1. 파일 공유사이트, utorrent, P2P 프로그램에서 다운로드 받은 파일 주의 !


- 파일 공유사이트에서 받은 파일, 믿을 수 있을까 ?

- 많은 사람들이 파일 공유사이트를 이용하는 가장 큰 이유중에 하나는 접근하기 쉽고, 원하는것을 쉽게 얻을 수 있어서 일것 이다. 하지만, 파일 공유사이트 및 특정사이트의 접속만(취약점)으로 악성코드에 감염되는 사례를 다수 보여왔고, 현재에도 여전히 유효하다.


- 악성코드 유형 및 배포 URL 자료 


[그림] 악성코드 유형 분포도 / 악성코드 배포 URL




2. 내 PC의 보안패치, 응용프로그램 패치로 취약점을 조치한다면, 안전할까?


- 악성코드가 이용하는 취약점을 패치하였다면, 사이트 접속만으로 감염되지는 않는다.
하지만, 공유되는 파일에 대한 안전성까지 보장하는 것은 아니다.

- 파일 공유사이트가 악성코드 경유지 뿐만 아니라, 악성코드 제작자의 유포지로 악용되는 점을 안내하고자 한다.





3. 파일 공유사이트, utorrent, P2P 프로그램에서 받은 동영상(AV) 을 살펴 보자.


[그림] 동영상으로 추정되는, exe 로 압축된 형태의 파일




- 동영상 이름으로 보이지만, exe 형태로 압축되어 있다. 이 중에 하나를 확인해 보자.

- exe 형태로 압축된 파일을 실행하면, 동영상 파일이 생성되어 사용자는 정상적인 동영상 파일이 압축된 것으로 믿게 된다.

- 추가 생성되는 악성코드는 사용자가 알 수 없도록 백그라운드로 생성/실행 된다.

- C:\WINDOWS 폴더에 setup.exe / DTLitte.exe / _info.inf 파일을 생성한다.

 [그림] 다운로드 받은 파일 / 생성된 악성코드



- 감염시 증상

방화벽을 우회하여 백도어로 사용될 수 있다.
 

[그림] 악성코드에 의해 변경된 방화벽 예외 설정





4. V3 진단명



Dropper/Agent.1995028
Win-Trojan/Agent.1724928





5. 악성코드의 감염을 예방하고, 피해를 최소화 시키는 방법 !



 1) 윈도우 보안패치를 항상 최신으로 유지한다.
  - Microsoft : http://update.microsoft.com (Windows 정품인증 필요)

 2) 응용 프로그램 패치를 항상 최신으로 유지한다.
  - Adobe Flash Player 업데이트 : http://www.adobe.com/go/getflash/
  - Adobe Reader : http://www.adobe.com/go/getreader/

 3) 신뢰할 수 없는 사이트 및 파일은 접근하지 않는다.

 4) V3 제품을 설치하고, [환경설정] ASD 기능을 활성화 한다.
  - ASD 기능 이란? (바로가기)

 5) AhnLab SiteGuard 설치하여, 위험 사이트는 접근하지 않는다.
  - AhnLab SiteGuard 설치하기 (바로가기)

- Anti-Virus V3

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@
1. 서론
 최근 허위 안티바이러스 프로그램인 Antivirus Live 가 유포되고 있습니다. 해당 악성코드에 감염시 대부분의 프로세스가 실행되지 않는 어려움이 있어, 감염 증상 및 조치 방법의 안내를 위해 조치 가이드를 작성합니다.


2. 감염 증상
2.1 허위 악성코드 감염 경고
 해당 악성코드에 감염되면 아래 그림들과 같이 허위 안티바이러스 프로그램의 실행 창 및 허위 진단 내용이 출력됩니다.

 [그림 1] 허위 안티바이러스 프로그램 실행 화면

 
[그림 2] 허위 경고창
 
[그림 3] 허위 Tray 경고창


2.2 광고 페이지 연결
 특정 사이트를 사용자의 동의 없이 지속적으로 띄웁니다.


2.3 대부분의 프로그램 실행 불가
 해당 프로그램이 실행중인 경우, 허용된 프로세스 외에 프로세스의 실행이 불가하여 다른 프로그램을 사용하는데 어려움이 발생합니다.


