악성코드에 감염되어 인터넷이 안되면 참 난감해집니다.

현재 버젼의 V3에서 인터넷을 못하게 하는 악성코드가 제거가 된다면 좋겠지만, 만약 최신엔진에서만 치료되는 변종 악성코드일 경우는 어떻게 해야 될까요? 엔진은 인터넷으로 업데이트 받는데 말이죠.

이제부터 엔진 업데이트가 불가한 상황(인터넷이 안되는 이유 등으로)에서 엔진을 최신버젼으로 업데이트 하는 방법을 소개하겠습니다.

1. 인터넷이 되는 PC에서 www.ahnlab.com 에 접속

2. 홈페이지 상단의 다운로드 –> 제품관련 파일 클릭

 

3. 윈도우즈용 클라이언트 및 서버 제품군 엔진을 다운받습니다. (우측 디스켓 모양 클릭)

 

4. 파일을 USB와 같은 이동식디스크에 저장합니다

 

5. 저장이 완료되면, 인터넷이 되지 않는 PC로 파일을 복사하고 설치합니다.

 
                                            [ 압축이 풀리고.. ]

 
                                                            [ 업데이트 시작을 눌러주세요 ]

 

5. 작업이 끝난 후 V3 가 제대로 업데이트되었는지 확인합니다.

6. 정밀(수동)검사를 통해 시스템 전체를 스캔하여 발견되는 악성코드를 치료합니다.

방법은 여기까지입니다!
혹시라도 막히시는 부분있으면 언제든지 댓글 남겨주세요~

신고
Posted by 비회원

소포 배달을 가장한 스팸메일이 유포되고 있습니다. 해당 스팸메일은 악성 파일을 첨부하고 있으며 메일 제목은 아래와 같은 형태입니다. 


Your order has been paid! Parcel NR.[랜덤한 숫자]. 


아래 그림은 악성 파일을 첨부하여 유포되고 있는 스팸메일 수신시 캡쳐 화면이며 본문에는 Amazon이라는 유명 사이트인 것처럼 사용자를 속여 악성 파일을 다운로드 후 프린트를 할 것을 권하여 사용자가 파일을 실행하도록 유도합니다..



<Fig 1. 악성 스팸메일>


첨부된 악성 파일이 실행되면 아래 그림과 같이 XP Security Tool 2010 이라는 FakeAV가 실행이 되며 허위진단 후 치료를 위해 제품 구입 결제를 요구하며 결제  페이지로 연결되게 됩니다. 


 

<Fig 2. 악성파일 실행 시 허위진단 및 경고창, 결제 페이지>


첨부된 악성파일은 아래 그림 Fig 3.과 같이 워드 문서 아이콘으로 위장하여 사용자들에게 첨부된 파일이 워드 문서인 것처럼 인식시켜 안심하고 실행하도록 유도합니다.  해당 파일은 Dropper/Agent.57344.CY 진단명으로 V3에서 진단 및 치료가 가능합니다.


<Fig 3. 파일 확장자가 보이는 경우 악성 파일>


상기 캡쳐 화면 상에는 확장자인 exe 가 보이는 것이 보이시나요? 확장자가 exe인 것을 다운로드 한 사용자가 본다면 해당 파일을 의심할 수 있지만 아래와 같이 확장자가 보이지 않는 경우라면 exe 실행파일이 아닌 워드 문서로 오인하기 쉽습니다.

 

 <Fig 4. 파일 확장자가 보이지 않을 경우 악성 파일>


따라서, 탐색기를 실행하신 후 [도구] – [폴더옵션]에서 아래 그림처럼 ‘알려진 파일 형식의 파일 확장명 숨기기’ 옵션을 체크 해제하신 후 설정을 적용하시기를 권해드립니다.

 

<Fig 5. 확장자 확인할 수 있도록 설정하는 화면>


이러한 허위 안티바이러스(백신)은 현재 대부분 이렇게 스팸메일, 소셜 네트워크 메세지 혹은 구글 검색 시 나타나는 SEO Attack 형태로 감염되니 항상 아래와 같은 사항을 준수하여 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.


