1. 파일 공유사이트, utorrent, P2P 프로그램에서 다운로드 받은 파일 주의 !


- 파일 공유사이트에서 받은 파일, 믿을 수 있을까 ?

- 많은 사람들이 파일 공유사이트를 이용하는 가장 큰 이유중에 하나는 접근하기 쉽고, 원하는것을 쉽게 얻을 수 있어서 일것 이다. 하지만, 파일 공유사이트 및 특정사이트의 접속만(취약점)으로 악성코드에 감염되는 사례를 다수 보여왔고, 현재에도 여전히 유효하다.


- 악성코드 유형 및 배포 URL 자료 


[그림] 악성코드 유형 분포도 / 악성코드 배포 URL




2. 내 PC의 보안패치, 응용프로그램 패치로 취약점을 조치한다면, 안전할까?


- 악성코드가 이용하는 취약점을 패치하였다면, 사이트 접속만으로 감염되지는 않는다.
하지만, 공유되는 파일에 대한 안전성까지 보장하는 것은 아니다.

- 파일 공유사이트가 악성코드 경유지 뿐만 아니라, 악성코드 제작자의 유포지로 악용되는 점을 안내하고자 한다.





3. 파일 공유사이트, utorrent, P2P 프로그램에서 받은 동영상(AV) 을 살펴 보자.


[그림] 동영상으로 추정되는, exe 로 압축된 형태의 파일




- 동영상 이름으로 보이지만, exe 형태로 압축되어 있다. 이 중에 하나를 확인해 보자.

- exe 형태로 압축된 파일을 실행하면, 동영상 파일이 생성되어 사용자는 정상적인 동영상 파일이 압축된 것으로 믿게 된다.

- 추가 생성되는 악성코드는 사용자가 알 수 없도록 백그라운드로 생성/실행 된다.

- C:\WINDOWS 폴더에 setup.exe / DTLitte.exe / _info.inf 파일을 생성한다.

 [그림] 다운로드 받은 파일 / 생성된 악성코드



- 감염시 증상

방화벽을 우회하여 백도어로 사용될 수 있다.
 

[그림] 악성코드에 의해 변경된 방화벽 예외 설정





4. V3 진단명



Dropper/Agent.1995028
Win-Trojan/Agent.1724928





5. 악성코드의 감염을 예방하고, 피해를 최소화 시키는 방법 !



 1) 윈도우 보안패치를 항상 최신으로 유지한다.
  - Microsoft : http://update.microsoft.com (Windows 정품인증 필요)

 2) 응용 프로그램 패치를 항상 최신으로 유지한다.
  - Adobe Flash Player 업데이트 : http://www.adobe.com/go/getflash/
  - Adobe Reader : http://www.adobe.com/go/getreader/

 3) 신뢰할 수 없는 사이트 및 파일은 접근하지 않는다.

 4) V3 제품을 설치하고, [환경설정] ASD 기능을 활성화 한다.
  - ASD 기능 이란? (바로가기)

 5) AhnLab SiteGuard 설치하여, 위험 사이트는 접근하지 않는다.
  - AhnLab SiteGuard 설치하기 (바로가기)

- Anti-Virus V3

신고
Posted by DH, L@@
금일 안철수연구소 제품으로 위장한 악성코드가 발견되어 해당 내용에 대해 공지합니다.

이 악성코드는 "AnhLaB 레지스터리 최적화 적용파일.exe" 라는 파일명으로 torrent (p2p방식의 파일공유) 등을 통하여 유포되고 있으며, 마치 Ahnlab 이 만든 정상프로그램인 것처럼 사용자들을 속여, 악성코드를 실행하게 만들고 있어 주의가 요구됩니다.


아래 그림에서 확인할 수 있듯이, 악성코드는 torrent 공유사이트 등을 통해 안철수연구소의 레지스터리 최적화 프로그램이란 내용으로 현재 빠르게 전파되고 있습니다.

[그림1. 악성코드파일이 torrent 공유사이트에 공유된 화면]


해당 악성코드는 아래그림의 아이콘과 "AnhLaB 레지스터리 최적화 적용파일.exe" 란 파일명을 사용하고, 크기는 336KB 정도됩니다.


[그림2. Ahnlab 제품으로 위장한 악성코드]



악성코드 파일의 속성을 보시면 Ahnlab 에서 만든 파일이 아닌 것을 쉽게 확인하실 수 있습니다.

[그림3. 악성코드 파일의 속성]



실제 안철수연구소에서 레지스트리를 수정해주는 제품은 Registry fix 전용백신으로, 아래와 같은 아이콘을 사용하고 있습니다.


[그림4. Ahnlab 에서 베포하는 Registry fix 전용백신]


파일 우클릭 -> 속성에서 확인하실 수 있듯이, 안철수연구소 제품은 전부 디지털 서명이 되어 있으므로, 안철수 연구소 프로그램으로 위장하는 악성파일과 손쉽게 구분하실 수 있습니다.


[그림5. 디지털 서명 확인]



※ 안철수연구소 관련 프로그램은 아래 그림처럼 공식홈페이지인 www.ahnlab.com 에서만 제공하므로, 다른 경로를 통해 받은 Ahnlab 관련 파일은 절대 실행하지 마시고 꼭 V3로 검사해보시기 바랍니다.



[진단 현황]
V3에서는 해당 악성코드에 대해 Win-Trojan/Cson.344932 으로 진단가능합니다.

[악성코드 예방법]
아래의 보안 10계명을 지켜, 악성코드로 부터 자신의 정보를 안전하게 지키시기 바랍니다.


PC 보안 10계명

 
1.
윈도 운영체계는 최신 보안 패치를 모두 적용한다

2. 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫 자/특수문자 조합으로 6자 리 이상으로 설정한다. 로그인 ID와 패스워드를 동일하게 설정하지 않는다


3.
해킹, 바이러스, 스 파이웨어 등을 종합적으로 막아주는 무료백신 ‘V3 Lite(www.V3Lite.com)나 유료 토털 PC 케어 서비스 ‘V3 365 클리닉’ 등을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.


4.
웹사이트에 접속했을 때 악성코드나 스파이웨어가 다운로드되는 경우가 있으니 안철수연구소가 무료로 제공하는 ‘사이트가드’(www.siteguard.co.kr) 서 비스를 이용해 예방한다.


5.
웹 서핑 때 '보안경고' 창 이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 ''를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.


6.
이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.


7.
메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.


8. P2P
프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈되지 않도록 주의한다.


9.
정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높기 때문이다.


10.
중요한 자료를 주기적으로 백업해 만일의 상황에 정보를 잃는 일에 대비한다.


신고
Posted by 비회원