이번 악성코드의 유포방식은 10월에 알려진 변형들은 IE 제로데이 취약점을 사용하였다. 


2013년 10월9일 보안패치가 나온 것을 감안 하면 그 이전부터 유포가 진행되었을 가능성이 높으며, 취약점 패치를 하지 않은 PC에는 여전히 유포 가능성이 존재한다. 아울러, CDN 서비스 업체인 G사를 통해 서비스 운영 중인 웹 사이트가 악성코드 배포지 중 일부로 악용된 것으로 추정된다. 


Microsoft Security Bulletin MS13-080 - 긴급

Internet Explorer 누적 보안 업데이트 (2879017)


아래 그림은 IE 제로데이 취약점을 통해 감염이 이루어지는 과정을 나타낸다. 붉은색 블록으로 표시한 파일이 실제 핵심적인 기능을 수행하며, "악성코드 다운로드" 및 "관리자 페이지 계정정보 유출" 기능을 갖고 있다. 



위 그림에 존재하는 swf.jsguy2.html 파일을 iframe 태그로 로딩하는 기능을 가지고 있으며, guy2.html 은 다음의 2가지 기능을 가지고 있다. 


특정 국산 백신들에 대한 무력화 시도 

특정 사이트로부터 파일을 다운로드하고 실행


swf.js는 난독화가 되어 있으며, 이를 해제한 내용은 다음과 같다. 



guy2.html 에 존재하는 쉘코드는 Explorer.exe 프로세스에 코드를 인젝션 한 후 백신들을 무력화(삭제) 하기 위하여 레지스트리를 확인한다. 


백신 무력화에 성공한 이후,  아래 URL에서 파일을 다운받아 저장하고, 저장된 main001.gif 파일을 읽어서 첫 2바이트를 MZ 로 패치한 후 실행한다.  


http://***.***.***.***/mii/fird.gif

C:\DOCUME~1\(사용자계정명)\LOCALS~1\Temp\main001.gif


 * 쉘코드에 의한 백신 무력화 기능으로 인해, 기진단 샘플임에도 불구하고 백신이 무력화 된 상태에서 악성코드가 다운될 것으로 추정됨 

 * 단, V3Lite 3.0은 IP/URL 차단기능으로 인해 사전 차단이 가능함

Fird.gif 는 드롭퍼와 다운로더 기능을 가지고 있다. 생성되는 파일의 경로는 다음과 같다.

- c:\windows\system32\drivers\fironancosftccorpds.sys ( 또는 firanhncorpds.sys ) 

생성되는 드라이버 파일 fironancosftccorpds.sys 은 다음 백신들의 무력화를 시도 한다.

MpfSrv.exe

mcsysmon.exe

McNASvc.exe

Mcshield.exe

McProxy.exe

mcagent.exe

MsMpEng.exe

MpCmdRun.exe

msseces.exe

vmacthlp.exe

VMUpgradeHelper.exe

RSUpdSrv.rse

RSAgent.rse

RSRTSrv.rse

vcrmon.exe

SpiderNT.exe

vrmonnt.exe

vrmonsvc.exe

HFACSvc.exe

vrptsvc.exe

vrscan.exe

hpcsvc.exe

vrfwsvc.exe

hUpSvc.exe

hVrCommandSvc.exe

hVrMalSvc.exe

hVrTray.exe

AYRTSrv.exe

AYUpdSrv.exe

AYAgent.exe

AYRTSrv.aye

AYServiceNT.aye

AYUpdSrv.aye

ALYac.aye

AYUpdate.aye

AYAgent.aye

sgsvc.exe

Nsavsvc.npc

Nsvmon.npc

NVCAgent.npc

Nsavsvc.exe

Nsvmon.exe

NVCAgent.exe

NVCUpgrader.exe

NaverAgent.exe

NVCUpgrader.npc

avp.exe

AvastSvc.exe

avsx.exe

AvastUI.exe

ashUpd.exe

V3IMPro.exe

V3P3AT.exe

MonSysNT.exe

MonSvcNT.exe

v3impro.exe

v3p3at.exe

monsysnt.exe

monsvcnt.exe

AhnSD.exe

AhnSDsv.exe

ASDCr.exe

ASDCli.exe

ASDUp.exe

V3LNetdn.exe

V3LiteExp.exe

ASDSvc.exe

V3Lite.exe

V3LSvc.exe

V3LTray.exe

V3Light.exe

V3Medic.exe

V3LRun.exe

MUpdate2.exe

 

 


그리고 다음 경로에서 파일을 다운로드 및 실행한다.

- hxxp://***.***.***.***/mii/firw.gif

Firw.gif 는 드롭퍼 기능을 갖는다. 백신들을 무력화 하고 특정 사이트들의 관리자 계정과 온라인 게임들의 사용자 계정을 훔쳐낸다. 

그리고 특정 사이트들로부터 랜덤.jpg 파일을 무한히 요청하는 시도를 한다. 해당 악성코드에 의해 드롭되는 파일은 다음 경로에 생성된다.

- c:\windows\olesau32.dll
c:\windows\svchost.exe
c:\windows\system32\drivers\ahnurla.sys

olesau32.dll은 크게 다음의 3가지 주요 기능을 가지고 있다. 

랜덤명.jpg" 파일을 특정 사이트들에게 무한 요청 시도를 함으로써 DDoS를 유발 (도메인 리스트 A 참고)

관리자 계정 유출 (도메인 리스트 B참고, 최근에 발견된 변형에서 이 기능은 제외됨)

온라인 게임 사용자 계정 유출

현재 국내 무료 백신들을 테스트한 결과 olesau32.dll을 진단하지 못하고 있음

Svchost.exe 는 랜덤명.jpg 파일을 특정 사이트들에게 무한 요청 시도를 함으로써 DDoS를 유발하는 기능만을 (도메인 리스트 A 참고) 가지고 있다.  



상기 도메인 리스트(A)은 실제 파일이 존재하지 않을 경우에 웹 서버에 부하를 발생시키는 DDoS를 유발하며, 변종 마다 전체 도메인에 대한 요청 주기가 차이가 날 것으로 추정된다. 


