Win32/Induc 안내 및 조치 가이드 Posted By ASEC , 2009년 8월 25일 1. 개 요 Win32/Induc 바이러스는 볼랜드사에서 제작한 델파이 프로그램의 일부 버전(Delphi4~7)에서 사용하는 특정 라이브러리(Sysconst)가 감염된 후 컴파일 과정에서 생성되는 EXE, DLL 등에 바이러스 코드를 삽입하는 기법을 사용하는 피라미드형 바이러스 입니다. 현재 국내에서 델파이로 제작된 다양한 프로그램들이 해당 악성코드에 감염된 상태로 배포되고 있으므로 주의가 필요합니다. 2. 분석 정보 2.1 감염방법 Win32/Induc 바이러스는 델파이로 제작된 파일에 악성코드 소스가 삽입된 형태로 동작합니다. 그러나 일반적인 파일 바이러스와 달리 델파이 프로그램만을 대상으로 공격을 시도하고 실행 파일을 감염시키는 행위를 하지는 않습니다. 따라서 개발프로그램이 설치되어있지 않은 사용자들의 경우 감염 증상이 나타나지 않습니다. 감염 방식 또한 일반적인 파일 바이러스와 차이가 있습니다. 일반적인 파일 바이러스는 공격 대상 파일에 직접 악성코드 소스를 삽입하는 형태로 감염을 시키지만 Win32/Induc 바이러스는 델파이 프로그램에서 사용하는 DCU(Delphi Compiled Unit) 중 Sysconst.dcu 파일에 악성코드 소스를 삽입해두고 개발자가…
결재를 요구하는 허위백신 대처하는 방법 2 Posted By ASEC , 2009년 8월 7일 가짜백신을 만들어 돈을 많이 벌었나 봅니다. 2009년 1월 부터 AntiVirus 2009 –> System Security 2010 –> Home AntiVirus 2010, 벌써 세 번째 업데이트네요. 돈벌이가 되니 계속 만들어 내고 있는 거겠죠? 사설이 길었습니다. 계속 살펴보도록 하겠습니다. 사용자의 PC에 쓰레기 파일을 임의 생성시키고 그 파일을 다시 찾아 진단치료하는 과정에서 결재를 요구합니다. 설치되는 파일 정보입니다. hp32_nword.exe (파일명에 차이가 있을 수 있음) : V3 진단명은 Win-Trojan/Reboot.27526 ① 설치경로 : %system% 폴더 , Documents and Settings사용자계정 ② 주요 기능 – 윈도우즈의 중요 시스템 드라이버인 ntfs.sys 를 변경합니다. –> C:WindowsSystem32Driversntfs.sys 를 암호화하여 별도 보관하고 –> 변조된 ntfs.sys(Win32/Ntfs)을 설치해서 악성코드를 지속적으로 다운로드/ 실행 – 메모리상에서 변조된 svchost.exe를 실행 , 개인 정보(FTP 계정 정보등등)를 외부로 유출합니다. braviax.exe : V3 진단명은 Win-Trojan/Downloader.9216.OJ ① 설치경로 : %system% 및 %windows% 폴더…
결재를 요구하는 허위백신 대처하는 방법 1 Posted By ASEC , 2009년 8월 7일 이걸로 돈을 벌 수 있을까? FakeAV라 칭하는 돈벌이용 백신들이 한동안 잠잠하다가 제목을 바꾸고 기능을 업데이트하여 다시 사용자들을 괴롭히고 있습니다. 오늘은 가장 최근 등장한 Home AntiVirus 2010에 대해 살펴 보고 대처하는 요령에 대해 설명 드리겠습니다. 무엇이 추가 되었나? 2009년 초부터 등장했던 AntiVirus 2009, System Security 2010 과 비교 해 봅니다. – 바탕화면을 변조하여 사용자의 불안감을 조장하는 기능을 없애 신뢰성을 높이려 했습니다. – 윈도우즈의 정상 시스템 파일인 ntfs.sys 파일을 변조하여 악성코드 설치에 활용합니다. – 윈도우즈 방화벽 기능을 해제하고 인터넷익스플로러 시작페이지를 구글로 변경합니다. ( HKLMSOFTWAREMicrosoftInternet ExplorerMainStart ) 자 그럼 본격적으로 살펴볼까요. 감염증상 및 주요기능 감염이 되면 그럴 듯한 프로그램 창이 실행되면서 우측 하단 트레이 아이콘에 '감염경고'가 어김없이 등장합니다. 이쯤되면 사용자들은 당황하기 시작하고 내 PC가 이렇게 감염되었나 한탄하며 치료를 시도합니다. 설상가상으로 치료를…