신고
Posted by 비회원


4월 2일자로 발송된 악성 파일을 첨부한 스팸메일이 확인되어 알려드립니다.
3개의 악성스팸메일이 확인되었는데 두 개는 우리의 단골 손님 DHL을 가장한 악성스팸메일입니다.

DHL Services. Get your parcel NR.9195
DHL Express. Please get your parcel NR.8524

DHL을 위장한 메일 외 아래와 같은 악성스팸메일이 유포되고 있습니다.

YOUR TEXT

악성스팸메일들의 제목 및 본문 등 자세한 내용은 아래 그림들을 참조해 주세요.


<Fig 1. 4월 2일 발송된 악성스팸메일들>




첨부된 악성 파일들을 다운로드하여 압축해제하면
오른쪽 그림과 같이 워드 문서 아이콘으로 사용자에게
워드 문서인 것 처럼 보이게 합니다.






각각의 첨부된 파일들은 V3에서 아래와 같은 진단명들로 진단이 가능합니다.


파일명 : DHL_label_5893.exe
진단명 : Dropper/Malware.59392.GC

파일명 : File.exe
진단명 : Win32/MyDoom.worm.32256



항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.








신고
Posted by 비회원

많은 분들이 소셜 네트워크를 사용하고 있습니다. 국내에서는 싸*월드, 아이러브*쿨 등 해외에서는 Twitter, FaceBook 등등을 많이 사용하고 있는데 이러한 소셜 네트워크를 이용하여 피싱 뿐만 아니라 악성코드가 많이 배포되고 있어서 이번 글을 포스팅하게 되었습니다.

필자도 가끔식 Twitter에 트위트 메세지를 남기고 있습니다. 자주 들어가지는 않지만 조금 전에 잠시 들어갔다가 자극적인 트위트 메세지를 발견하였습니다. 메세지 내 단축 URL이 있어서 클릭을 해 보았습니다.


<Fig 1. 악성 URL로 연결되는 단축 URL이 존재하는 Twitter의 트위트 메세지>


역시나 공짜로 무언가를 얻는 것이란 참으로 힘든 일인가 봅니다. 단축 URL을 클릭을 해 보니 아래 악성코드 유포 URL로 연결되는 것을 확인하였습니다.

잠깐~~ 참고하세요 !

단축 URL을 사용하게 되는 이유는 Twitter의 메세지는 문자수 길이에 제한이 있습니다. 만약 URL 문자수 길이가 너무 많은 길이를 차지하게 된다면 메세지를 작성하는데 제한을 받게 되기 때문에 단축 URL 서비스 하는 곳에서 단축 URL을 만들어서 사용하게 되는 것이죠 ^^


<Fig 2. 단축 URL 클릭 후 악성코드 유포 페이지로 연결된 화면>


ActiveX Object 에러가 발생하였다는 메세지 경고창과 함께 동영상을 보기 위해 ActiveX를 설치하라고 유도합니다.

<Fig 3. 악성코드 다운로드 유도하기 위한 허위 경고창>


역시나 우리의 기대를 저버리지 않고 다운로드 창을 띄워 파일을 다운로드 하도록 합니다. 다운로드한 파일은(inst.exe) 오른쪽 그림과 같은 파일이며 이제는 우리에게 너무나 익숙한 아이콘의 파일이 다운로드 되었습니다.


<Fig 4. 악성코드 다운로드 유도하기 위한 허위 경고창>


<Fig 5. 다운로드 된 악성파일>


다운로드한 파일을 실행하면 'Security Tool'이라는 FakeAV 악성 파일이 실행되며 허위 진단 후 사용자에게 결제를 유도하는 페이지로 연결하게 됩니다.



<Fig 6. FakeAV 실행된 화면>


<Fig 7. 허위 진단 후 결제페이지로 연결된 화면>


현재 첨부된 악성 파일은 아래와 같은 진단명으로 V3에서 진단 및 치료가 가능합니다.

