악성코드 정보

Internet Explorer 6 장례식 거행

인터넷 익스플로러 6의 장례식 사이트가 만들어 졌다고 합니다. http://ie6funeral.com/ 해당 사이트에는 인터넷 익스플로러 6의 사망원인은 최근 발생한 Aurora Exploit 으로 알려진 구글 해킹이 원인이며 자식으로 Internet Explorer 7, 8 을 남겼다고 설명하고 있습니다. 최근 구글 해킹사건과 맞물려 독일 및 프랑스 정부에서는 Internet Explorer 사용을 금지하기도 하였습니다. 이번 기회에 아직까지 Internet Explorer 6버젼을 사용하고 계신다면 제일 최신인 8 버젼으로 업데이트를 권장 합니다. 아니면 최근 급속도로 웹브라우져 점유율을 올리고 있는 파이어폭스나 구글 크롬 브라우져를 이용해 보시는건 어떠신가요?Internet Explorer 8 : http://www.microsoft.com/korea/windows/internet-explorer/default.aspxMozilla Firefox : http://www.mozilla.or.krGoogle Chrome : http://www.google.com/chrome

작업표시줄이 나타나지 않는 증상

최근 악성코드 치료 후 시스템 재부팅 시 백신 제품의 작동 방해 및 윈도우 작업 표시줄이 한참동안 나타나지 않는 증상이 있는 시스템이 있어 안내 드립니다. 해당 악성코드는 다수의 드라이버 파일을 생성 및 패치 시켜 국내 백신 제품의 작동을 방해하게 됩니다. 현재 V3 제품은 엔진 업데이트 시 주요 파일이 변조되면 복구를 하므로 걱정하지 않으셔도 됩니다. 그리고 작업표시줄이 나타나지 않는 현상은 악성코드가 등록한 드라이버가 정상적으로 로드되지 않아 나타나는 증상으로 추측되며 조치는 아래와 같이 하시기 바랍니다. 1. 작업표시줄이 나타나지 않으므로 [윈도우키 + R키]를 눌러 실행창을 엽니다. 2. 실행창에 “control”을 입력 후 [확인] 버튼을 누릅니다. 3. 제어판이 나타나면 [시스템] 항목으로 이동합니다. 4. 시스템 항목에서 [하드웨어] 탭으로 이동하여 [장치 관리자]를 선택 합니다. 5. 아래와 같이 장치관리자가 나타나면 [사운드, 비디오 및 게임 컨터롤러] 항목에서 아래와 같이 경고 표시가 있는지…

폴더가 바로가기 아이콘으로 : ADS 형태로 실행되는 VBS/Autorun

최근 ADS(Alternate Data Stream)의 형태로 실행되는 VBS/Autorun 악성코드의 감염에 의한 피해가 꾸준히 발생되고 있습니다.   ADS(Alternate Data Stream)에 대한 정보는 아래의 링크를 참조하시기 바랍니다. 링크 : NTFS 파일 시스템의 숨겨진 영역 1. 감염증상 – 각 루트 드라이브(C:, D:, …)의 폴더들이 ‘바로가기’ 파일의 형태로 확인   – 바탕화면의 [내 컴퓨터]를 실행하여도 반응이 없음 – 레지스트리 편집기(Regedit.exe) 툴이 실행 후 바로 종료되는 등의 증상 발생 2. 생성파일 및 레지스트리 정보 – 아래의 파일이 생성 각 루트 드라이브에 [10자리 숫자].vbs, autorun.inf %Windir%explorer.exe:[10자리 숫자].vbs %Systemroot%system32 smss.exe:[10자리 숫자].vbs – 레지스트리 정보 bat, chm, cmd, hlp, inf, ini, reg, txt 파일들에 대한 연결 파일 변경 등 3. 조치방법  위의 증상을 포함하는 악성코드에 감염된 경우, 각종 레지스트리 값의 변경으로 인해 사용자들께서 수동으로 조치하기에는 어려움이 있을 것으로 판단됩니다….

updated account agreement

“updated account agreement” 메일 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있습니다. 첨부된 파일의 파일명은 agreement.exe이며 해당 스팸메일의 본문은 아래와 같습니다. Dear Facebook user, Due to Facebook policy changes, all Facebook users must submit a new, updated account agreement, regardless of their original account start date. Accounts that do not submit the updated account agreement by the deadline will have restricted. Please unzip the attached file and run “agreement.exe” by double-clicking it. Thanks, The Facebook Team 첨부된 파일을 실행할 경우 아래 그림과 같이 SecurityTool이라는 허위 백신이 실행되게 됩니다. 현재 V3에서 아래와 같이 진단하고 있습니다. agreement.exe   – Win-Trojan/Agent.19968.TB(V3추가) 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에…

로그인, 로그오프 무한 반복 증상!

악성코드 감염 혹은 치료 후 윈도우 로그인 시 암호를 입력하여 로그인 하거나 암호 입력 없이 로그인 중 계속해서 시스템이 정상적으로 부팅이 되지 않고 로그오프이 되는 증상이 있는 경우 해당 포스팅을 참고하시기 바랍니다. 최근 악성코드 중 아래의 윈도우 레지스트리 값을 변경하는 악성코드가 많이 있습니다. 기본값은 아래값과 같습니다. 하지만 악성코드로 인해 아래 값이 아닌 엉뚱한 값으로 변경이 되는 경우 윈도우가 정상적인 진입이 불가능한 경우가 종종 생깁니다. [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] “Userinit”=”C:\Windows\system32\userinit.exe,” 이러한 증상은 해당 레지스트에 등록된 악성코드의 파일을 삭제 후, 해당 레지스트리 값을 정상적으로 고쳐주지 않고 재부팅을 하게 되는 경우 발생합니다. 최근 이러한 문제가 자주 발생하고 있는데 이러한 이유는 안티바이러스(백신) 제품을 중복하여 사용하거나 악성코드 치료 도중 강제로 재부팅을 하는 경우 발생하는 것으로 추측하고 있습니다. 따라서 위와 같은 증상이 나타난다면 아래 조치방법대로 해보시기 바랍니다. 1)…