악성코드가 등록한 레지스트리 서비스 및 악성파일 원본에 Read권한을 없애 파일/레지스트리에 접근을 불가능하게 한다.


2. Conficker 증상 확인 방법
-------------------------------------------------------------------------------------------------------

 A. 네트워크를 통한 확인 방법

[주요 증상]

- TCP 445 포트로 다량의 트래픽을 발생

- DNS 쿼리를 후킹하여 보안 사이트만 접속되지 않도록 하는 증상 발생

(ex) MS 사이트, ahnlab.com

 

[의심 증상]

- 랜덤 및 B클래스 IP대역을 대상으로 Remote TCP 445포트를 통한 대량의 트래픽 발생시키는 시스템 존재

 

[세부 확인]

- 의심 증상이 발생되는 시스템에서 패킷 덤프를 저장한 후 Wireshark 등의 툴을 이용하여 확인한다. (네트워크 환경에 따라 다르기 때문에 네트워크 담당자의 도움을 받아 메인 라우터나 혹은 Conficker 의심 증상이 발생하는 네트워크 단에서 저장한다.)

 

1. Filter 항목에 smb 입력한 후 엔터



  2. Conficker
임을 확인하는 방법

 A) 취약점 서비스 String 검색 : ‘Edit’ > ‘Find Packet’을 선택, Search In 항목의  ‘Packet list’ 선택, 최종적으로 String을 선택한 후 NetPathCanonicalize(Conficker가 이용하는 취약점 서비스명) 입력하고 Find를 클릭한다.(추가 의심정보 : IPC$를 대상으로 Scanning, srvsvc API 요청)



B) 동일한 취약점에 대한 다른 검색 방법 : Filter항목에 srvsvc.opnum == 31 입력 후 엔터
- srvsvc API(취약한 NetPathCanonicalize 함수를 포함)에 바인드 요청하는 취약점 패턴



- 문자열 중에 \..... 되어 있는 부분에 ‘2e 00 2e 00 5c 00 2e 00 2e 00’ 값이 있는지 확인하며, 이 문자열은 Conficker에서 많이 볼 수 있는 취약점 패턴이다.



 

B.    안리포트를 통한 확인 방법(의심 시스템 찾은 경우) 

- Packet 덤프 분석이 아니더라도, 의심 시스템에서 AhnReport를 통하여 Conficker인지 확인할 수 있다.
- 네트워크 연결 : svchost.exe 프로세스를 이용하여, 원격 포트 445를 통해 SYN Sent 시도

신고
Creative Commons License
Creative Commons License
Posted by 비회원
1. 개 요
Win32/Palevo.worm(원본파일명 ; sysdate.exe) 악성코드 관련하여 UDP/5907, UDP/80 등 다수 트래픽을 유발하는 현상이 발생하여 긴급 조치를 위한 가이드를 작성/배포합니다.

[그림 1. 관련 트래픽 차단 현황]


2. 주요 증상
주요증상은 다음과 같습니다.
1) 시스템 루트\RECYCLER\s-1-5-21-[숫자]에 sysdate.exe, Desktop.ini 파일을 생성.

2) 레지스트리 추가를 통해 시작프로그램에 등록.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
"C:\RECYCLER\S-1-5-21-[숫자]\sysdate.exe"

HKEY_USERS\S-1-5-21-[숫자]\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell explorer.exe,C:\RECYCLER\S-1-5-21-[숫자]\sysdate.exe

3) 외부 사이트 접속시도
b***erfly.***Money.biz  9*.9.1*0.**3
bu****fly.s***p.es  8*.1*6.1**.7*
q***asdfg.sinip.es 7*.2**.1*2.1*2
unk****.w*  7*.*0.2*.1**


3. 증상 발생 시 조치방법
1) 긴급 수동조치
 추가 감염을 예방하기 위해 시스템루트\RECYCLER 폴더 이하에 생성된 sysdate.exe 파일을 삭제 합니다. 삭제하는 방법은 아래와 같습니다.