파일명 : inst.exe 
진단명 : Win-Trojan/Fakeav.1113600.AA



악성코드 유포 사이트는 SiteGuard 엔진에 업데이트 하였으며 아래 그림과 같이 페이지 연결이 차단이 되고 있습니다.




작년 이맘 때면 출근 길에 벚꽃을 볼 수가 있었는데 날씨가 아직 풀리지 않아서인지 벚꽃이 눈에 들어오지 않네요. 벚꽃이 개화하면 여의도로 산책 나오셔요~ ^^







신고
Posted by 비회원

FakeAV (허위백신 혹은 가짜백신)을 첨부한 악성 스팸메일이 유포되고 있어 사용자 분들의 주의가 요망됩니다. 수신된 악성 스팸메일은 아래 그림과 같이 악성 첨부 파일 'Contract.zip' 을 첨부하고 있으며 첨부된 압축 파일을 다운로드하도록 유도하는 내용이 기재되어 있습니다.


<Fig 1. 악성 스팸메일을 수신한 화면>


첨부된 악성 파일을 다운로드하여 실행하면 아래와 같이 'XP Security' 라는 FakeAV가 실행되게 됩니다.


<Fig 2. FakeAV가 시스템을 허위로 진단하는 화면>



<Fig 3. FakeAV가 허위로 경고창을 팝업한 화면>


첨부된 악성 파일은 V3 엔진에 반영되어 아래와 같은 진단명으로 V3에서 진단 및 치료가 가능합니다.

Contract.exe  Win-Trojan/Fakeav.201216.B
Contract.exe  Win-Trojan/Fakeav.202240.G


항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.



신고
Posted by 비회원


요즘 세계 이곳저곳에서 지진이 발생하고 있다는 뉴스를 참 많이 접하는 것 같습니다. 거기에 쓰나미까지... 

아이티, 칠레에 이어 대만에서도 지진이 발생하여 뉴스에 보도되고 있습니다.

역시나 어김없이 악성코드 제작자들은 이 기회를 놓치지 않고 검색엔진에 악의적인 검색 결과가 상위에 노출되도록 하여 Taiwan Earthquake 로 검색한 사용자가 해당 검색 결과를 클릭하도록 유도를 하고 있습니다.

아래 그림은 Taiwan Earthquake 로 검색한 결과 중 악성코드를 유포하는 사이트로 연결하는 검색 결과입니다.



[taiwan earthquake로 검색된 악의적인 검색 결과]


아래 그림은 악성코드를 유포하는 사이트들입니다. 해당 사이트로 연결이 되면 사용자의 컴퓨터를 스캔하는 동작을 위장한 플래쉬화면이 나오게 됩니다.


[Fig 1. 악성코드 유포사이트_1]





[Fig 3. 악성코드 유포사이트_2]


악성코드 유포 사이트는 사용자의 시스템이 감염되었다는 경고 메세지와 함께 아래 그림처럼 파일을 다운로드 하도록 유도합니다.



[Fig 4. 악성코드 다운로드 창]


[Fig 5. 다운로드 된 악성코드]


현재 수집된 악성코드는 V3에 반영되어 아래와 같이 진단이 되고 있습니다.

Win-Trojan/Fakeav.316928.B


SEO Poisoning Attack을 예방하기 위해서는 상기 ASEC 블로그 링크에 나와 있듯이 사이트 가드(Site Guard)와 같은 웹브라우저 보안 제품을 설치하여 사전에 예방할 것을 권해 드립니다.















신고
Posted by 비회원

악성 파일을 첨부한 스팸메일은 2010년에도 여전히 기승을 부리고 있네요.

A new settings file for the [사용자메일주소] has just be released

상기 메일 제목으로 악성파일을 첨부하여 배포되고 있습니다. 메일 내 본문 내용은 아래 회색 박스 안과 같은 내용입니다. 참 그럴 듯하게 작성해 놓았네요. 악성코드를 배포할려면 글을 잘 쓸 필요도 있겠습니다 ^^;;;


Dear use of the ahnlab.com mailing service!
We are informing you that because of the security upgrade of the mailing service your mailbox [사용자 메일 주소] settings were changed. In order to apply the new set of settings open attached file.
Best regards, [사용자 메일 서비스 URL] Technical Support.


