조치 가이드

MS 09 – 054 수정된 패치 업데이트 공지

기존의 MS 09 – 054 윈도우 보안 패치 후 이 패치를 적용한 시스템에서 인터넷 오류나 브라우징 에러가 발생하고 있습니다. 이미 MS 09 – 054 패치를 하셨다면 아래 링크를 통해 새로운 패치를 다운로드하여 실행해 주시기 바랍니다. http://support.microsoft.com/kb/976749 해당 패치에 대한 MicroSoft 의 원문입니다. 업데이트 974455 (MS09-054) 보안 업데이트를 적용한 후에 발생하는 문제를 해결하는 Internet Explorer에서 사용할 수 있습니다. Microsoft는 다음 Microsoft 기술 자료 문서에서 설명하는 문제를 해결하는 업데이트를 출시했습니다. 표 축소표 확대 문서 번호 문서 제목 976948  (http://support.microsoft.com/kb/976948/ ) 스크롤된 요소 자식을 Windows Internet Explorer 8 잘못 보고될 수 있습니다 포함된 요소가 offsetTop 계산 976949  (http://support.microsoft.com/kb/976949/ ) “형식 불일치” VBScript 받은 누적 보안 업데이트 974455 설치한 후 Internet Explorer에서 스크립트 오류 메시지 이러한 문제는 특정 검색 시나리오의 누적 보안 업데이트에는 Internet Explorer (MS09-054…

Rustock 조치 가이드 (2)

3. 증상 발생 시 조치방법 II : 수동조치 —————————————————————– 제품에서 진단되는 않는 경우, 아래 과정으로 수작업 조치를 통해 해결해야 한다. 1) GMER Download : http://www.gmer.net/gmer.zip 에서 툴을 다운로드 받으신 후, 임의의 폴더에 압축을 해제하여 gmer.exe를 실행한다. 2) GMER 실행 시 은폐형 파일이 존재할 경우 아래와 같이 메시지가 출력되며, hidden으로 표시된 항목을 찾는다. Rustock 의심파일의 특징은 Hidden이면서 파일명이 숫자로 시작하며 영문/숫자 조합으로 생성된다. 3) 여기서는 System32drivers7f0ed690.sys 이며, Rustock의 경우 정상모드에서 삭제가 되지 않기 때문에 안전모드(네트워크 지원)로 부팅하여 조치해야 한다. * 안전모드 부팅 방법은  [안전 모드부팅 후 치료하기]글을 참조해 주시기 바랍니다. 4) 시스템을 안전모드(네트워크 지원)로 부팅한 후, GMER을 실행하여 등록한 서비스를 삭제한다. 5) 서비스 삭제 후 GMER의 [Files]탭을 선택하여 의심 파일이 위치하는 경로로 이동하여 해당 파일을 선택하여 [Kill] 한 다음, 수집을 위해…

Rustock 조치 가이드

1. 증상 및 진단 확인 —————————————————————–   1) 방화벽 등의 보안장비에서 Remote 25번 포트로 트래픽을 발생시키는 시스템을 찾는다.   2) 감염이 의심되는 시스템에서 [시작] – [실행]에서 cmd.exe 를 실행 후, netstat –ano       명령으로 네트워크 연결을 확인한다. Rustock에 감염된 시스템은 Remote TCP 25번       포트로 SYN_SENT 증상을 발생시킨다. 아래와 같이 Ahnreport의 ‘네트워크 연결’ 항목에서도 확인이 가능하다. 2. 증상 발생 시 조치방법 I : 제품 —————————————————————–   제품에서 진단되는 경우 아래 과정으로 조치 수행해야 하며, 두 항목을 함께 진행할 것을   권고함   1) 만일, V3제품으로 진단되는 내용이 없을 경우, 정상모드로 부팅하여 안철수연구소       홈페이지를 통해 Rustock 전용백신으로 다운로드 받아 진단/치료를 수행한다.       (전용백신 다운로드 경로 : http://download.ahnlab.com/vaccine/v3rustock_gen.exe)   2) Rustock의 경우, 진단 무력화 기법을 사용하기 때문에 시스템을 안전모드(네트워크      지원)로 부팅하여 설치된…

Conficker 조치 가이드 (2)

3.    Conficker 조치 방법 ————————————————————–   A.    수동 조치 방법(진단불가능) * Win32/Conflicker.worm 변형 수동조치 법   [1] GMER Download : http://www.gmer.net/gmer.zip 에서 툴을 다운로드 받으신 후, 임의의 폴더에 압축을 해제하여 gmer.exe를 실행합니다.   [2] GMER를 실행했을 때 은폐형 파일이 존재할 경우 아래와 같이 메시지가 출력됩니다. 붉은색으로 표시된 부분(svchost.exe에 hidden으로 표시)의 Value 항목에 위치한 값을 확인합니다. (여기서는 Remoteserv) [3] 2번 과정에서 이미 붉은색으로 확인된 내용이 존재하므로, ‘아니오’를 선택합니다.(‘예’를 선택할 경우 Full Scan을 시작하며 많은 시간이 소모됩니다.) 물론 은폐형 파일이라고 해서 모두 악성은 아니며 아래 경우와 동일한 경우에만 수동조치가 필요합니다.   [4] >>> 탭을 클릭하면 숨어있던 탭이 보이게 됩니다.   [5] Registry 탭을 클릭한 후, 아래의 경로를 따라 Services 항목의 하위 키값를 확인합니다. [6] 2번에서 확인된 Value값과 동일한 서비스명을 찾아 하위 Parameter 위치로…

Conficker 조치 가이드 (1)

1. Conficker 개요 ——————————————————————————————————- 해당 악성코드는 윈도우 보안 취약점(MS08-067), 관리공유 및 이동디스크를 통해 빠르게 확산되어 네트워크 자원(랜덤 및 B클래스 IP대역을 대상으로 Remote TCP 445포트로 대량의 트래픽 발생)을 소모시킨다. 추가적으로 진단을 어렵게 하는 기법이 사용되었는데, 악성코드 원본을 Svchost.exe에 Remote Handle(원격핸들)로 오픈하여 실행되며, 악성코드가 등록한 레지스트리 서비스 및 악성파일 원본에 Read권한을 없애 파일/레지스트리에 접근을 불가능하게 한다. 2. Conficker 증상 확인 방법 ——————————————————————————————————-  A. 네트워크를 통한 확인 방법 [주요 증상] – TCP 445 포트로 다량의 트래픽을 발생 – DNS 쿼리를 후킹하여 보안 사이트만 접속되지 않도록 하는 증상 발생 (ex) MS 사이트, ahnlab.com 등   [의심 증상] – 랜덤 및 B클래스 IP대역을 대상으로 Remote TCP 445포트를 통한 대량의 트래픽 발생시키는 시스템 존재   [세부 확인] – 의심 증상이 발생되는 시스템에서 패킷 덤프를 저장한 후…