조치 가이드

ARP Spoofing 유발 악성코드 조치 가이드

1. 개요최근 ARP Spoofing 증상을 발생시키는 형태의 악성코드가 확인되었으며, 이로 인한 피해 사례가 다수 발생되고 있습니다. 2. 악성코드 감염 형태최초 감염 경로는 불분명하나, 감염된 후에는 ARP Spoofing 을 통해 동일 네트워크 대역에 사용중인 시스템 확인 및 해당 시스템들의 ARP Table을 변조하여 웹페이지에 스크립트를 삽입, 악성코드를 전파합니다. 1) ARP Spoofing 공격 형태악성코드에 감염된 시스템의 경우 아래와 같이 동일 네트워크 대역(C 클래스)를 통해 공격 가능한 시스템을 스캔합니다. [그림 1] 동일 네트워크 사용중인 시스템 스캔 이후 [그림 2]와 같이 공격 가능한 시스템 리스트를 ARP Table 에 static 으로 적용합니다. [그림 2] 감염된 시스템에서 리스트화된 ARP 테이블 그리고 리스트에 해당하는 시스템들에 대해서 지속적인 ARP 패킷을 발생하여 ARP Table을 변조하게 됩니다. [그림 3] ARP 변조를 위한 패킷 발생 위 공격으로 인해 지속적인 ARP 패킷을 받는…

[긴급] MBR 및 파일 손상 !! 시스템 복구 불가능 !! 부팅전에 전용백신으로 조치하세요 !!

◆ 서론  2011년 3월 3일부터 국내 웹사이트를 겨냥한 DDoS 공격 및 감염PC의 시스템 손상을 일으키는 악성코드가 발견 되었습니다. 시스템 손상은 하드디스크 내부에 존재하는 모든 문서파일 등 주요파일을 손상시킨 후 부팅에 관여하는 MBR 정보를 파괴하여 PC를 부팅불가 및 데이터복구 불가 상태로 만들게 됩니다. 이에 아래 조치 가이드를 활용하여 즉시 예방조치 하실 것을 권해 드립니다. (본 문서는 윈도2000 이상의 모든 OS군에 유효 합니다.) 1. 현재 사용 중인(전원이 켜있는) 컴퓨터의 예방조치 방법  A. 안철수연구소 홈페이지에 접속하여 [전용백신 다운로드] 후 검사 2. 현재 사용 중이지 않은(전원이 꺼진) 컴퓨터의 예방조치 방법  A. 안전모드(네트워크사용)로 부팅  B. 안철수연구소 홈페이지에 접속하여 [전용백신 다운로드] 검사 따라서, 최초 시스템을 부팅하실때 안전모드(네트워크 사용)으로 부팅하여, 안철수연구소에서 제공하는 전용백신으로 선 조치 후 PC 를 사용하시기 바랍니다. MBR 이란? 하드 디스크의 맨 앞에 기록되어…

System Tool 2011 조치 안내

1. 서  론 이름을 바꿔가며 변형이 유포되며, 그리고 감염 피해가 발생되고 있는 허위 백신 프로그램이 최근에는 'System Tool 2011'이라는 이름으로 유포되고 있어 주의가 필요합니다. – 관련 포스팅 글 : http://core.ahnlab.com/52 2. 악성코드 유포 방법 및 증상 주로 SEO(Search Engine Optimazation) 기법, 또는 스팸 메일을 통해 유포되어 왔으며, System Tool, Total Security 같은 유사한 이름으로 변경되어 유포되고 있습니다. 감염 후, 아래와 같이 배경화면이 변경되어 악성코드에 감염됨을 확인할 수 있습니다. [그림 1] 감염시 변경된 배경화면 그리고 아래와 같이 허위 감염창을 띄워 사용자로 하여금 악성코드에 감염된 것 처럼 보여주게 됩니다. [그림 2] 허위 진단 창 또한, 실행 파일들에 대한 실행이 불가하게 되며, 실행시 아래 그림과 같이 파일이 감염되어 실행할 수 없다는 메시지를 띄우게 됩니다. [그림 3] 파일 실행시 허위 감염 메시지 이와 거의 동일한…

GSPI + 숫자로 이루어진 VBS/Autorun 악성코드 대처법

 1. 서론  VBS 악성코드는 wscript을 이용하기 때문에 작성이 용이하여 높은 감염률을 보이고 있습니다. 이러한 VBS악성코드 중 특정 레지스트리 값을 변경하여 컴퓨터 사용에 장애를 유발하는 GSPI라는 이름의 악성코드에 대한 증상과 치료법에 대해 알아보도록 하겠습니다.   2. 악성코드 감염 시 나타나는 증상

VBS/Autorun 악성코드 감염사례 및 치료, 예방방법

1. VBS(Visual Basic Script)와 VBS 이용 악성코드 작성 이유   요즘에는 전문서적뿐 아니라 인터넷의 정보를 이용하면 누구나 유해 가능한 악성코드를 손쉽게 만들 수 있습니다. 이러한 악성코드를 제작하는데 있어 많이 사용되는 것이 바로 VBS(Visual Basic Script)입니다. 그래서 빈번하게 퍼지고 있는 유해 악성프로그램(바이러스, 웜, 백도어, 트로이목마 등)의 종류를 보면 VBS를 이용하여 제작된 것이 많습니다.  VBS란 비주얼 베이직의 서브세트로써, 넷스케이프 커뮤니케이션즈사에서 개발한 자바 스크립트와 마찬가지로 MS사의 인터넷 익스플로러, IIS (Internet Information Server)에서 실행 가능한 스크립트 언어로 비주얼 베이직 문법에 기초를 두고 제작되어 HTML문서 안에 스크립트를 두고 동적으로 처리하는 언어이며 대화형 월드 와이드 웹(WWW) 홈 페이지를 작성하기 위하여 사용됩니다. 또 액티브 X 제어(Active X control)나 자바 애플릿(Java applet)을 조작할 수 있는 특징을 갖고 있습니다.  따라서 일반적인 프로그램 제작 언어(어셈블러, C 등)에 비하여 프로그램 분석이나 제작이…