그러나, 해당 파일이 존재할 경우 추가 악성코드 유포로 악용될 수 있으며, 실제 아래 URL의 경우, 지난 7월에 악성코드 배포 이력을 가지고 있는 것을 확인하였다. 



루트킷 기능을 가지고 있으며, ahnurla.sysolesau32.dll을 은폐한다. 또한, 다음 백신 관련 프로세스들에 대해 무력화를 시도한다. 

RSUpdSrv.rse

RSAgent.rse

RSRTSrv.rse

vcrmon.exe

SpiderNT.exe

vrmonnt.exe

vrmonsvc.exe

HFACSvc.exe

vrptsvc.exe

vrscan.exe

hpcsvc.exe

vrfwsvc.exe

hUpSvc.exe

hVrCommandSvc.exe

hVrMalSvc.exe

hVrTray.exe

AvastSvc.exe

avsx.exe

AvastUI.exe

ashUpd.exe

avp.exe

V3IMPro.exe

V3P3AT.exe

MonSysNT.exe

MonSvcNT.exe

v3impro.exe

v3p3at.exe

monsysnt.exe

monsvcnt.exe

AhnSD.exe

AhnSDsv.exe

ASDCr.exe

ASDCli.exe

ASDUp.exe

V3LNetdn.exe

V3LiteExp.exe

ASDSvc.exe

V3LSvc.exe

V3LTray.exe

V3Light.exe

V3Medic.exe

V3LRun.exe

MUpdate2.exe

AYRTSrv.exe

AYUpdSrv.exe

AYAgent.exe

AYRTSrv.aye

AYServiceNT.aye

AYAgent.aye

AYUpdSrv.aye

ALYac.aye

AYUpdate.aye

Nsavsvc.npc

Nsvmon.npc

NVCAgent.npc

Nsavsvc.exe

Nsvmon.exe

NVCAgent.exe

NVCUpgrader.exe

NaverAgent.exe

NVCUpgrader.npc

 

 

 


"관리자 계정 정보 노린 악성코드 출현!" 이라는 기사에서 다뤄진 다수의 악성코드 분석 결과로 미루어 볼때 국내 온라인 게임 사용자 계정정보 수집 기능과 변형에 따라서 특정 URL 접근시, 계정 ID, PW 를 유출한다. 

도메인 리스트 (A) 에 있는 자사의 웹 페이지들(www.ahnlab.com, m.ahnlab.com, www.v3lite.com)에 대해 10월 28일부터 10월 31일까지 4일 동안 공격을 시도한 IP를 조사한 결과, 중복되지 않는 IP 47만대로부터 공격 시도가 확인 되었다. 

또한,  일자별 공격 IP를 보면 10월 29일 30만대로 급증한 후에 계속 그 수준을 유지하고 있다. 따라서, 해당 악성코드가 감염된 PC들이 상당히 많이 존재하고 있음을 알 수 있다. 


다음은 안랩 대상 공격 IP들에 대한 국가별 분포도이며, 대부분이 국내에 존재하고 있음을 확인할 수 있다. 





IE 취약점을 이용해 배포되고 있는 악성코드는 백신 무력화와 은폐 기능을 가지고 있으며 일부 파일에 대해서는 미진단 상태로 확인되었다. ( 단, V3Lite 3.0은 사전 차단 가능 확인 )


따라서, 안랩 웹 사이트를 대상으로 공격을 시도하고 있는 IP들은 대부분 백신이 무력화 되어 있거나, 미진단 상태의 악성코드에 감염된 것으로 추정된다. ( 구 버전 V3Lite 2.0 사용자, 타사 백신 사용자, 백신 미사용자 )


해당 악성코드는 존재하지 않는 파일에 대한 무한 요청으로 인해 DDoS를 유발하며, 국내 온라인 게임 사용자 계정 정보 수집과 특정 URL 접근 시 계정 정보를 유출하는 기능도 가지고 있다. 특히, 특정 URL의 경우 기업 내 관리자들이 접근하는 주소로 판단된다. 


현재 악성코드의 기능과 확산 상태로 볼 때, 계정 정보 유출, 기업 내부 장악, DDoS 등 다양한 목적으로 악용이 가능하며, 추가 피해를 차단하기 위해서는 대응책 마련이 매우 시급한 상태이다. 


악성코드의 기능과 확산 정보로 볼 때, 단순한 엔진 업데이트를 통한 치료로는 한계가 존재하기 때문에 전용백신을 통한 치료가 필요한 상황이다. 


IE 취약점을 이용해 배포되고 있는 만큼, IE 취약점 패치에 대한 적극적인 권고가 필요하다.


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

- 어제(10월 24일) 오후부터 발생, 악성코드 확산 범위 큰 것으로 예상

- 포털, 언론사, 게임사를 포함한 13개 기업 16개 웹사이트  대상

- 안랩 V3 엔진 긴급 업데이트 조치, 사용자는 V3 업데이트 후 검사 필수

 

안랩(대표 김홍선, www.ahnlab.com)은 24일 오후 16시 경부터 국내 16개 웹사이트를 대상으로 디도스(DDoS; Distributed Denial of Service, 분산 서비스 거부) 공격이 발생하고 있다고 발표했다.

 

안랩은 이번에 발생한 디도스 공격이 지난 7월 발견된 악성코드와 최근 발견된 변종 악성코드에 의해 발생한 것으로 보고 있다.

 

안랩 확인결과 25일 현재 디도스 유발 악성코드에 감염이 확인된 PC 대수만 1만대를 넘어 해당 악성코드가 많이 확산 된 것으로 판단(진단된 좀비PC 대수로 볼 때)하고 있다.

 

오늘(10월 25일 오전 09시 현재) 공격 대상은 다음(www.daum.net), 네이트(www.nate.com), MSN(www.msn.com), 티스토리(www.tistory.com), 넥슨(www.nexon.com, user.nexon.com), 한게임(www.hangame.com), 넷마블(www.netmarble.net), CBS(www.cbs.co.kr) 중앙일보(www.joinsmsn.com, www.joins.com),  안랩(www.v3lite.com, m.ahnlab.com) 등 13개 기업 16개 웹사이트이다.

