안철수연구소 ASEC에서 2011년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.24을 발간하였다. 

그리고 이번 호에서는 2011년 주요 보안 위협 이슈와 함게 2012년에 예상되는 보안 위협도 같이 포함되어 있다.


이 번에 발간된 ASEC 리포트는 2011년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

김정일 위원장 사망을 이용한 애드웨어 유포

김정일 위원장 사망을 악용한 악성 전자 문서 파일 유포
국내 연예인 사생활 동영상으로 위장한 악성코드 유포
2012년 버전으로 위장한 허위 클라우드 백신
악성코드를 위한 안티바이러스 체크 웹 사이트
아크로뱃 제로데이 취약점을 악용한 타깃 공격
여러 가지 취약점을 이용한 제우스봇 전파 메일 발견
구글 안드로이드 마켓에 업로드된 악성 애플리케이션


안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다 

ASEC 보안 위협 동향 리포트 2011 Vol.24 발간 
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
한 해를 마무리하는 2011년 12월에는 연말 연시에는 사회적인 분위기를 악용하는 사회 공학 기법들이 적용된 악성코드나 다른 보안 위협들이 발견될 가능성이 높다.

이러한 사례로 이미 "크리스마스 카드로 위장한 악성코드" 발견 사례도 있으며 다양한 "신년 축하 카드로 위장한 악성코드" 발견사례도 있으니 각별한 주의가 필요하다.

이러한 2011년 연말 연시 분위기에 금전적인 목적으로 지속적으로 유포되었던 허위 백신들에서 2012년도 최신 버전인 것으로 위장한 사례가 2011년 11월 30일 발견되었다.

해당 허위 백신은 2012년도 최신 버전임을 표기한 것 외에도 최근 다양한 보안 위협들에 대응하기 위해 개발 및 사용되는 클라우드 안티 바이러스(Cloud Anti-Virus) 인 것으로도 위장하고 있다.


이 번에 발견된 허위 클라우드 안티 바이러스 2012는 과거에 발견되었던 허위 클라우드 백신과는 외형적인 인터페이스 부분만 변경되었지, 기능이나 동작면에서 동일한 형태를 가지고 있다. 

업데이트 기능동 아래 이미지와 같이 실제 최신 엔진을 다운로드 받는 것처럼 사용자에게 보여지지만 실제로는 다운로드되는 파일이 존재하지 않는다.


그리고 다른 허위 백신들 모두가 금전적인 결제를 유도하는 것과 동일하게 한화 약 57,000원만 신용카드로 결제를 하면 허위로 표기된 악성코드들 모두를 치료가 가능 한것으로 보여주고 있다.


이러한 금전 결제를 유도하는 허위 백신들 모두가 실제 악성코드 감염 사실이 없는데 있는 것으로 위장하고 있음으로, 알려져 있는 신뢰할 수 있는 보안 제품을 사용하는 것이 중요하다.

이 번에 발견된 허위 백신인 클라우드 안티 바이러스 2012는 V3 제품 군에서 다음과 같이 진단하고 있다.

Trojan/Win32.Jorik
Win-Trojan/Fakescanti.1976320

악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
1. 서론
금일 Digital Protection / Data Protection 이라는 프로그램명의 허위백신이 많이 발견되어 증상 및 조치가이드를 안내해 드립니다.


2. 감염 시 증상
해당 허위백신이 실행이 되면 아래와 같은 트레이 아이콘이 나타납니다.


[그림1. 감염 시 나타나는 트레이 아이콘]



이때 트레이 아이콘이나 메세지를 클릭하게 되면 아래와 같은 창이 나타납니다. 아래창은 프로그램을 설치하는 과정으로 속이기 위한 창으로 실제로는 허위백신과 관련된 파일을 특정 주소에서 다운로드 하는 과정입니다.


[그림2. 허위백신에 사용되는 파일을 다운로드 하는 화면]


시간이 지나면 아래와 같이 윈도우 보안 센터와 비슷하게 꾸민 창이 나타나며 바탕화면에 성인사이트로 연결하는 아이콘이 생성되기도 합니다.

[그림3. 윈도우 보안센터와 비슷하게 만든 거짓 알림 창]


그리고 아래와 같은 허위 안티바이러스(백신) 프로그램이 실행 됩니다.

[그림4. 허위 안티바이러스(백신) 실행 화면]



3. 조치 방법
현재 V3 제품에서 해당 허위백신을 진단하고 있습니다. 따라서 V3 제품에서 스마트업데이트를 통해 엔진을 최신엔진으로 업데이트 하신 후 검사 및 치료를 진행해 보시기 바랍니다.

만약 수동으로 조치를 하고자 하신다면 아래와 같이 진행하시기 바랍니다.

1. Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 : http://asec001.v3webhard.com/IceSword.zip


2. Ice Sword 에서 [File] 메뉴를 선택을 합니다. 선택 후 아래의 경로로의 파일 및 폴더를 찾아 마우스 오른클릭 후 [Force Delete]를 눌러 파일 및 폴더를 삭제 합니다.
참고 : http://core.ahnlab.com/18

(Windows XP 시스템일 경우)
C:\Documents and Settings\사용자 계정\Local Settings\Temp\asrkn_pfu.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\bootvrfy.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\mscdexnt.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\dmadmin.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\kernel64xp.dll

(Windows Vista 혹은 Windows 7 시스템일 경우)
C:\Users\사용자 계정\Appdata\Local\Temp\asrkn_pfu.exe
C:\Users\사용자 계정\Appdata\Local\Temp\bootvrfy.exe
C:\Users\사용자 계정\Appdata\Local\Temp\mscdexnt.exe
C:\Users\사용자 계정\Appdata\Local\Temp\dmadmin.exe

C:\Users\사용자 계정\Appdata\Local\Temp\kernel64xp.dll

(이하 내용은 모든 Windows가 동일하며 해당 폴더가 없으면 무시하셔도 됩니다.)
C:\Program Files\Digital protection
(폴더 전체를 삭제)
C:\Program Files\Data protection (폴더 전체를 삭제)
C:\Windows\pragmavmkoismonw (폴더 전체를 삭제)


3. 시스템을 재부팅을 합니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원
Myspace 비밀번호 관련 메일로 위장하여 악성코드를 유포하는 스팸메일이 확인되어 안내 드립니다.

제목 : Myspace Password Reset Confirmation! Your Support
Hey ,
,
,
,
,
,
,
,
Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.
Thanks,
The Myspace Team.

첨부파일의 이름은 password.zip 파일이며 해당 파일은 악성코드 입니다. 현재 해당 파일은 V3 제품군에서 Win-Trojan/Fakeav.183296.I 진단명으로 진단이 가능합니다.

만약 해당 파일을 실행하게 되면 아래와 같은 증상이 나타나게 됩니다. 우선 허위 안티바이러스(백신) 프로그램이 나타납니다. 현재 아래 스크린샷에서의 이름은 XP AntiMalware 2010 이지만 이 이름은 마이크로소프트 윈도우즈 버전 별로 다르게 나타날 수 있습니다. 자세한 내용은 아래 포스팅을 참고하시기 바랍니다.

허위백신으로 인한 증상 및 조치 방법 :
http://core.ahnlab.com/135



그리고 인터넷 익스플로러 실행 시 아래와 같이 키로거가 설치되어 있다는 경고 메세지와 함께 익스플로러에서 사이트로 접속 시 원하는 페이지가 나타나지 않는것을 확인할 수 있습니다.




그리고 주기적으로 아래와 같은 경고 메시지와 우측 하단의 트레이 아이콘이 표시되는 부분에 아래와 같은 경고 메세지 및 트레이 아이콘이 생성되게 됩니다.




이러한 허위 안티바이러스(백신)은 현재 대부분 이렇게 스팸메일 혹은 구글 검색 시 나타나는 SEO Attack 형태로 감염되니 항상 아래와 같은 사항을 준수하여 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원
1. 서론
  최근 허위백신으로 인하여 피해가 다수 발생하고 있어 증상 및 임시 조치 방법을 소개하고자 해당 내용을 작성 합니다.


2. 증상
 해당 악성코드에 감염이 되면 아래와 같은 허위 백신이 실행되며 허위로 악성코드를 진단하여 결제를 유도하게 됩니다.

[그림1. 허위백신이 실행된 화면]


위 이미지에서는 AntiVirus XP 2010 이지만 아래와 같이 다수의 이름이 존재합니다.

 Windows 7 WIndows Vista  Windows XP
Win 7 Internet Security 2010
 Win 7 Internet Security
 Win 7 Antivirus Pro 2010
 Win 7 Antivirus Pro
 Win 7 Antivirus 2010
 Win 7 Antivirus
 Win 7 Defender 2010
 Win 7 Guardian
 Win 7 Guardian 2010
 Antivirus Win 7 2010
 Win 7 Antispyware 2010
 Vista Internet Security 2010
 Vista Internet Security
 Vista Antivirus Pro 2010
 Vista Antivirus Pro
 Vista Antivirus 2010
 Vista Antivirus
 Vista Defender 2010
 Vista Guardian
 Vista Guardian 2010
 Antivirus Vista 2010
 Vista Antispyware 2010
 XP Internet Security 2010 
 XP Internet Security 
 XP Antivirus Pro 2010
 XP Antivirus Pro 
 XP Antivirus 2010
 XP Antivirus 
 XP Defender 2010 
 XP Guardian
 XP Guardian 2010 
 Antivirus XP 2010
 XP Antispyware 2010
[표1. 운영체제 별로 나타나는 허위 백신 이름 목록]


[그림2. 허위백신이 실행된 화면]


감염 시 인터넷 익스플로러를 실행하여 특정 사이트를 접속할 경우 아래와 같은 화면이 나타나며 역시 허위로 악성코드를 진단하는 화면을 확인하실 수 있습니다.
혹은 원하는 페이지가 열리지 않으며 악성코드 진단 관련 화면이 나타나 웹서핑을 방해하는 경우도 발생합니다.


