조치 가이드

VBS/Autorun 악성코드 감염사례 및 치료, 예방방법

1. VBS(Visual Basic Script)와 VBS 이용 악성코드 작성 이유   요즘에는 전문서적뿐 아니라 인터넷의 정보를 이용하면 누구나 유해 가능한 악성코드를 손쉽게 만들 수 있습니다. 이러한 악성코드를 제작하는데 있어 많이 사용되는 것이 바로 VBS(Visual Basic Script)입니다. 그래서 빈번하게 퍼지고 있는 유해 악성프로그램(바이러스, 웜, 백도어, 트로이목마 등)의 종류를 보면 VBS를 이용하여 제작된 것이 많습니다.  VBS란 비주얼 베이직의 서브세트로써, 넷스케이프 커뮤니케이션즈사에서 개발한 자바 스크립트와 마찬가지로 MS사의 인터넷 익스플로러, IIS (Internet Information Server)에서 실행 가능한 스크립트 언어로 비주얼 베이직 문법에 기초를 두고 제작되어 HTML문서 안에 스크립트를 두고 동적으로 처리하는 언어이며 대화형 월드 와이드 웹(WWW) 홈 페이지를 작성하기 위하여 사용됩니다. 또 액티브 X 제어(Active X control)나 자바 애플릿(Java applet)을 조작할 수 있는 특징을 갖고 있습니다.  따라서 일반적인 프로그램 제작 언어(어셈블러, C 등)에 비하여 프로그램 분석이나 제작이…

악성코드로 인한 imm32.dll 파일 변조 조치 가이드

1. 서론 최근 imm32.dll 파일을 변조하는 악성코드로 인해 한/영 전환이 정상적으로 동작하지 않거나, 게임 혹은 기타 프로그램 실행 시 해당 파일 변조로 게임을 실행할 수 없다는 메세지가 나타나는 현상이 많이 접수되고 있습니다. 따라서 해당 조치가이드를 안내해 드립니다.2. 악성코드 감염 시 나타는 증상 해당 악성코드는 imm32.dll 파일을 변조시켜 게임 계정을 탈취하는 기능을 가진 악성코드 입니다. 해당 악성코드에 감염되면 운영체제에서 사용되는 정상파일인 imm32.dll 파일을 imm32.dll.log, imm32.dll.bak, imm32.dll.tmp 등의 이름으로 백업시킨 후 악성코드로 교체하게 됩니다. (발견되는 변종에 따라 일부 파일명은 달라질 수 있습니다.) 따라서 아래 파일들을 삭제하고 변조된 파일은 정상 파일로 복원을 시켜주어야 합니다.C:WindowsSystem32imm32.dllC:WindowsSystem32ole.dll C:WindowsSystem32nt32.dll 3. 조치 방법 3-1. 전용백신으로 치료 아래의 링크를 클릭하시어 전용백신을 다운로드 합니다. [전용백신 다운로드 (클릭)] 3-2.  수동 조치 방법 우선 수동조치 방법보다 위에 안내해드린 전용백신을 통한 치료를 권장 드립니다. 1)…

Antimalware Doctor (가짜백신) 조치가이드

1. 개 요 현재 'Antimalware Doctor' 라는 FakeAV(허위백신) 감염사실이 다수 제보된 상태입니다. 같은 증상을 갖고 있는 네티즌들에게 도움이 되고자 'Antimalware Doctor'의 치료법을 안내하는 조치가이드를 작성하여 공유합니다. 2. 감염 시 증상 허위백신이 동작하면 아래와 같은 화면이 지속적으로 나타납니다. [그림1. 감염 시 생성되는 창]  위협요소를 치료하겠다고 클릭하면, 아래와 같이 Key가 활성화되어있지 않다고 안내하며 결제페이지로 유도합니다. [그림2. Key 활성화 안내창] 트레이에는 그림과 같은 2가지 아이콘이 생성되며, Close를 눌러도 종료되지 않습니다. [그림3. 트레이에 나타나는 아이콘]  3. 조치 방법 현재 V3 제품에서 해당 허위백신을 Win-Trojan/Fakeav.743424 로 진단하고 있습니다. 따라서 V3 제품에서 스마트업데이트를 통해 엔진을 최신엔진으로 업데이트 하신 후 검사 및 치료를 진행해 보시기 바랍니다. 만일 V3를 설치하지 않으셨다면, 아래의 링크를 통해 무료백신 V3lite 를 설치하여 치료하시기 바랍니다. V3lite 바로가기 – www.v3lite.com 수동으로 직접 조치를 원하시면…

Autorun 관련 악성코드 조치 가이드!

  1.    개요 Autorun의 증상 가운데 정상 폴더와 파일의 속성을 숨김 속성으로 바꾸어 파일을 숨기고, 폴더명과 동일한 파일명의 실행 파일을 생성하여 사용자로 하여금 백신프로그램이 정상적인 프로그램을 삭제한다는 이슈가 발견되고 있어 관련 증상 및 조치가이드를 안내해 드립니다.     2.    주요증상 악성코드가 실행되면 USB 폴더 내(또는 C:나 D:등의 특정폴더)의 정상적인 폴더를 숨김 속성으로 바꾼 후 정상적인 폴더명과 폴더 모양의 아이콘을 갖는 실행 파일(.exe)을 생성합니다. 아이콘 모양이 폴더모양과 동일하지만 아래 [그림 1]과 같이 [보기]속성을 변경할 경우 실행 파일이라는 것을 알 수 있습니다. (해당 실행 파일은 악성코드의 복사본입니다.)   [그림 1] 폴더 보기속성 변경    [그림 2] 감염시스템에서 확인된 악성 실행파일   이 악성코드는 많은 변종이 있으나 V3에서는 현재까지 발견된 악성코드는 아래와 같이 대부분 진단하고 있습니다.   [그림 3] 악성코드 치료화면   3.   …

허위백신으로 인한 증상 및 조치 방법

1. 서론  최근 허위백신으로 인하여 피해가 다수 발생하고 있어 증상 및 임시 조치 방법을 소개하고자 해당 내용을 작성 합니다. 2. 증상 해당 악성코드에 감염이 되면 아래와 같은 허위 백신이 실행되며 허위로 악성코드를 진단하여 결제를 유도하게 됩니다. [그림1. 허위백신이 실행된 화면] 위 이미지에서는 AntiVirus XP 2010 이지만 아래와 같이 다수의 이름이 존재합니다.  Windows 7 WIndows Vista  Windows XP Win 7 Internet Security 2010  Win 7 Internet Security  Win 7 Antivirus Pro 2010  Win 7 Antivirus Pro  Win 7 Antivirus 2010  Win 7 Antivirus  Win 7 Defender 2010  Win 7 Guardian  Win 7 Guardian 2010  Antivirus Win 7 2010  Win 7 Antispyware 2010  Vista Internet Security 2010  Vista Internet Security  Vista Antivirus Pro 2010  Vista Antivirus Pro  Vista Antivirus 2010  Vista Antivirus  Vista…