 

안랩 V3는 지난 7월부터 해당 악성코드를 기 진단하고 있었다. 안랩은 당시 PC 사용자가 백신을 설치 하지 않았거나, 업데이트 하지 않는 등 적절한 조치를 취하지 않았을 경우 해당 PC가 감염되어 이번 공격에 이용된 것으로 보고 있다.

 

특히, 안랩은 이번 디도스 공격이 지난 7월의 미치료 좀비PC(백신 미설치나 당시 최신 업데이트를 안 해 감염된 좀비 PC)와, 최근 보안이 취약한 사이트 등에서 배포된 변종 악성코드(안랩 엔진 반영)에 감염된 좀비PC로 인해 발생한 것이므로 백신 검사를 통해 이 악성코드를 삭제하는 것이 근본적인 해결책이라고 밝혔다. 또한, 백신의 실시간 감시를 켜는 것도 필요하다고 말했다.

 

안랩은 현재 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동하는 한편, 변종 악성코드를 긴급히 엔진에 반영해 V3는 현재 해당 악성코드를 모두 진단하고 있다. 안랩은 추가 분석을 통해 악성코드에 대한 정보를 지속적으로 제공할 예정이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

- 국제 CC인증 획득으로 국내외 네트워크 보안 시장 공략 박차


글로벌 통합보안기업 안랩[대표 김홍선, www.ahnlab.com]은 자사의 네트워크 통합보안 솔루션인 ‘안랩 트러스가드[AhnLab TrusGuard, 이하 트러스가드]’가 최근 IT보안인증사무국으로부터 국제 CC인증을 획득했다고 발표했다.

 

국제공통평가기준인 CC[Common Criteria] 인증은 IT 솔루션의 보안성을 평가하기 위한 공신력있는 국제기준[ISO 표준]으로, 트러스가드는 이번에 EAL 2[Evaluation Assurance Level 2] 등급으로 인증을 획득했다.

 

안랩은 이번 국제 CC인증 획득으로 증명된 네트워크 보안 기술력과 신뢰성을 바탕으로, 최근 국내뿐만 아니라 해외에서도 관심이 높아지고 있는 네트워크 보안 시장 공략에 박차를 가한다는 계획이다.

 

트러스가드는 대규모 트래픽과 대용량 세션[PC와 PC 간 통신을 위한 연결 정보]을 고속으로 처리하는 고성능 네트워크 보안 솔루션이다. 높은 수준의 방화벽 성능을 제공하며, 외부에서 효율적이고 안전하게 내부 시스템에 접속할 수 있는 VPN[가상사설망, Virtual Private Network] 기능을 제공한다. 또한, 안랩의 안티바이러스 엔진과 디도스[DDoS, 분산 서비스 거부 공격] 방어 기술을 적용해, 악성코드 침입과 네트워크 이상 트래픽 탐지 및 차단 기능 등 차세대 방화벽 기능도 제공한다.

 

현재 트러스가드는 국내 다수의 기업, 공공기관, 학교, 병원 및 금융권을 중심으로 대형 고객사를 보유하고 있다. 해외의 경우, 태국, 말레이시아 등 동남아 국가의 정부기관 및 기업에 공급되어 있다.

 

안랩 김홍선 대표는 “이번 국제 CC인증은 안랩의 네트워크보안 기술력에 대한 신뢰성을 국제적으로 인정받은 것이다. 이번 인증으로 검증된 신뢰성과 안정성을 바탕으로, 해외 시장 진출을 더욱 활성화할 것으로 기대한다”고 말했다.

 

한편, 안랩은 이번 트러스가드의 CC 인증으로 미국 플로리다에서 열리는 제14회 ICCC[International Common Criteria Conference, 9/10~12]에서 공식적으로 CC인증서를 수여받는다. ICCC는 전세계 인증기관, 평가기관, 보안업체들이 참여하여 CC평가/인증에 대한 기술과 정책을 공유하는 자리이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

포털 사이트 겨냥한 금감원 사칭 피싱 악성코드 주의’

택배 사이트 배송조회 페이지에서 유포된 악성코드

토렌트 사이트에서 유포된 hosts.ics 생성 악성코드

최신 영화 공유 파일을 이용한 악성코드 유포

다앙한 DDoS 공격 기능이 있는 악성코드

PUP(불필요한 프로그램)의 습격

한컴 엑셀 파일 취약점을 이용한 백도어 유포

전자 계정 명세서로 위장한 스팸 메일

이메일로 도착한 문자메시지


2) 모바일 악성코드 이슈

금융사 피싱 앱 주의

문자메시지 수집하는 사생활 침해 악성 앱 주의

성인 악성 앱 주의

안드로이드 랜섬웨어 주의 


3) 보안 이슈

주요 정부기관 DNS 서버 DDoS

국제 사회에 영향을 미치는 에드워드 스노든 효과


4) 2013년 상반기 보안 동향

* 상반기 보안 위협 동향

정부기관, 언론 및 금융기관을 대상으로 한 대규모 보안 사고

메모리 패치 기능을 이용한 인터넷 뱅킹 악성코드

국내 소프트웨어 대상 제로데이 취약점 증가

한국적 특색이 강해지는 모바일 악성코드

파밍과 결합된 온라인 게임 계정정보 탈취 악성코드

자바와 인터넷 익스플로러 취약점의 지속적인 악용

국가간 갈등을 유발하는 인터넷의 사이버 첩보전


* 상반기 모바일 악성코드 동향

2013년 상반기 모바일 악성코드 급증

정보 유출 및 과금 유발 트로이목마 다수

사용자 과금 유발 악성 앱 최다

국내 스마트폰을 노린 악성코드


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.42 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

6월 25일 주요 정부 기관을 대상으로 한 DDoS(Distributed Denial of Service) 공격이 발생한 이후 새로운 형태의 DDoS 공격 형태가 6월 27일 추가 발견되었다.


