마이크로소프트 2011년 10월 보안 패치 배포 Posted By ASEC , 2011년 10월 14일 마이크로소프트(Microsoft)에서 2011년 9월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2011년 10월 12일 배포하였다. 이번에 마이크로소프트에서 배포된 보안 패치들은 총 8건으로 다음과 같다. Microsoft Security Bulletin MS11-075 Active Accessibility 에서 발생하는 취약점으로 인한 원격코드 실행 문제 Microsoft Security Bulletin MS11-076 윈도우 미디어센터 에서 발생하는 취약점으로 인한 원격코드 실행 문제 Microsoft Security Bulletin MS11-077 윈도우 커널모드 드라이버에서 발생하는 취약점으로 인한 원격 코드 실행 문제 Microsoft Security Bulletin MS11-078 .NET Framework 및 실버라이트에서 발생하는 취약점으로 인한 원격코드실행 문제 Microsoft Security Bulletin MS11-079 Forefront Unified Access Gateway에서 발생하는 취약점으로 인한 원격코드 실행 문제 Microsoft Security Bulletin MS11-080 Ancillary Function Driver 에서 발생하는 취약점으로 인한 권한상승 문제 Microsoft Security Bulletin MS11-081 인터넷 익스플로러 누적보안 패치 Microsoft Security Bulletin…
imm32.dll을 패치하는 악성코드 조치 가이드 Ver. 2.0 Posted By ASEC , 2011년 3월 24일 1. 서 론 imm32.dll을 패치하는 악성코드와 관련된 피해사례가 꾸준히 접수되고 있어 확인해 본 결과 기존의 방식과는 조금은 다른 방식을 사용하여 악성코드를 실행하도록 되어 있어 일반 사용자들을 위해서 “imm32.dll을 패치하는 악성코드“에 대한 정보를 업데이트하였다. 2. imm32.dll을 패치하는 악성코드, 수동조치는 어떻게? 최근에 발견된 imm32.dll을 패치하는 악성코드를 수동조치하기 위해서는 두 가지 경우의 수를 두고 수동조치를 해야한다. Case 1. 정상 imm32.dll -> imm32A.dll로 백업 후 순도 100%의 악성 imm32.dll로 교체되는 경우 Case 1에 해당하는 PC에서 안리포트를 실행하여 프로세스 & 모듈 -> 로드된 모듈 부분을 살펴보면 아래 그림처럼 이름 기준으로 서명이 Unsigned된 imm32.dll과 Signed catalog(nt5.cat)된 imm32a.dll파일 두 개가 실행 중임을 알 수 있다. [그림 1] Case 1에 해당하는 PC의 상태 Unsigned된 imm32.dll은 순도 100%의 악성 imm32.dll이며, Signed catalog(nt5.cat)된 imm32a.dll은 악성코드가 백업한 정상 imm32.dll이다. 수동조치는 아래 단계를 거친다….
ARP Spoofing 유발 악성코드 조치 가이드 Posted By ASEC , 2011년 3월 9일 1. 개요최근 ARP Spoofing 증상을 발생시키는 형태의 악성코드가 확인되었으며, 이로 인한 피해 사례가 다수 발생되고 있습니다. 2. 악성코드 감염 형태최초 감염 경로는 불분명하나, 감염된 후에는 ARP Spoofing 을 통해 동일 네트워크 대역에 사용중인 시스템 확인 및 해당 시스템들의 ARP Table을 변조하여 웹페이지에 스크립트를 삽입, 악성코드를 전파합니다. 1) ARP Spoofing 공격 형태악성코드에 감염된 시스템의 경우 아래와 같이 동일 네트워크 대역(C 클래스)를 통해 공격 가능한 시스템을 스캔합니다. [그림 1] 동일 네트워크 사용중인 시스템 스캔 이후 [그림 2]와 같이 공격 가능한 시스템 리스트를 ARP Table 에 static 으로 적용합니다. [그림 2] 감염된 시스템에서 리스트화된 ARP 테이블 그리고 리스트에 해당하는 시스템들에 대해서 지속적인 ARP 패킷을 발생하여 ARP Table을 변조하게 됩니다. [그림 3] ARP 변조를 위한 패킷 발생 위 공격으로 인해 지속적인 ARP 패킷을 받는…
[긴급] MBR 및 파일 손상 !! 시스템 복구 불가능 !! 부팅전에 전용백신으로 조치하세요 !! Posted By ASEC , 2011년 3월 6일 ◆ 서론 2011년 3월 3일부터 국내 웹사이트를 겨냥한 DDoS 공격 및 감염PC의 시스템 손상을 일으키는 악성코드가 발견 되었습니다. 시스템 손상은 하드디스크 내부에 존재하는 모든 문서파일 등 주요파일을 손상시킨 후 부팅에 관여하는 MBR 정보를 파괴하여 PC를 부팅불가 및 데이터복구 불가 상태로 만들게 됩니다. 이에 아래 조치 가이드를 활용하여 즉시 예방조치 하실 것을 권해 드립니다. (본 문서는 윈도2000 이상의 모든 OS군에 유효 합니다.) 1. 현재 사용 중인(전원이 켜있는) 컴퓨터의 예방조치 방법 A. 안철수연구소 홈페이지에 접속하여 [전용백신 다운로드] 후 검사 2. 현재 사용 중이지 않은(전원이 꺼진) 컴퓨터의 예방조치 방법 A. 안전모드(네트워크사용)로 부팅 B. 안철수연구소 홈페이지에 접속하여 [전용백신 다운로드] 검사 따라서, 최초 시스템을 부팅하실때 안전모드(네트워크 사용)으로 부팅하여, 안철수연구소에서 제공하는 전용백신으로 선 조치 후 PC 를 사용하시기 바랍니다. MBR 이란? 하드 디스크의 맨 앞에 기록되어…
System Tool 2011 조치 안내 Posted By ASEC , 2011년 1월 14일 1. 서 론 이름을 바꿔가며 변형이 유포되며, 그리고 감염 피해가 발생되고 있는 허위 백신 프로그램이 최근에는 'System Tool 2011'이라는 이름으로 유포되고 있어 주의가 필요합니다. – 관련 포스팅 글 : http://core.ahnlab.com/52 2. 악성코드 유포 방법 및 증상 주로 SEO(Search Engine Optimazation) 기법, 또는 스팸 메일을 통해 유포되어 왔으며, System Tool, Total Security 같은 유사한 이름으로 변경되어 유포되고 있습니다. 감염 후, 아래와 같이 배경화면이 변경되어 악성코드에 감염됨을 확인할 수 있습니다. [그림 1] 감염시 변경된 배경화면 그리고 아래와 같이 허위 감염창을 띄워 사용자로 하여금 악성코드에 감염된 것 처럼 보여주게 됩니다. [그림 2] 허위 진단 창 또한, 실행 파일들에 대한 실행이 불가하게 되며, 실행시 아래 그림과 같이 파일이 감염되어 실행할 수 없다는 메시지를 띄우게 됩니다. [그림 3] 파일 실행시 허위 감염 메시지 이와 거의 동일한…
