로그인, 로그오프 무한 반복 증상!

악성코드 감염 혹은 치료 후 윈도우 로그인 시 암호를 입력하여 로그인 하거나 암호 입력 없이 로그인 중 계속해서 시스템이 정상적으로 부팅이 되지 않고 로그오프이 되는 증상이 있는 경우 해당 포스팅을 참고하시기 바랍니다. 최근 악성코드 중 아래의 윈도우 레지스트리 값을 변경하는 악성코드가 많이 있습니다. 기본값은 아래값과 같습니다. 하지만 악성코드로 인해 아래 값이 아닌 엉뚱한 값으로 변경이 되는 경우 윈도우가 정상적인 진입이 불가능한 경우가 종종 생깁니다. [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] “Userinit”=”C:\Windows\system32\userinit.exe,” 이러한 증상은 해당 레지스트에 등록된 악성코드의 파일을 삭제 후, 해당 레지스트리 값을 정상적으로 고쳐주지 않고 재부팅을 하게 되는 경우 발생합니다. 최근 이러한 문제가 자주 발생하고 있는데 이러한 이유는 안티바이러스(백신) 제품을 중복하여 사용하거나 악성코드 치료 도중 강제로 재부팅을 하는 경우 발생하는 것으로 추측하고 있습니다. 따라서 위와 같은 증상이 나타난다면 아래 조치방법대로 해보시기 바랍니다. 1)…

인터넷 페이지를 표시할 수 없습니다. :: Internet Security 2010

최근 DHL메일을 가장한 스팸메일이 지속적으로 유포되고 있습니다. 이 스팸메일에는 DHL로 시작하는 악성파일이 첨부되어 있으며 주로 문서파일 아이콘으로 보여 사용자를 속이고 실행시키도록 유도를 합니다. 자세한 내용은 “악성 스팸 경고” 카테고리에 관련 글들이 많으니 참조해 주세요. Internet Security 2010 은 다른 FakeAV와 유사한 동작을 하는데 한가지 특이점이 있어 알려드리겠습니다. < Fig 2. Internet Security 2010 > 생성되는 악성파일 중 C:winodowssystem32helper32.dll 파일을 삭제한 후 레지스트리 값을 수정하지 않았을 경우 아래와 같이 인터넷 페이지 오류가 발생하게 됩니다. < Fig 2. 인터넷 페이지 오류 > Internet Security 2010은 Fig 3.의 정상 레지스트리 값을 Fig 4. 의 레지스트리 값으로 변경하기 때문에 네트워크와 관련된 응용프로그램에서도 오류가 발생하게 됩니다. HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWinSock2ParametersProtocol_Catalog9Catalog_Entries000000000001 하이브 로드를 하였기 때문에 .reg 파일을 노트패드 등의 에디터로 열어보면 하이브 로드 시 입력하였던 키 이름으로 경로가 설정되어 있는 것을 확인할 수…

게임 계정 탈취. OnlineGameHack [Cyban] 조치가이드

이번 포스트에서는 최근들어 급증하고 있는 온라인게임핵(Cyban) 의 증상과 조치방법에 대해 살펴보겠습니다. ◆ 증 상 특정 사이트에서 악성코드를 다운로드+드랍하고 아래와 같은 동작들을 수행합니다.  < 캡쳐된 패킷 > 1. 온라인게임사이트 계정정보 탈취 – 악성코드는 인터넷익스플로러에 인젝션되어 아래 그림과 같이 하드코딩된 특정 게임사이트의 목록에서 쿠키값(ID,PW 등)을 노립니다.   < 게임사이트 목록 > …. …. var b=LOGIN.getCookieValue(“CAT”);if(b.length>0){var a=b.split(“+”);if(a.length>1){return a[1];}}return”2″; …. …. < 쿠키값 탈취하는 코드의 일부 > 2. 키보드로깅 – 악성코드는 실행중인 프로세스에 인젝션되어 Key정보를 후킹합니다.   < dll 인젝션 > 3. Autorun 을 이용한 자동실행 + 확산, File 숨기기  – Autorun 취약점을 이용하여 악성코드를 이동디스크매체를 통해 퍼뜨리고, 자신을 은폐하기 위해 레지스트리를 조작합니다. < inf file내용 > < 탐색기-숨김폴더보기 레지스트리 + 부팅실행 레지스트리 > 4. 안티바이러스를 무력화시키는 AV Kill  – 아래 그림과 같이 A.V(안티바이러스) 프로세스들의 이름들이…

For the owner of the 메일주소 mailbox

최근 보안 업데이트를 위장한 악성코드가 삽입된 스팸메일이 유포되고 있으니 주의하시기 바랍니다. 제목 : For the owner of the 메일주소 mailbox Dear user of the 주소 mailing service! We are informing you that because of the security upgrade of the mailing service your mailbox (메일주소) settings were changed. In order to apply the new set of settings click on the following link: http://주소/owa/service_directory/settings.php?email=메일주소&from=주소&fromname=blahblah Best regards, 주소 Technical Support. Letter-ID#P2L0P55YUXII5S3YFR6YONGBQQP8BO81Y 위 메일에 링크된 주소로 접속을 하게되면 아래와 같은 화면이 나타나며 가운데 첨부된 파일을 실행할 경우 악성코드에 감염되게 됩니다. 현재 V3 제품에서는 Win-Trojan/Injector.130048.D 진단명으로 진단 및 치료가 가능합니다. 항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신)…

UPS Delivery Problem NR.숫자

최근 택배와 관련된 메세지를 이용하여 악성코드를 전파하고 있는 스팸메일이 발견되어 포스팅 합니다. 제목 : UPS Delivery Problem NR.숫자 Hello! We failed to deliver your postal package which was sent on the 13th of July in time because the addressee's address is erroneous. Please print out the invoice copy attached and collect the package at our office. United Parcel Service of America. 위와 같은 메일에 아래와 같이 엑셀 아이콘의 실행파일이 첨부되어 있다면 해당 파일을 실행하지 마시기 바랍니다. 현재 해당 파일은 V3 제품군에서 Dropper/Malware.36352.Y 진단명으로 진단하고 있습니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다….