이번 발견된 DDoS 공격 형태는 다수의 PC에서 ANY를 요청하던 방식에서, DNS ANY Query를  요청하는 것으로 위장(IP Spoofing) 한 후 ripe.net의 ANY 레코드의 결과를 Open Resolver(Reflector, 일종의 중계 DNS 서버)를 통해 정부 종합 센터의 네임 서버(Name Server)로 전송되도록 하는 전형적인 DNS 증폭 DDoS 공격 (DNS Amplification DDoS Attack) 형태이다.


1. 공격 과정


악성코드에 감염된 다수의 PC에서 IP Spoofing을 사용하여 DNS ANY 레코드 쿼리의 출발지 주소를 정부 종합 센터 DNS 서버로 위장하고, 해당 결과를 Open Resolver ( Reflector)가 적용된 DNS 서버를 통해 정부종합센터로 DNS Amplification DDoS 공격 이 유입되도록 한다.  


확인 결과, 금번 DNS 증폭 DDoS (DNS Amplification DDoS) 공격에 공격자가 동원한 20,000 여대의 DNS 서버가 모두 Open 된 DNS 서버는 아닌 것으로 분석되었다.



2. 공격 정보


이 번에 발견된 악성 코드는 2013/6/25 20:43:16 (GMT+9) 경에 제작된 것으로 파악되며, DNS 증폭 분산 서비스 공격을 목적으로 제작 되었다.


1) wuauieop.exe (131,072 바이트)

공격 대상은 앞서 언급한 바와 같이 ns.gcc.go.kr와 ns2 gcc.go.kr 을 대상으로 하고 있다. 이전 공격과 큰 차이점은 출발지 IP 주소를 Spoofing 하여 응답 되는 내용이 gcc.go.kr 로 향하게 하고 있다. 

이 공격기법은 해외에서도 여러 차례 사용된 바 있는 DNS amplification 이며, 출발지 IP 를 변경하여 응답이 조작된 출발지 IP 로 가도록 해둔다. 공격 패킷들은 RIPE.NET로 ANY 쿼리 한 것으로 나오며, 이는 공격을 더 임팩트(Impact) 있게 하기 위한 것이다. 

wuauieop.exe (131,072 바이트)가 감염된 시스템에서 실행 되면, 다음과 같은 순서로 동작하며 이를 반복하게 된다.

1) 감염된 시스템의 현재 시간 정보를 얻어와 공격을 할 것인지 우선 판별
2) 감염된 시스템의 IP와 네트워크 디바이스(Network Device) 장비 정보 획득
3) Pcap의 open_live 함수를 사용하여 packet capture descriptor(PCD)를 생성
4) 공격을 위한 스레드(Thread)를 30개를 생성
5) Pcap의 send_queue_alloc 함수를 이용하여 패킷의 큐스택 할당
6) Pcap의 send_transmit 함수를 이용하여 패킷 전송
7) Pcap의 Send_Queue_Destroy 함수를 이용하여 큐스택 제거

해당 파일은 ripe.net의 ANY 응답 결과를 전달할 때 사용하는 중계 DNS 서버 목록은 악성 코드의 .data 영역에 포함되어 있으며, 아래 이미지와 같이 VA값 0x40A044(FileOffset 0xA044)에서부터 IP 목록을 가져오게 된다.



아래 이미지와 같이 파일오프셋(FileOffset) 0xA044 위치에는 IP 목록이 저장되어 있음을 알 수 있다.



참조하기 위한 번호 EDX값을 구하기 위하여 0x4C82로 나누는 것으로 미루어, 공격에 사용할 Resolver IP의 수는 19,586개로 추정 된다.


그리고 해당 파일은 아래 이미지와 같이 "ripe.net"의 ANY 쿼리 결과를 사용하도록 하였으며, 이 결과는 일반적인 요청 결과에 비해 매우 큰 데이터 크기로 증폭 공격의 효과를 극대화하기 위해서 이다.


2) Ole[정상 윈도우 서비스명].dll (218,112 바이트)

특정 시스템으로부터 다운로드 되는 해당 파일은 기존에 발견된 동일 명칭의 악성코드와 동일한 악의적인 기능을 수행하도록 제작 되었다. 

그러나 감염된 시스템의 감염 여부 확인을 휘해 사용하는 OpenFileMappingA 함수를 호출하여 확인하는 MappingName의 값이 아래와 같이 변경되었다.

MappingName = "Global\MicrosoftUpgradeObject9.6.5"

해당 파일은 윈도우 시스템(System32) 폴더에 ole[정상 윈도우서비스명].dll 파일명으로 생성된다. 해당 파일의 파일명은 감염 될 때 마다 달라지는데 Ole 라는 문자를 접두어로 항상 일정하게 사용하고, 감염된 시스템의 윈도우 정상 DLL 파일명을 조합하여 파일명이 만들어 지는 것으로 추정 된다.

해당 ole[정상 윈도우서비스명].dll 파일은 윈도우 서비스로 동작하면서 아래와 같은 동일 조건이 생성되면 다음 경로에 파일을 생성 및 실행 하게 된다.

윈도우 시스템 폴더(System32)\wuauieop.exe(131,072 바이트)

그러나, 해당  wuauieop.exe(131,072 바이트) 파일을 생성하고 실행하기 전에 다음의 URL 접속하여 파일을 다운 받아 온다.

webmail.***************.com/mail/images/ct.jpg
www.*************.net/pictures/e02947e8573918c1d887e04e2e0b1570.jpg

다운로드가 성공하게 되면 사용자 계정의 임시 폴더(temp)에 ~MR[숫자2자리].tmp 파일을 생성하게 된다. 

3) 공격 대상 URL


wuauieop.exe (131,072 바이트)는 코드에 명시된 "ripe.net"의 ANY 쿼리의 응답을 Open Resolver를 사용하는 DNS 서버에 전송하고, 해당 결과를 정부종합센터의 네임서버(152.99.1.10, 152.99.200.6)로 유도하여 공격하는 다음과 같은 특징을 가지고 있다.


* Ripe.net의 ANY Query의 결과는 1000 바이트 이상으로 일반적인 요청에 비해 수십 배에 달함.

