조치 가이드

Win32/Bredolab 류로 인한 네트워크 트레픽 유발 가이드

1. 서론 최근 다수의 시스템에서 네트워크 트래픽을 유발하는 악성코드가 확인 되어 가이드를 작성합니다. 2. 악성코드 감염 증상 해당 악성코드에 감염이 되면 다수의 파일을 다운로드 및 드랍하여 지속적인 재감염 및 네트워크 트래픽을 유발하여 네트워크 장애 및 시스템 리소스를 고갈 시킵니다. 네트워크 트래픽의 대부분은 스팸메일 발송으로 V3 제품이 설치된 시스템이라면 아래와 같은 메시지를 확인할 수 있습니다. 3. 악성코드 감염 시 생성되는 파일 및 레지스트리 3. 1 파일 대표적으로 아래와 같은 파일을 생성하며 해당 파일 외 다수의 파일이 있습니다. C:RECYCLERS-1-5-21-4023274132-7382142363-650398018-2867(임의의 폴더명)wnzip32.exe C:RECYCLERS-1-5-21-0243936033-3052116371-381863308-1811(임의의 폴더명)vsbntlo.exe C:Documents and SettingsAdministratorLocal SettingsTempinit.exe C:bdxcphif.exe, C:hfhhhml.exe, C:uipcafn.exe 등의 임의의 파일명 C:windowssystem32notepad.exe C:WINDOWSsystem32regedit.exe C:WINDOWSsystem32imPlayok.exe C:Documents and SettingsAdministratorimPlayok.exe C:program fileswindows ntdialer.exe C:program fileswindows ntpinballpinball.exe 3. 2 레지스트리 시작 프로그램에 등록하기 위해 아래와 같은 레지스트리 값을 추가 합니다. HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonTaskman “C:RECYCLERS-1-5-21-4023274132-7382142363-650398018-2867(임의의 폴더명)wnzip32.exe” HKLMSOFTWAREMicrosoftWindows…

게임 계정 탈취. OnlineGameHack [Cyban] 조치가이드

이번 포스트에서는 최근들어 급증하고 있는 온라인게임핵(Cyban) 의 증상과 조치방법에 대해 살펴보겠습니다. ◆ 증 상 특정 사이트에서 악성코드를 다운로드+드랍하고 아래와 같은 동작들을 수행합니다.  < 캡쳐된 패킷 > 1. 온라인게임사이트 계정정보 탈취 – 악성코드는 인터넷익스플로러에 인젝션되어 아래 그림과 같이 하드코딩된 특정 게임사이트의 목록에서 쿠키값(ID,PW 등)을 노립니다.   < 게임사이트 목록 > …. …. var b=LOGIN.getCookieValue(“CAT”);if(b.length>0){var a=b.split(“+”);if(a.length>1){return a[1];}}return”2″; …. …. < 쿠키값 탈취하는 코드의 일부 > 2. 키보드로깅 – 악성코드는 실행중인 프로세스에 인젝션되어 Key정보를 후킹합니다.   < dll 인젝션 > 3. Autorun 을 이용한 자동실행 + 확산, File 숨기기  – Autorun 취약점을 이용하여 악성코드를 이동디스크매체를 통해 퍼뜨리고, 자신을 은폐하기 위해 레지스트리를 조작합니다. < inf file내용 > < 탐색기-숨김폴더보기 레지스트리 + 부팅실행 레지스트리 > 4. 안티바이러스를 무력화시키는 AV Kill  – 아래 그림과 같이 A.V(안티바이러스) 프로세스들의 이름들이…

허위 안티바이러스 “Antivirus Live” 조치가이드

1. 서론  최근 허위 안티바이러스 프로그램인 Antivirus Live 가 유포되고 있습니다. 해당 악성코드에 감염시 대부분의 프로세스가 실행되지 않는 어려움이 있어, 감염 증상 및 조치 방법의 안내를 위해 조치 가이드를 작성합니다. 2. 감염 증상 2.1 허위 악성코드 감염 경고  해당 악성코드에 감염되면 아래 그림들과 같이 허위 안티바이러스 프로그램의 실행 창 및 허위 진단 내용이 출력됩니다.  [그림 1] 허위 안티바이러스 프로그램 실행 화면   [그림 2] 허위 경고창   [그림 3] 허위 Tray 경고창 2.2 광고 페이지 연결  특정 사이트를 사용자의 동의 없이 지속적으로 띄웁니다. 2.3 대부분의 프로그램 실행 불가  해당 프로그램이 실행중인 경우, 허용된 프로세스 외에 프로세스의 실행이 불가하여 다른 프로그램을 사용하는데 어려움이 발생합니다. 3. 조치 방법3.1 감염시 조치사항  해당 악성코드에 감염된 정상 모드에서는 허용된 프로세스 외에 대부분의 프로그램이 실행되지 않으므로,…

PDF 파일을 이용한 악성코드를 예방하자!

최근 Adobe 사의 Adobe Reader 와 Acrobat 관련 취약점이 많이 나오고 있습니다. 위 표는 Adobe 사의 이번 12월에 발표된 보안 취약점 입니다. 이번달에는 유난히 Adobe사의 여러 주요 프로그램에 대한 취약점이 많이 발표되었으며 이 중 Adobe Reader 와 Acrobat은 악성코드에 이용된 취약점 입니다. 해당 취약점을 이용하는 악성코드는 대부분 PDF 파일 내부에 Javascript를 추가하여 동작하도록 구성되어 있습니다. 따라서 예방을 위해서는 우선 보안 취약점에 대한 업데이트를 확인하는 것이 가장 중요합니다. Adobe Reader 혹은 Acrobat을 실행 후 메뉴에서 [Help] – [Check for Updates] 를 눌러 최신버젼 및 업데이트 여부를 확인하시기 바랍니다. 또는 현재까지 보안패치가 나오지 않은 경우엔 아래와 같이 Javascript 사용을 해제하도록 설정하여 예방을 할 수도 있으니 설정을 하시기 바랍니다. 설정 방법은 옵션에서 아래의 항목을 체크를 해제 하면 됩니다. 해당 취약점을 이용하는 악성코드에 대한…

Privacy Center 허위 안티바이러스(백신) 제거 가이드

1. 증상 및 설명 최근 허위 안티바이러스(백신)으로 보이는 Privacy Center 라는 프로그램이 유포되고 있습니다. 해당 프로그램이 설치가 되면 컴퓨터 부팅 시 아래와 같은 프로그램이 실행되며 다른 작업을 할 수 없도록 만듭니다. 2. 조치 방법 이러한 프로그램이 나타나 시스템 사용을 방해한다면 아래와 같이 조치하시기 바랍니다. 1. Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다. 다운로드 : http://asec001.v3webhard.com/IceSword.zip 2. Ice Sword 에서 [File] 메뉴를 선택을 합니다. 선택 후 아래의 경로로 이동합니다. C:Documents and Settings사용자계정Application DataPC 3. 해당 폴더를 선택 후 마우스 오른클릭 후 [Force Delete]를 눌러 폴더를 삭제 합니다. 4. 시스템을 재부팅을 합니다. 만약 Ice Sword 프로그램이 에러를 내며 정상적으로 실행이 되지 않는다면 아래 다른 프로그램으로 실행 후 조치를 해보시기 바랍니다. 1. gmer.zip을 다운로드 하여 압축을 해제합니다. [gmer툴…