  첨부된 파일은 settings.zip이며 압축을 푼 모습은 왼쪽 그림과 같습니다.


첨부된 파일은 실행 후 아래와 같이 'XP Guardian'이라는 FakeAV를 실행시켜 허위 진단 및 경고창을 지속적으로 팝업시킵니다.




1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.






신고

'악성코드 정보' 카테고리의 다른 글

Taiwan Earthquake  (2) 2010.03.05
SEO Poisoning  (2) 2010.03.03
A new settings file for the [사용자메일주소] has just be released  (6) 2010.02.27
updated account agreement  (2) 2010.02.14
UPS Delivery Problem NR.숫자  (2) 2010.01.12
For the owner of the 메일주소 mailbox  (2) 2010.01.12
Posted by 비회원

"updated account agreement" 메일 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있습니다.

첨부된 파일의 파일명은 agreement.exe이며 해당 스팸메일의 본문은 아래와 같습니다.

Dear Facebook user,
Due to Facebook policy changes, all Facebook users must submit a new, updated account agreement, regardless of their original account start date.
Accounts that do not submit the updated account agreement by the deadline will have restricted.
Please unzip the attached file and run “agreement.exe” by double-clicking it.
Thanks,
The Facebook Team



첨부된 파일을 실행할 경우 아래 그림과 같이 SecurityTool이라는 허위 백신이 실행되게 됩니다.




현재 V3에서 아래와 같이 진단하고 있습니다.

agreement.exe 
 - Win-Trojan/Agent.19968.TB(V3추가)


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.





신고
Posted by 비회원

최근 DHL메일을 가장한 스팸메일이 지속적으로 유포되고 있습니다. 이 스팸메일에는 DHL로 시작하는 악성파일이 첨부되어 있으며 주로 문서파일 아이콘으로 보여 사용자를 속이고 실행시키도록 유도를 합니다.

자세한 내용은 "악성 스팸 경고" 카테고리에 관련 글들이 많으니 참조해 주세요.

Internet Security 2010 은 다른 FakeAV와 유사한 동작을 하는데 한가지 특이점이 있어 알려드리겠습니다.

< Fig 2. Internet Security 2010 >

생성되는 악성파일 중 C:\winodows\system32\helper32.dll 파일을 삭제한 후 레지스트리 값을 수정하지 않았을 경우 아래와 같이 인터넷 페이지 오류가 발생하게 됩니다.


< Fig 2. 인터넷 페이지 오류 >

Internet Security 2010은 Fig 3.의 정상 레지스트리 값을 Fig 4. 의 레지스트리 값으로 변경하기 때문에 네트워크와 관련된 응용프로그램에서도 오류가 발생하게 됩니다.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 <-- 키


PackedCatalogItem <-- 이름

C:\WINDOWS\system32\helper32.dll.ols\VSock ....  <-- 데이터


* 시스템에 따라 키 값이 달라 질 수 있습니다.


< Fig 3. 정상 레지스트리 값 >



< Fig 4. 변경된 레지스트리 값 >


이 경우 정상 레지스트리 값을 가져와서 변경된 레지스트리 값을 수정해 주어야 합니다. 정상적인 시스템에서의 값을 가져와도 되며, 만약 시스템 복원을 사용하는 사용자라면 Fig 5. 처럼 IceSword 툴을 이용하여 시스템 복원 폴더에서 감염되기 전의 시간대의 레지스트리 중 SYSTEM 값을 'Copy to' 옵션으로 카피를 해 둡니다.

* 정상적인 시스템에서 레지스트리 값을 가져올 수 있는 사용자는 아래 Fig 5. 과정을 생략하셔도 되겠습니다.


< Fig 5. 시스템 복원 폴더 내 정상 레지스트리 카피 >


카피 후 레지스트리 편집기를 실행시키신 후 [파일] - [하이브 로드] 옵션으로 카피를 해 두었던 SYSTEM 파일을 로드합니다.