다수의 Open Resolver에서 ANY Query의 결과를 정부종합센터로 유도하여, 대역폭 고갈 및 네임 서버 자원 고갈을 목적으로 하는 전형적인 DNS 증폭 분산 서비스 공격 방식


공격 대상은 다음과 같이 2대의 정부종합센터의 네임서버이다.

ns.gcc.go.kr (152.99.1.10)
ns2.gcc.go.kr (152.99.200.6)

4) 공격 패킷 분석

아래 이미지와 같이 정부종합센터의 네임서버 (152.99.1.10, 152.99.200.6)가 ripe.net의 ANY 레코드를 요청한 것으로 위장하여, 결과 패킷을 정부 종합센터의 네임서버에 전송되도록 하고 있다.


Ripe.net의 ANY 레코드의 결과는 1000 바이트 이상으로, 다수의 PC에서 요청을 하여 대역폭 고갈 및 네임 서버 자원 고갈 등의 시도하고 있으며, 공격 패킷들의 특징을 정리하면 다음과 같다.

* ANY 레코드 요청 - DNSSEC 을 지원하는 RIPE.NET 에 ANY 요청하여 큰 데이터를 받음
* 출발지 IP 주소 위장 (Spoofing)하여 응답이 정부종합센터(gcc.go.kr)의 네임 서버로 전송되도록 유도

추가적인 TCP 연결이 발생되어 부하 가중될 수 있음
응답이 512 바이트가 넘어서면 DNS 에서는 Truncated 플래그를 체크하여 TCP로 전송하도록 유도 
RIPE.NET에서 3000 바이트 가 넘게 응답이 있으면, TCP로 전송 시도

* 분할(Fragement)된 패킷의 재조립으로 서버 부하 시도
 1500 바이트가 넘는 데이터는 전송 시 분할(Fragmentation) 되고, 도착지에서는 재조립(Reassemble)하면서 부하 가중

아래 이미지는 해당 파일에 감염된 PC에서 수집한 패킷 통계로 초당 약 4,400개의 DNS ANY 쿼리가 전송되는 것을 나타내고 있으며, 해당 수치는 PC의 사양에 따라 다를 수 있다.



이 번에 발견된 주요 정부기관 DNS 서버를 대상한 DNS DDoS 2차 공격을 위한 목적으로 제작된 악성코드들은 최신 엔진으로 업데이트 한 V3 제품 군에서 모두 다음과 같이 진단한다.


Trojan/Win32.Ddkr

Trojan/Win32.XwDoor 


현재 ASEC에서는 해당 악성코드들에 대한 상세 분석을 진행 중에 있으며, 추가적으로 확인된 정보들이 있을 경우에는 해당 블로그를 통해 지속적으로 업데이트 할 예정이다.


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

6월 25일 오전 10시에 일부 정부 기관 홈페이지를 대상으로 DDoS(Distributed Denial of Service) 공격을 수행하도록 제작된 악성코드가 발견되었다. 


ASEC에서는 해당 DDoS 공격 수행 기능을 가진 악성코드들을 신속하게 확보하여 상세한 분석을 진행 중에 있다. 현재까지 분석된 정보들은 아래와 같으며, 추가적으로 분석된 정보들은 ASEC 블로그를 통해 지속적으로 업데이트 할 예정이다.


[업데이트 히스토리]

1) 2013.06.25 - 6.25 DDoS 공격에 사용된 악성코드 상세 분석 내용 최초 작성

2) 2013.06.266.25 DDoS 공격에 사용된 악성 스크립트 상세 분석 내용 추가


1. 공격 시나리오


특정 웹하드 업체(www.simdisk.co.kr)의 설치 파일(RARSFX)을 변조하여 압축 해제 후 SimDiskup.exe 가 실행 되도록 해두었다. 


아래 이미지는 이 번에 유포된 악성코드들의 전체적인 상관 관계를 도식화한 이미지이다.



2. 주요 파일 분석 정보


1) servmgr.exe (4,383,232 바이트)


해당 파일은 전체적인 구조에서 드롭퍼(Dropper) 역할을 수행하도록 제작된 악성코드이다. 해당 파일의 리소스(Resource) 영역에는 다른 PE 파일 4개를 포함하고 있으나, 실제로는 동일한 기능을 수행하는 32비트(Bit)와 64비트(Bit) 악성코드로 나누어져 있다. 


아래 이미지는 해당 파일에 대한 구조를 도식화 한 것 이다. 



해당 악성코드가 실행이 되면 우선 감염된 시스템의 운영체제 버전 정보를 체크한 후, OpenFileMappingA 함수를 호출하여 동일한 악성코드에 이미 감염되어 있는지를 확인하게 된다.


MappingName = "Global\MicrosoftUpgradeObject9.6.4"

 

그리고 감염된 시스템의 윈도우가 32비트인지 64비트 운영체제인지를 확인하여, 해당 윈도우 운영체제  환경에 맞는 파일들을 생성하게 된다. 그리고 GetVersionExA 함수를 이용하여 윈도우 운영체제의 버전 정보가 6.0 (Vista) 이상일 경우에는 UAC(User Access Control)를 무력화 한 후 다른 파일들을 추가로 생성하게 된다.


우선 32비트 윈도우 운영체제에서는 %Temp% 폴더에 ~DR(임의의 숫자).tmp (1,995,776 바이트) 파일을 생성 한 후에 별도의 인자값 없이 LoadLibaray 함수를 호출하여 자신을 로드 하게 된다.


이후 다시 Ole(윈도우 정상 서비스명).dll (936,448 바이트) 파일을 생성하고 윈도우 서비스로 등록 한다. ~DR(임의의 숫자).tmp가 생성한 파일은  "Ole" 문자열과 감염된 시스템의 윈도우 서비스명을 조회하여 이를 조합하여 파일명을 생성하게 된다.  


해당 Ole(윈도우 정상 서비스명).dll 파일은 특정 파일을 다운로드 한 이 후, 다운로드 한 파일에서 특정 조건이 확인 되면 DoS(Denial of Service) 공격을 수행하는 파일을 생성하고 실행하게 된다.


그리고 64비트 윈도우 운영체제에서는 다음 2개 파일 생성 한 이후에 CreateProcessA 함수를 이용하여 실행하게 된다.