[그림3. 웹사이트 접속 시 허위백신이 실행된 화면]



3. 조치 방법
현재 해당 허위 백신이 실행이 되면 확인된 바로는 아래와 같은 파일을 생성 하게 됩니다.

[파일 생성]
C:\Documents and Settings\ByJJoon\Local Settings\Application Data\av.exe
C:\Documents and Settings\ByJJoon\Local Settings\Application Data\ave.exe

[레지스트리 변경]
HKEY_CLASSES_ROOT\.exe (변경)
기본값 : exefile, 변경값 : ***file

HKEY_CLASSES_ROOT\SECFILE (생성)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe (변경)
기본값 : exefile, 변경값 : ***file

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SECFILE (생성)

따라서 위에 안내해 드리는 파일을 삭제를 우선 합니다. 삭제 방법은 위 경로를 찾아가 삭제를 하시기 바랍니다. 만약 삭제가 안된다면 현재 실행중인 경우 삭제가 안될수도 있으니 [Ctrl + Alt + Del] 키를 눌러 [작업 관리자]를 실행시킨 후 av.exe 혹은 ave.exe를 찾아 선택 후 아래에 있는 [프로세스 끝내기] 버튼을 눌러 끝낸 후 삭제를 하시기 바랍니다.

[그림4. 삭제가 안될 경우 프로세스를 종료 하는 방법]



삭제를 한 후 레지스트리 값을 수정하지 않은채로 프로그램을 실행할 경우 아래와 같이 연결프로그램 창이 나타나게 됩니다.
따라서 아래 안내해 드리는 레지스트리 치료 전용백신을 이용하여 수정되는 레지스트리를 모두 조치하시기 바랍니다.


레지스트리 치료 전용백신 다운로드 (아래 클릭)



[그림5. 파일 삭제 후 레지스트리 값 수정을 하지 않을 경우 나타나는 화면]



4. 예방 방법
1. 스팸 메일을 통한 전파
- 메일 열람 시 확인되지 않은 발신자에게서 온 메일에 포함된 첨부파일은 실행하지 않도록 합니다. 그리고 최근 PDF 취약점을 이용한 악성코드가 유행하고 있어 첨부파일의 확장자가 EXE가 아니더라도 열람을 하지 않는 것을 권장 드립니다.

2. Adobe 관련 프로그램 보안 업데이트
- PDF 파일 및 Flash 취약점을 이용하여 해당 악성코드가 전파되기도 합니다. PDF 파일 관련 취약점은 아래 주소를 참고하시어 업데이트 하시기 바랍니다.
http://core.ahnlab.com/104

3. Microsoft Windows 보안 취약점을 통한 감염
- 윈도우 보안 취약점을 이용하여 악성코드에 감염이 되는 경우도 많습니다. 따라서 윈도우 보안 업데이트를 꼭! 하여 미연에 예방하도록 합니다. 업데이트 방법은 인터넷 익스플로러 실행 후 메뉴에서 [도구] - [Windows Update] 를 선택하여 업데이트를 하도록 합니다.



5. 기타
 위 안내해 드리는 내용은 완벽한 조치 방법은 아니며 연결 프로그램 창이나 기타 불편을 겪는 사용자를 위한 내용입니다. 완벽한 치료를 위해서는 V3 제품을 이용하여 검사 및 치료를 권장해 드립니다.


OS 별 허위 백신 목록 출처 : http://blogs.technet.com/mmpc/archive/2010/03/09/win32-fakerean-is-33-rogues-in-1.aspx
신고
Creative Commons License
Creative Commons License
Posted by 비회원
1. 서론
 최근 허위 안티바이러스 프로그램인 Antivirus Live 가 유포되고 있습니다. 해당 악성코드에 감염시 대부분의 프로세스가 실행되지 않는 어려움이 있어, 감염 증상 및 조치 방법의 안내를 위해 조치 가이드를 작성합니다.


2. 감염 증상
2.1 허위 악성코드 감염 경고
 해당 악성코드에 감염되면 아래 그림들과 같이 허위 안티바이러스 프로그램의 실행 창 및 허위 진단 내용이 출력됩니다.