먼저 Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 : http://asec001.v3webhard.com/IceSword.zip

다운로드 받은 프로그램을 실행하면 위와 같은 프로그램이 실행이 됩니다. 이제 해당 파일을 삭제하기 위해 File 탭으로 이동을 합니다.

[그림2 Ice Sword 실행화면]


이동 후 생성되었던 RECYCLER\s-1-5-21-[숫자] 경로로 이동 합니다.

[그림 3 RECYCLER 폴더 찾기]

이동 후 생성되었던 sysdate.exe 파일을 찾아 선택 후 마우스 오른 클릭을 하여 [force delete]를 선택하여 삭제하도록 합니다.
 
[그림 4 삭제하기]


그리고 레지스트리에 추가된 항목을 삭제하시기 바랍니다. 삭제방법은 다음과 같습니다. 먼저 [시작] - [실행] 으로 이동을 하여 [regedit] 입력 후 [확인] 버튼을 누릅니다.
 
[그림 5 레지스트리 편집기 실행]

실행을 하게 되면 레지스트리 편집기가 실행이 됩니다. 실행이 되면 아래 경로를 찾아 가도록 합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
해당 경로에 있는 Taskman 이란 키값을 찾아 선택 후 마우스 오른클릭 후 삭제를 선택하면 됩니다.

[그림 6 레지스트리 키값 삭제]

그 외 위와 같은 방법으로 아래 경로로 찾아가 [shell] 값을 삭제하여 주시기 바랍니다.
HKEY_USERS\S-1-5-21-[숫자]\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

마지막으로 위에 알려드린 모든 작업을 완료하셨다면 시스템을 재부팅을 하시기 바랍니다.


2) 백신 사용 및 최신엔진 업데이트(실시간 감시 사용)
 V3(V3 IS, V3 365, V3 Lite 및 V3 Net for Server 제품군)에서는 2009.09.22.04 엔진에서부터 다음과 같이 진단 및 치료 가능( V3 진단명 : Win32/Palevo.worm.116224.D)



신고
Creative Commons License
Creative Commons License
Posted by 비회원
이전에 안철수연구소에 바이러스를 신고하는 방법에 대한 글을 포스팅 한적이 있습니다. http://core.ahnlab.com/25

이번 글에서는 인터넷이 불가능한 PC에서 신고하는 방법에 대해 포스팅 하도록 하겠습니다. 먼저 아래 안리포트 파일을 임의의 폴더에 다운로드 받습니다.

안리포트(AhnReport) 다운로드(클릭)

다운받은 파일을 실행하여 상단의 [악성코드신고]을 클릭하고 창이 뜨면 하단의 [저장]을 클릭합니다.


저장될 위치를 선택하고 파일명을 임의로 적으신뒤 저장합니다. 이제 저장이 완료되면 생성된 arc 파일을 바이러스신고센터의 '현재 증상이 나타나고 있는 PC에서 신고할 수 없는 경우'의 신고하기 버튼을 클릭하셔서 첨부하여 보내주시기 바랍니다.


신고하여 주시는 내용은 확인 후 신속하게 답변을 해 드립니다.

어때요? 참 쉽죠?


신고
Creative Commons License
Creative Commons License
Posted by 비회원
V3 제품에서 Win32/Induc 진단명에 대해 수동 제거로 나타난 항목에 대해 제거하는 방법에 대해 소개해 드리겠습니다.

현재 국내에서 배포되는 프로그램 중 많은 프로그램이 Win32/Induc 바이러스에 감염되어 있습니다. 해당 글에서는 이러한 프로그램 리스트를 목록화 하여 제거하는 방법까지 소개를 하도록 하겠습니다.




먼저 V3 제품에서의 진단 로그를 확인합니다. 위의 빨간 박스의 내용의 감염된 파일 경로를 확인합니다. 그리고 아래 목록에서 감염된 파일 경로가 같은 항목을 찾습니다.