* 사용자 계정의 임시 폴더(Temp)에 ~ER6.tmp (215,048 바이트)

64비트 윈도우 운영체제에서 UAC 무력화 기능을 수행하는 파일이다.


사용자 계정의 임시 폴더(Temp)에 ~DR7.tmp (146,170 바이트)

32비트 윈도우 운영체제에서 로드 한 파일과 동일한 기능을 수행하는 파일로 Ole(정상윈도우서비스명).dll 파일을 윈도우 서비스로 등록하게 된다.


그리고 해당 파일들을 실행하기 위한 인자값으로 다음을 사용한다.


"C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\~ER6.tmp" 

"C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\~DR7.tmp"

 

해당 파일들이 정상적으로 실행이 되면 이 후 다음 배치(Batch) 파일을 생성하여, 자기 자신을 삭제하게 된다.


C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\ud.bat


2) Ole(윈도우 정상 서비스명).dll (936,448 바이트) 


해당 악성코드는 윈도우 시스템 폴더(system32)에 ole(윈도우 정상 서비스명).dll 라는 파일 형태로 생성하여 실행 된다. 


그러나 드로퍼에 의해 감염 될 때 마다 임의의 문자열을 사용하여 파일명이 달라지게 된다. 파일의 첫 문자열인 Ole는 접두어로 항상 일정하게 생성되나, 나머지 문자열은 감염된 시스템에 존재하는 정상 윈도우 시스템 파일들 중 하나의 DLL 파일명을 조합하여 사용하는 것으로  추정 된다. 


그리고 해당 파일은 윈도우 서비스로 동작 하며, 다음의 URL로 접속을 시도하여 성공하게 될 경 다른 파일을 다운로드 하게 된다.


webmail.genesyshost.com/mail/images/ct.jpg

www.hostmypic.net/pictures/e02947e8573918c1d887e04e2e0b1570.jpg


파일 다운로드가 성공하게 될 경우에는 사용자 계정의 임시 폴더(Temp)에 ~MR(임의의 숫자 2자리).tmp 파일을 생성하게 된다. 


해당 파일은 시그니쳐('BM6W')와 시간 정보(6월 25일10:00)를 포함하고 있는 데이터 파일로서, 감염된 시스템의 시간 정보를 비교하여 동일 할 경우에는 윈도우 시스템 폴더(system32)에 wsauieop.exe(847,872 바이트) 파일을 생성하고 실행하게 된다.


3) wuauieop.exe (847,872 바이트)


윈도우 시스템 폴더(system32)에 생성된 wuauieop.exe (847,872 바이트) 파일은 DDoS 기능을 수행한다. 


해당 파일 내부에는 DDoS 공격의 대상이 되는 시스템의 IP 2개가 하드코딩되어 있으며, 각각 쓰레드로 무한루프를 돌면서 DDoS 공격이 이루어 지게 된다.


* Thread Function(1) (=401110) 공격 대상 IP: "152.99.1.10:53"



* Thread Function(2) (=4012A0) 공격 대상 IP: "152.99.200.6:53"


이 외에 추가로 2개의 쓰레드 루틴을 더 생성하여 임의의 도메인명을 생성하게 된다. 이는 임의의 도메인명들을 생성하여 DDoS 공격효과를 증대 시킨 것으로 추정 된다. 

 

생성하는 임의의 도메인명들은 "[임의의 문자열].gcc.go.kr" 을 가지고 있으며, 사용하는 임의의 문자열은  a~z 까지의 ASCII로 무작위로 채워진다.


그리고, 도메인명에 사용하는 임의의 문자열은 최대 길이는 28자를 넘을 수가 없도록 제작 되었다.



4) ~SimDisk.exe (3,405,824 바이트)


해당 파일은 인터넷에 공개되어 있는 토르(Tor) 프로그램의 소스코드를 사용하여 제작된 파일로 네트워크 접속 정보의 감시, 추적 및 분석을 어렵게 하기 위한 목적으로 제작 된 것으로 추정된다.


다음 경로에 다수의 파일들을 생성하며 생성한 파일들의 파일명은 윈도우 시스템 폴더(System32)를 조회하여 사용하는 것으로 추정된다.


C:\Documents and Settings\(사용자 계정명)\Application Data\Identities\{e38632c0-f9a0-11de-b643-806d6172696f}


cmd.exe (Npkcmsvc.exe) - conime.exe (tor.exe) 를 구동하는 런처 프로그램

config.ini - cmd.exe 가 참조하는 구성 설정 파일

conime.exe - 토르(Tor) 프로그램의 소스코드를 사용하여 제작한 파일


3. DNS(Domain Name Service) DDoS 트래픽 분석


1) DNS DDoS


DNS DDoS는 DNS 서버에 과도한 양의 네트워크 트래픽(Network Traffic)을 전송하여, 정상적인 DNS 조회가 성공하지 못하도록 서비스 거부를 유발하게 된다.


발생하는 트래픽은 2 개의 DNS 서버를 목표로 공격하였으며, 공격 대상이 되는 해당 네임 서버는 주요 정부 기관에서 사용하는 것으로 이로 인해 이번 공격의 대상이 된 것으로 추정된다.


ns.gcc.go.kr (152.99.1.10)

ns2.gcc.go.kr (152.99.200.6)


해당 악성코드에 의해 발생한 DDoS 공격 트래픽의 특징을 정리하면 다음과 같다.


일반적인 경우 A Query인데 반해, 모두 ANY Query를 전송

질의는 하나의 NS에 전송하는 데 반해, 152.99.1.10, 152.99.200.6 을 동시에 요청

일반적인 DNS Query는 소량의 트래픽이지만, DNS 서버 부하를 위해 데이터 크기를 1300~1400 Byte로 조정


ANY 레코드가 사용 된 점은 "gcc.go.kr" 의 주 네임 서버를 효과적으로 공격하기 위한 것이며, [임의의 문자열].gcc.go.kr 를 쿼리(Query)에 사용한 점은 랜덤 호스트명을 사용하여 캐쉬(Cached) 된 정보 재사용으로 인해 공격 효과가 떨어지는 것을 막기 위해서 이다. 그리고 약 1400 bytes 의 데이터를 사용한 것은 공격 네임 서버로의 밴드위쓰(Bandwidth)  소모하기 위해서이다.