 [그림 1] 허위 안티바이러스 프로그램 실행 화면

 
[그림 2] 허위 경고창
 
[그림 3] 허위 Tray 경고창


2.2 광고 페이지 연결
 특정 사이트를 사용자의 동의 없이 지속적으로 띄웁니다.


2.3 대부분의 프로그램 실행 불가
 해당 프로그램이 실행중인 경우, 허용된 프로세스 외에 프로세스의 실행이 불가하여 다른 프로그램을 사용하는데 어려움이 발생합니다.


3. 조치 방법
3.1 감염시 조치사항
 해당 악성코드에 감염된 정상 모드에서는 허용된 프로세스 외에 대부분의 프로그램이 실행되지 않으므로, 안전모드에서의 조치가 필요합니다.

1) 안전모드(네트워킹 사용)로 부팅 후  V3 스마트 업데이트를 실행하여 최신엔진으로 업데이트한 다음, 수동 검사(정밀 검사)를 통한 시스템 전체 검사를 수행합니다.

자세한 내용 : http://core.ahnlab.com/53

2) 만일, V3에서 진단되지 않는 경우라면 아래의 경로에서 문제가 되는 파일을 찾아 임의의 폴더에 복사한 후 삭제합니다. 임의의 폴더에 복사한 파일은 압축하여 안철수연구소 홈페이지의 ‘바이러스 신고센터’로 접수합니다.

C:\Documents and Settings\[사용자계정]\Local Settings\Application Data\[영문 6자리]\[영문 4자리]+sysguard.exe

3) 문제가 되는 파일을 삭제한 후, 재부팅하여 증상을 확인합니다.


3.2 웹 페이지 접속 불가시 조치사항
 해당 악성파일의 실행으로 인해 인터넷 속성이 변경(프록시 서버 설정값)되어 웹 페이지의 접속이 불가할 경우, 아래 안내 드리는 방법으로의 수행을 요청 드립니다.

1) 인터넷 창을 실행합니다.
2) 상단 메뉴의 [도구] > [인터넷 옵션]을 선택합니다.
3) [연결]탭의 'LAN설정'항목 내의 [LAN설정]을 선택합니다.
4) '프록시 서버' 항목의 [사용자 LAN에 프록시 설정 사용...]에 체크를 해제한 후, 확인합니다.


4. 예방 방법
1) 주기적인 업데이트로 V3 제품을 항상 최신엔진으로 유지하며, 실시간 감시 기능을 활성화합니다.
2) 웹 페이지를 통해 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어를 설치합니다.
3) 윈도우 취약점을 이용한 악성코드 감염을 예방하기 위해 Windows Update 를 통해 윈도우 보안 패치를 확인하고 설치합니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원
1. 개 요
 최근 새롭게 변형되어 등장한 허위 안티 바이러스(AV) 프로그램인 Total Security에 대한 피해사례가 다수 보고되어 조치가이드를 작성하게 되었습니다.

2. 주요 증상
1) 바탕화면이 아래와 같이 바뀝니다.


2) 아래의 그림과 같은 “Total Security” 라는 허위 안티바이러스(AV) 프로그램이 실행 됩니다.

3)  증상 발생 시 조치방법
 먼저 Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 : http://asec001.v3webhard.com/IceSword.zip

 

Ice Sword 프로그램을 실행 후 [Process] 메뉴로 가서 [숫자8자리.exe] 프로세스를 찾은 후 아래 그림처럼 마우스 오른 클릭 후 [Terminate Process]를 선택합니다.
 


이제 Ice Sword 에서 [File] 메뉴를 선택을 합니다. 선택 후 아래의 경로로 이동합니다.
C:\Documents and Settings\All Users\Application Data

해당 경로로 이동을 하면 [숫자8자리] 이름으로 된 폴더가 있습니다. 해당 폴더를 역시 마우스 오른클릭 후 [Force Delete]를 누릅니다. (만약 다수 존재한다면 모두 삭제 하시기 바랍니다.)
 

그리고 시스템을 재부팅을 합니다.



* 내용 추가
만약 Ice Sword가 실행이 되지 않는다면 아래 다른 프로그램으로 실행 후 조치를 해보시기 바랍니다.

1) gmer.zip을 다운로드 하여 압축을 해제합니다.
[gmer툴 다운로드(클릭)]

2) gmer.exe를 실행합니다.
3) '>>>>' 탭을 클릭하면 추가 메뉴가 나타나며 여기서 'Files' 탭을 클릭하여 아래 경로의 폴더로 이동하여 파일을 찾습니다.

[의심 파일 경로]
C:\Documents and Settings\All Users\Application Data\숫자8자리\숫자8자리.exe

4) 그리고 해당 파일을 선택하여 'Delete' 클릭하여 파일을 삭제 합니다.

5) 시스템을 재부팅 한 후 증상을 확인 합니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원