위 프로그램들은 Win32/Induc 바이러스에 감염된 이력이 있었던 프로그램들로 최신 버젼은 대다수 조치가 되었으니 최신버젼으로 설치를 권장 드립니다.

진단된 파일 경로와 같은 경로를 찾으셨다면 우측에 있는 삭제할 파일 또는 프로그램 - 삭제방법 으로 구성된 내용을 기억하십시오. 그리고 아래 해당되는 삭제방법 대로 따라해주시면 됩니다.

1) ActiveX 로 설치된 경우
1. 내컴퓨터를 실행합니다.
2. C:\WINDOWS\Downloaded Program Files 경로로 이동합니다.
3. 삭제할 파일을 찾아 마우스 우클릭 후 [Remove] 혹은 [제거]를 선택합니다.




2) 인스톨 형태로 설치된 경우
1. 시작 - 제어판 - 프로그램 추가/제거 항목으로 이동합니다.
2. 프로그램 목록 중 삭제할 프로그램을 찾아 삭제를 하시기 바랍니다.




3) 파일 삭제를 해야 하는 경우
1. 내컴퓨터를 실행합니다.
2. [도구] - [폴더 옵션] 으로 이동 합니다.
3. 아래 그림과 같이 "보호된 운영 체제 파일 숨기기(권장) "을 해제 합니다. 그리고 "숨김 파일, 폴더 및 드라이브 표시" 항목으로 선택합니다.


4. 이제 감염된 경로의 파일을 찾아가서 삭제를 합니다.
5. 삭제 후 휴지통을 비웁니다.


기타 C:\Documents and Settings\계정명\Local Settings\Temporary Internet Files 경로에서 진단되는 파일이 있다면 해당 경로의 파일은 인터넷 임시 폴더에 있는 파일입니다. 따라서 인터넷 임시폴더를 비워주시면 깔끔하게 해결될 것으로 보입니다. 인터넷 임시폴더를 비우는 방법은 아래와 같습니다.

1. 인터넷 익스플로러를 실행합니다.
2. [도구] - [인터넷 옵션] 으로 갑니다.
3. [파일 삭제] 버튼을 눌러 [오프라인 항목을 모두 삭제]에 체크하신 후 [확인] 버튼을 누르시기 바랍니다.


질문이 있으시면 언제든지 리플로 남겨주세요.



신고
Creative Commons License
Creative Commons License
Posted by 비회원
안철수연구소에서는 24시간 365일 대응체제를 유지하며, 악성코드 관련 문의 및 신고를 받고 있습니다.

그럼 신고 방법에 대해 알아보도록 하겠습니다.

먼저, 안철수연구소 홈페이지(http://www.ahnlab.com)의 [시큐리티 센터] > [바이러스 신고센터]를 방문합니다.
(또는 현 블로그 상단의 "바이러스 신고센터" 메뉴를 통해서도 접속하실 수 있습니다.)

[그림 1] 바이러스 신고센터 접속 방법

[그림 2] 바이러스 신고센터 페이지

증상이 발생되는 시스템에서 "현재 증상이 나타나고 있는 PC에서 신고하는 경우" 를 통해 자세한 증상과 함께 문의를 접수시, 자동으로 시스템 정보파일(AhnReport)의 수집 및 문의가 접수됩니다.

만일, 증상 발생 시스템에서 안철수연구소 홈페이지 접속이 불가능 하거나, 의심파일만 접수하시는 등의 이유로 직접적인 접수가 불가한 경우에는 "현재 증상이 나타나고 있는 PC에서 신고할 수 없는 경우" 로 접수하시면 됩니다.

그럼 저희 ASEC대응팀에서 수집된 리포트 및 문의내용을 바탕으로 문제를 파악하고 분석하여 문제를 해결하여 답변을 드리게 되는 것입니다.

어때요? 안철수연구소에 문의 및 신고하기 참 쉽죠?



신고
Creative Commons License
Creative Commons License
Posted by 비회원