악성코드에 의해 생성된 패킷(Packet)에서는 초당 약 712회의 DNS Query를 전송하는 것으로 확인 되었다.



DNS Query의 형식은 아래 이미지와 같이 [임의의 문자열의 호스트 이름].gcc.go.kr로 되어 있다.



4. DDoS 공격 악성 스크립트 분석


1) 스크립트 기반의 DDoS 공격 시나리오


이번 6.25 DDoS 공격에는 기존의 좀비 PC를 이용한 공격 외에 악성 스크립트를 이용한 공격 방식이 이용됐다. 이 경우, 일반 사용자가 웹 브라우저를 통해 변조된 서버를 방문하는 것만으로 악성 트래픽을 발생하게 된다.



위 이미지는 스크립트(Script) 기반의 DDoS 공격의 시나리오를 재구성한 것으로, 주요 공격 진행 과정은 다음과 같다.


* 공격자는 사전에 다수의 불특정 사용자들이 방문하는 경유지 서버를 해킹

* 경유지 서버에서 사용하는 정상적인 페이지에 DDoS 공격 스크립트 삽입

* 불특정 다수 사용자들이 웹 브라우저로 경유지 서버 방문시, 사용자 PC 상에서 DDoS 공격 스크립트 실

* 스크립트에 설정된 공격 대상 서버에 다량의 HTTP GET을 요청해 악성 트래픽 유발


2) 경유지/공격대상 서버 정보


* 경유지 서버


경유지로 이용된 서버는 외국인들이 주로 이용하는 하숙/고시원 정보 제공 사이트로, 공격 목적에 따라 다음과 같이 일부 파일이 변조되었으나 현재 정상화되었다.



* 공격 대상 서버

공격 대상인 3개 사이트의 총 60개 하위 URL을 대상으로 DDoS HTTP GET 공격이 이루어졌다.



3) 공격 트래픽 분석


* HTTP GET 패킷 정보


아래 이미지는 HTTP GET 요청 패킷 정보로, 아래 표의 HTTP GET 요청의 특징적인 부분을 확인할 수 있다.




* DDoS 트래픽 통계 정보


공격 스크립트는 아래 이미지와 같이 0.25 ms 단위로 공격 대상 URL을 랜덤으로 선택하여 HTTP GET 요청을 시도하도록 구현되어 있다.



분석 환경에서 재현한 결과, 아래 이미지과 같이 대략 초당 60회의 HTTP GET 요청을 시도하는 것으로 분석되었으나, 사용자 시스템에 따른 영향이 있을 수 있다.



4) 공격 스크립트 구성


공격자는 다음과 같이 다수의 사용자가 방문하는 경유지 서버(www.********.co.kr)를 해킹하여 DDoS 공격을 수행하는 스크립트를 삽입하였다.


[메인 페이지]

www..*********.co.kr/index.html - 청와대 공격용 스크립트 삽입



위 이미지는 경유지 서버의 메인 페이지가 변조 전의 코드들이며, 아래 이미지는 공격자에 의해 변조된 메일 페이지 모습을 나타낸다.



[공통 자바 스크립트 파일]

www..*******.co.kr/common/js/common.js - 새누리당/국정원 공격용 스크립트 삽입



위 이미지는 경유지 서버의 변조 전의 자바 스크립트(Java Script) 코드이며, 아래 이미지는 공격자에 의해 변조된 자바 스크립트 코드 모습을 나타낸다.



아래 이미지와 같이 makeHTTPRequest 함수에서 실제 공격 URL을 구성해 HTTP GET 요청 트래픽을 발생시킨다.



아래 이미지와 같이 setInterval 함수를 이용해 일정 시간 단위로 공격 URL을 요청하는 settingUrl 함수를 호출한다.



5) 공격 대상 상세 정보


아래 표와 같이 공격 대상인 3개 사이트의 하위 URL 총 60개를 대상으로 HTTP GET 요청을 반복적으로 수행한다.



6월 25일 오전 정부 기관 홈페이지를 대상으로 발생한 DDoS(Distributed Denial of Service) 공격을 수행하도록 제작된 악성코드들은 2013.06.25.04 버전 이후의 최신 엔진으로 업데이트 한 V3 제품군들에서는 모두 다음과 같이 진단한다.


Trojan/Win32.Ddkr 

Trojan/Win32.XwDoor


앞서 언급한 바와 같이 ASEC에서는 상세한 분석을 진행 중에 있으며, 추가적으로 확인 된 정보들에 대해서는 본 블로그를 통해 지속적으로 업데이트 할 예정이다.


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2012년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.34을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

10월에 발견된 취약한 한글 문서 파일

MS 워드, PDF 문서들의 취약점을 악용하는 악성코드 다수 발견

한글 소프트웨어의 제로데이 취약점 악용 악성코드

미국 대선 뉴스로 위장한 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

플레임 악성코드 변형 miniFlame 변형 발견

윈도우 도움말 파일을 이용한 악성코드 유포

국방 관련 내용을 담은 취약한 한글 파일

연봉 계약서로 위장한 취약한 한글 파일 발견

한반도 정황 관련 내용의 취약한 한글 파일 발견

대만 기상청을 대상으로 한 타깃 공격 발견

이스라엘 정부 기관 대상의 타깃 공격 발생

국내 PC 사용자를 대상으로 유포된 아두스카 부트킷

usp10.dll 파일을 이용한 온라인 게임 악성코드


2) 모바일 악성코드 이슈

NH모바일 웹 피싱사이트

방통위 사칭 악성 애플리케이션


3) 악성코드 분석 특집

패치드(Patched) 형태의 악성코드 변천사

ZeroAccess로도 알려진 Smiscer 변형

IFEO 를 이용하는 악성코드

Bootkit Story Part 1. 모체를 찾아라!