< Fig 6. 하이브 로드 >


하이브 로드 후 Fig 7.처럼 '내보내기' 옵션으로 Catalog_Entries.reg 파일을 생성합니다.



< Fig 7. 레지스트리 값 내보내기 >


하이브 로드를 하였기 때문에 .reg 파일을 노트패드 등의 에디터로 열어보면 하이브 로드 시 입력하였던 키 이름으로 경로가 설정되어 있는 것을 확인할 수 있으며 이 경우 경로를 수정해 주어야 합니다. 

예를 들어, 필자의 경우 하이브 로드 시 'AhnLab' 이라는 키 이름을 입력하였고 따라서 이 부분을 'SYSTEM'으로 수정을 해 주어야 합니다.


< Fig 8. .reg 파일 경로 수정 >

경로 수정 작업까지 완료했다면 이제 .reg 파일을 실행하여 레지스트리 값을 정상적인 값으로 수정합니다.







 
신고
Posted by 비회원

이번 포스트에서는 최근들어 급증하고 있는 온라인게임핵(Cyban) 의 증상과 조치방법에 대해 살펴보겠습니다.


◆ 증 상

특정 사이트에서 악성코드를 다운로드+드랍하고 아래와 같은 동작들을 수행합니다.

 < 캡쳐된 패킷 >

1. 온라인게임사이트 계정정보 탈취

- 악성코드는 인터넷익스플로러에 인젝션되어 아래 그림과 같이 하드코딩된 특정 게임사이트의 목록에서 쿠키값(ID,PW 등)을 노립니다.

 
<
게임사이트 목록 >

....
....
var b=LOGIN.getCookieValue("CAT");if(b.length>0){var a=b.split("+");if(a.length>1){return a[1];}}return"2";
....
....
< 쿠키값 탈취하는 코드의 일부 >

2. 키보드로깅
- 악성코드는 실행중인 프로세스에 인젝션되어 Key정보를 후킹합니다.
 
< dll 인젝션 >



3. Autorun 을 이용한 자동실행 + 확산, File 숨기기
 - Autorun 취약점을 이용하여 악성코드를 이동디스크매체를 통해 퍼뜨리고, 자신을 은폐하기 위해 레지스트리를 조작합니다.

< inf file내용 >


< 탐색기-숨김폴더보기 레지스트리 + 부팅실행 레지스트리 >



4. 안티바이러스를 무력화시키는 AV Kill
 - 아래 그림과 같이 A.V(안티바이러스) 프로세스들의 이름들이 저장되어 있으며, 해당되는 프로세스들의 실행을 방해합니다.

< A.V 리스트 >

◆ 조치방법

현재 v3 최신버젼으로 업데이트 하실 경우, 아래와 같이 진단 및 삭제가 가능합니다.

무료백신 V3Lite 다운로드




만약 다른 제품을 쓰시는 분이라면 수동으로 아래의 악성파일들을 삭제하면 됩니다.

c:\windows\system32\ieban(숫자).dll
c:\windows\system32\cyban(숫자).dll
c:\windows\system32\cyban.exe
c:\(랜덤영문+숫자).exe



파일이 숨겨져 있어서 안보일 경우, 아래의 링크들을 참조하셔서 삭제하시기 바랍니다.

은폐된 악성파일 수집 및 삭제 방법(Gmer)

의심파일 수집 방법(ICESword)



◆ 예방 방법

1) 신뢰할 수 없는 곳에서 유포된 프로그램(게임핵프로그램 등 불법프로그램 포함)은 다운로드하거나 실행하지 않습니다. 
* 악성코드는 불법프로그램을 통해서 주로 유포됩니다. *

2) 주기적인 업데이트로 V3 제품을 항상 최신엔진으로 유지하며, 실시간 감시 기능을 활성화합니다.

3) 웹 페이지를 통해 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어를 설치합니다.

4) 윈도우 취약점을 이용한 악성코드 감염을 예방하기 위해 Windows Update 를 통해 윈도우 보안 패치를 확인하고 설치합니다.

신고
Posted by 비회원