Internet Explorer 6 장례식 거행

인터넷 익스플로러 6의 장례식 사이트가 만들어 졌다고 합니다. http://ie6funeral.com/ 해당 사이트에는 인터넷 익스플로러 6의 사망원인은 최근 발생한 Aurora Exploit 으로 알려진 구글 해킹이 원인이며 자식으로 Internet Explorer 7, 8 을 남겼다고 설명하고 있습니다. 최근 구글 해킹사건과 맞물려 독일 및 프랑스 정부에서는 Internet Explorer 사용을 금지하기도 하였습니다. 이번 기회에 아직까지 Internet Explorer 6버젼을 사용하고 계신다면 제일 최신인 8 버젼으로 업데이트를 권장 합니다. 아니면 최근 급속도로 웹브라우져 점유율을 올리고 있는 파이어폭스나 구글 크롬 브라우져를 이용해 보시는건 어떠신가요?Internet Explorer 8 : http://www.microsoft.com/korea/windows/internet-explorer/default.aspxMozilla Firefox : http://www.mozilla.or.krGoogle Chrome : http://www.google.com/chrome

작업표시줄이 나타나지 않는 증상

최근 악성코드 치료 후 시스템 재부팅 시 백신 제품의 작동 방해 및 윈도우 작업 표시줄이 한참동안 나타나지 않는 증상이 있는 시스템이 있어 안내 드립니다. 해당 악성코드는 다수의 드라이버 파일을 생성 및 패치 시켜 국내 백신 제품의 작동을 방해하게 됩니다. 현재 V3 제품은 엔진 업데이트 시 주요 파일이 변조되면 복구를 하므로 걱정하지 않으셔도 됩니다. 그리고 작업표시줄이 나타나지 않는 현상은 악성코드가 등록한 드라이버가 정상적으로 로드되지 않아 나타나는 증상으로 추측되며 조치는 아래와 같이 하시기 바랍니다. 1. 작업표시줄이 나타나지 않으므로 [윈도우키 + R키]를 눌러 실행창을 엽니다. 2. 실행창에 “control”을 입력 후 [확인] 버튼을 누릅니다. 3. 제어판이 나타나면 [시스템] 항목으로 이동합니다. 4. 시스템 항목에서 [하드웨어] 탭으로 이동하여 [장치 관리자]를 선택 합니다. 5. 아래와 같이 장치관리자가 나타나면 [사운드, 비디오 및 게임 컨터롤러] 항목에서 아래와 같이 경고 표시가 있는지…

폴더가 바로가기 아이콘으로 : ADS 형태로 실행되는 VBS/Autorun

최근 ADS(Alternate Data Stream)의 형태로 실행되는 VBS/Autorun 악성코드의 감염에 의한 피해가 꾸준히 발생되고 있습니다.   ADS(Alternate Data Stream)에 대한 정보는 아래의 링크를 참조하시기 바랍니다. 링크 : NTFS 파일 시스템의 숨겨진 영역 1. 감염증상 – 각 루트 드라이브(C:, D:, …)의 폴더들이 ‘바로가기’ 파일의 형태로 확인   – 바탕화면의 [내 컴퓨터]를 실행하여도 반응이 없음 – 레지스트리 편집기(Regedit.exe) 툴이 실행 후 바로 종료되는 등의 증상 발생 2. 생성파일 및 레지스트리 정보 – 아래의 파일이 생성 각 루트 드라이브에 [10자리 숫자].vbs, autorun.inf %Windir%explorer.exe:[10자리 숫자].vbs %Systemroot%system32 smss.exe:[10자리 숫자].vbs – 레지스트리 정보 bat, chm, cmd, hlp, inf, ini, reg, txt 파일들에 대한 연결 파일 변경 등 3. 조치방법  위의 증상을 포함하는 악성코드에 감염된 경우, 각종 레지스트리 값의 변경으로 인해 사용자들께서 수동으로 조치하기에는 어려움이 있을 것으로 판단됩니다….

updated account agreement

“updated account agreement” 메일 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있습니다. 첨부된 파일의 파일명은 agreement.exe이며 해당 스팸메일의 본문은 아래와 같습니다. Dear Facebook user, Due to Facebook policy changes, all Facebook users must submit a new, updated account agreement, regardless of their original account start date. Accounts that do not submit the updated account agreement by the deadline will have restricted. Please unzip the attached file and run “agreement.exe” by double-clicking it. Thanks, The Facebook Team 첨부된 파일을 실행할 경우 아래 그림과 같이 SecurityTool이라는 허위 백신이 실행되게 됩니다. 현재 V3에서 아래와 같이 진단하고 있습니다. agreement.exe   – Win-Trojan/Agent.19968.TB(V3추가) 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에…

Win32/Bredolab 류로 인한 네트워크 트레픽 유발 가이드

1. 서론 최근 다수의 시스템에서 네트워크 트래픽을 유발하는 악성코드가 확인 되어 가이드를 작성합니다. 2. 악성코드 감염 증상 해당 악성코드에 감염이 되면 다수의 파일을 다운로드 및 드랍하여 지속적인 재감염 및 네트워크 트래픽을 유발하여 네트워크 장애 및 시스템 리소스를 고갈 시킵니다. 네트워크 트래픽의 대부분은 스팸메일 발송으로 V3 제품이 설치된 시스템이라면 아래와 같은 메시지를 확인할 수 있습니다. 3. 악성코드 감염 시 생성되는 파일 및 레지스트리 3. 1 파일 대표적으로 아래와 같은 파일을 생성하며 해당 파일 외 다수의 파일이 있습니다. C:RECYCLERS-1-5-21-4023274132-7382142363-650398018-2867(임의의 폴더명)wnzip32.exe C:RECYCLERS-1-5-21-0243936033-3052116371-381863308-1811(임의의 폴더명)vsbntlo.exe C:Documents and SettingsAdministratorLocal SettingsTempinit.exe C:bdxcphif.exe, C:hfhhhml.exe, C:uipcafn.exe 등의 임의의 파일명 C:windowssystem32notepad.exe C:WINDOWSsystem32regedit.exe C:WINDOWSsystem32imPlayok.exe C:Documents and SettingsAdministratorimPlayok.exe C:program fileswindows ntdialer.exe C:program fileswindows ntpinballpinball.exe 3. 2 레지스트리 시작 프로그램에 등록하기 위해 아래와 같은 레지스트리 값을 추가 합니다. HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonTaskman “C:RECYCLERS-1-5-21-4023274132-7382142363-650398018-2867(임의의 폴더명)wnzip32.exe” HKLMSOFTWAREMicrosoftWindows…