3. 조치 방법
3.1 감염시 조치사항
 해당 악성코드에 감염된 정상 모드에서는 허용된 프로세스 외에 대부분의 프로그램이 실행되지 않으므로, 안전모드에서의 조치가 필요합니다.

1) 안전모드(네트워킹 사용)로 부팅 후  V3 스마트 업데이트를 실행하여 최신엔진으로 업데이트한 다음, 수동 검사(정밀 검사)를 통한 시스템 전체 검사를 수행합니다.

자세한 내용 : http://core.ahnlab.com/53

2) 만일, V3에서 진단되지 않는 경우라면 아래의 경로에서 문제가 되는 파일을 찾아 임의의 폴더에 복사한 후 삭제합니다. 임의의 폴더에 복사한 파일은 압축하여 안철수연구소 홈페이지의 ‘바이러스 신고센터’로 접수합니다.

C:\Documents and Settings\[사용자계정]\Local Settings\Application Data\[영문 6자리]\[영문 4자리]+sysguard.exe

3) 문제가 되는 파일을 삭제한 후, 재부팅하여 증상을 확인합니다.


3.2 웹 페이지 접속 불가시 조치사항
 해당 악성파일의 실행으로 인해 인터넷 속성이 변경(프록시 서버 설정값)되어 웹 페이지의 접속이 불가할 경우, 아래 안내 드리는 방법으로의 수행을 요청 드립니다.

1) 인터넷 창을 실행합니다.
2) 상단 메뉴의 [도구] > [인터넷 옵션]을 선택합니다.
3) [연결]탭의 'LAN설정'항목 내의 [LAN설정]을 선택합니다.
4) '프록시 서버' 항목의 [사용자 LAN에 프록시 설정 사용...]에 체크를 해제한 후, 확인합니다.


4. 예방 방법
1) 주기적인 업데이트로 V3 제품을 항상 최신엔진으로 유지하며, 실시간 감시 기능을 활성화합니다.
2) 웹 페이지를 통해 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어를 설치합니다.
3) 윈도우 취약점을 이용한 악성코드 감염을 예방하기 위해 Windows Update 를 통해 윈도우 보안 패치를 확인하고 설치합니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원
1. 개 요
 최근 새롭게 변형되어 등장한 허위 안티 바이러스(AV) 프로그램인 Total Security에 대한 피해사례가 다수 보고되어 조치가이드를 작성하게 되었습니다.

2. 주요 증상
1) 바탕화면이 아래와 같이 바뀝니다.


2) 아래의 그림과 같은 “Total Security” 라는 허위 안티바이러스(AV) 프로그램이 실행 됩니다.

3)  증상 발생 시 조치방법
 먼저 Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 : http://asec001.v3webhard.com/IceSword.zip

 

Ice Sword 프로그램을 실행 후 [Process] 메뉴로 가서 [숫자8자리.exe] 프로세스를 찾은 후 아래 그림처럼 마우스 오른 클릭 후 [Terminate Process]를 선택합니다.
 


이제 Ice Sword 에서 [File] 메뉴를 선택을 합니다. 선택 후 아래의 경로로 이동합니다.
C:\Documents and Settings\All Users\Application Data

해당 경로로 이동을 하면 [숫자8자리] 이름으로 된 폴더가 있습니다. 해당 폴더를 역시 마우스 오른클릭 후 [Force Delete]를 누릅니다. (만약 다수 존재한다면 모두 삭제 하시기 바랍니다.)
 

그리고 시스템을 재부팅을 합니다.



* 내용 추가
만약 Ice Sword가 실행이 되지 않는다면 아래 다른 프로그램으로 실행 후 조치를 해보시기 바랍니다.

1) gmer.zip을 다운로드 하여 압축을 해제합니다.
[gmer툴 다운로드(클릭)]

2) gmer.exe를 실행합니다.
3) '>>>>' 탭을 클릭하면 추가 메뉴가 나타나며 여기서 'Files' 탭을 클릭하여 아래 경로의 폴더로 이동하여 파일을 찾습니다.

[의심 파일 경로]
C:\Documents and Settings\All Users\Application Data\숫자8자리\숫자8자리.exe

4) 그리고 해당 파일을 선택하여 'Delete' 클릭하여 파일을 삭제 합니다.

5) 시스템을 재부팅 한 후 증상을 확인 합니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원