4) 보안 이슈

Adobe사의 유출된 code signing 악용사례 발생

미국 금융 기업 DDoS 공격

개인 금융 정보 탈취를 노리는 Banki 트로이목마 변형


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.34 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2012년 5월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.29을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 5월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

이력서로 위장한 악성코드

LinkedIn 스팸 메일을 위장한 악성코드 유포

DHL운송 메일로 위장한 악성코드

런던 올림픽 개최를 이용한 악성코드

ws2help.dll 파일을 패치하는 온라인게임핵 변종 악성코드

AV Kill 기능을 가진 온라인게임핵 악성코드

플래시 플레이어의 제로데이 취약점(CVE-2012-0779)을 이용하는 악성코드

Python으로 제작된 맥 악성코드

프로그램 설치 화면 놓치지 마세요

어린이날에도 쉬지 않는 악성코드 제작자


2) 모바일 악성코드 이슈

안드로이드 Notcompatible 악성코드 발견

어도비 플래시 플레이어로 위장한 안드로이드 악성 앱

허위 안드로이드 모바일 백신 유포

허위 유명 안드로이드 앱 배포 웹 사이트

Talking Tom Cat 사이트로 위장한 앱 사이트를 통해 유포되는 악성코드


3) 보안 이슈

어도비 플래시 플레이어 CVE-2012-0779 취약점 발견

'LOIC' 툴을 이용한 DDoS 공격 주의!


4) 웹 보안 이슈

꾸준히 발견되는 농협 피싱 사이트


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.29 발간


저작자 표시
신고
Posted by 비회원
안철수연구소 ASEC에서 2011년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.21을 발간하였다.


이 번에 발간된 ASEC 리포트는 2011년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

* 10월 주요 보안 위협 이슈들

MySQL 사이트에 삽입된 악성 스크립트
스티브 잡스 사망 관련 메일로 위장한 악성코드
Smiscer Rootkit
QR 코드를 통해 감염되는 안드로이드 악성코드 발견
NETFLIX 위장 안드로이드 악성 애플리케이션
CVE-2011-2140 취약점을 이용한 악성코드 유포
플래시가 당신 컴퓨터의 웹 카메라와 마이크를 조종한다
리눅스 Tsunami DDoS 공격 툴의 맥 OS X 포팅
국내PC를 감염 목표로 하는 부트킷 상세 분석


안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다

 ASEC 보안 위협 동향 리포트 2011 Vol.21 발간
저작자 표시
신고
Posted by 비회원


◆ 서론

 2011년 3월 3일부터 국내 웹사이트를 겨냥한 DDoS 공격 및 감염PC의 시스템 손상을 일으키는 악성코드가 발견 되었습니다. 시스템 손상은 하드디스크 내부에 존재하는 모든 문서파일 등 주요파일을 손상시킨 후 부팅에 관여하는 MBR 정보를 파괴하여 PC를 부팅불가 및 데이터복구 불가 상태로 만들게 됩니다.

이에 아래 조치 가이드를 활용하여 즉시 예방조치 하실 것을 권해 드립니다.
(본 문서는 윈도2000 이상의 모든 OS군에 유효 합니다.)

1. 현재 사용 중인(전원이 켜있는) 컴퓨터의 예방조치 방법
 A. 안철수연구소 홈페이지에 접속하여 [전용백신 다운로드] 후 검사

2. 현재 사용 중이지 않은(전원이 꺼진) 컴퓨터의 예방조치 방법
 A. 안전모드(네트워크사용)로 부팅
 B. 안철수연구소 홈페이지에 접속하여 [전용백신 다운로드] 검사



따라서, 최초 시스템을 부팅하실때 안전모드(네트워크 사용)으로 부팅하여, 안철수연구소에서 제공하는
전용백신으로 선 조치
후 PC 를 사용하시기 바랍니다.

MBR 이란?
하드 디스크의 맨 앞에 기록되어 있는 시스템 기동용 영역. 컴퓨터(PC)에 전원을 넣으면 먼저 첫 번째 하드 디스크의 MBR에 기록되어 있는 프로그램이 읽힌다. 이렇게 읽힌 MBR의 프로그램은 분할표(partition table)의 정보를 기점으로 기동하는 분할(partition)의 부트 섹터(boot sector:분할의 맨 앞에 있는 OS 기동 프로그램이 기록된 부분)를 읽어 이 섹터의 프로그램에 의해 운영 체계(OS)가 기동된다. 따라서 MBR의 정보가 파괴되면 PC는 기동할 수 없게 된다.

조치 방법

1.     PC를 안전모드(네트워킹 사용)로 부팅.

안전모드 부팅하는 방법은 PC 부팅한 후 F8 키를 연속적으로(0.5초 간격으로 !!! 누름) 누르시면 아래 그림과 같이Windows 고급 옵션 메뉴 (Vista,Win7은 고급부팅옵션)” 화면으로 넘어가게 됩니다.

 

A.     윈도 2000 의 경우 안전모드(네트워크 드라이버 사용) 선택

 

B.      윈도 XP (Vista,Win 7,2003,2008서버 공통)의 경우 안전모드(네트워킹 사용) 선택

 

2.     최신 전용백신 다운로드 및 실행

A.     안철수연구소 홈페이지(http://www.ahnlab.com) 접속


 
i.        
메인 팝업창에서 전용백신 다운로드 받기클릭

  

B.      보호나라 홈페이지 (http://www.boho.or.kr) 접속

                         i.         메인 팝업창에서 안철수연구소 전용백신 다운로드클릭

 

3.     전용백신 실행 후 검사클릭

 

안철수연구소 홈페이지 전용백신

 

보호나라 홈페이지 안철수연구소 전용백신

 

4.     악성코드 발견시 치료 수행 (미 발견시 5번항목으로 이동)

A.     안철수연구소 홈페이지 전용백신

                         i.         악성코드 발견


                        ii.         전체치료 클릭


                       iii.         재부팅 하시겠습니까?(Y) 선택시 치료와 동시에 재부팅 진행

 

B.      보호나라 홈페이지 안철수연구소 전용백신

                         i.         악성코드 발견


                        ii.         악성코드 치료

               

 

5.     검사 완료되면 종료클릭 후 PC 재부팅

 

     V3 사용자께서는 V3를 최신버전으로 업데이트 후 실시간 감시를 꼭 켜 두십시오.

신고
Posted by 비회원