updated account agreement

“updated account agreement” 메일 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있습니다. 첨부된 파일의 파일명은 agreement.exe이며 해당 스팸메일의 본문은 아래와 같습니다. Dear Facebook user, Due to Facebook policy changes, all Facebook users must submit a new, updated account agreement, regardless of their original account start date. Accounts that do not submit the updated account agreement by the deadline will have restricted. Please unzip the attached file and run “agreement.exe” by double-clicking it. Thanks, The Facebook Team 첨부된 파일을 실행할 경우 아래 그림과 같이 SecurityTool이라는 허위 백신이 실행되게 됩니다. 현재 V3에서 아래와 같이 진단하고 있습니다. agreement.exe   – Win-Trojan/Agent.19968.TB(V3추가) 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에…

Win32/Bredolab 류로 인한 네트워크 트레픽 유발 가이드

1. 서론 최근 다수의 시스템에서 네트워크 트래픽을 유발하는 악성코드가 확인 되어 가이드를 작성합니다. 2. 악성코드 감염 증상 해당 악성코드에 감염이 되면 다수의 파일을 다운로드 및 드랍하여 지속적인 재감염 및 네트워크 트래픽을 유발하여 네트워크 장애 및 시스템 리소스를 고갈 시킵니다. 네트워크 트래픽의 대부분은 스팸메일 발송으로 V3 제품이 설치된 시스템이라면 아래와 같은 메시지를 확인할 수 있습니다. 3. 악성코드 감염 시 생성되는 파일 및 레지스트리 3. 1 파일 대표적으로 아래와 같은 파일을 생성하며 해당 파일 외 다수의 파일이 있습니다. C:RECYCLERS-1-5-21-4023274132-7382142363-650398018-2867(임의의 폴더명)wnzip32.exe C:RECYCLERS-1-5-21-0243936033-3052116371-381863308-1811(임의의 폴더명)vsbntlo.exe C:Documents and SettingsAdministratorLocal SettingsTempinit.exe C:bdxcphif.exe, C:hfhhhml.exe, C:uipcafn.exe 등의 임의의 파일명 C:windowssystem32notepad.exe C:WINDOWSsystem32regedit.exe C:WINDOWSsystem32imPlayok.exe C:Documents and SettingsAdministratorimPlayok.exe C:program fileswindows ntdialer.exe C:program fileswindows ntpinballpinball.exe 3. 2 레지스트리 시작 프로그램에 등록하기 위해 아래와 같은 레지스트리 값을 추가 합니다. HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonTaskman “C:RECYCLERS-1-5-21-4023274132-7382142363-650398018-2867(임의의 폴더명)wnzip32.exe” HKLMSOFTWAREMicrosoftWindows…

로그인, 로그오프 무한 반복 증상!

악성코드 감염 혹은 치료 후 윈도우 로그인 시 암호를 입력하여 로그인 하거나 암호 입력 없이 로그인 중 계속해서 시스템이 정상적으로 부팅이 되지 않고 로그오프이 되는 증상이 있는 경우 해당 포스팅을 참고하시기 바랍니다. 최근 악성코드 중 아래의 윈도우 레지스트리 값을 변경하는 악성코드가 많이 있습니다. 기본값은 아래값과 같습니다. 하지만 악성코드로 인해 아래 값이 아닌 엉뚱한 값으로 변경이 되는 경우 윈도우가 정상적인 진입이 불가능한 경우가 종종 생깁니다. [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] “Userinit”=”C:\Windows\system32\userinit.exe,” 이러한 증상은 해당 레지스트에 등록된 악성코드의 파일을 삭제 후, 해당 레지스트리 값을 정상적으로 고쳐주지 않고 재부팅을 하게 되는 경우 발생합니다. 최근 이러한 문제가 자주 발생하고 있는데 이러한 이유는 안티바이러스(백신) 제품을 중복하여 사용하거나 악성코드 치료 도중 강제로 재부팅을 하는 경우 발생하는 것으로 추측하고 있습니다. 따라서 위와 같은 증상이 나타난다면 아래 조치방법대로 해보시기 바랍니다. 1)…

인터넷 페이지를 표시할 수 없습니다. :: Internet Security 2010

최근 DHL메일을 가장한 스팸메일이 지속적으로 유포되고 있습니다. 이 스팸메일에는 DHL로 시작하는 악성파일이 첨부되어 있으며 주로 문서파일 아이콘으로 보여 사용자를 속이고 실행시키도록 유도를 합니다. 자세한 내용은 “악성 스팸 경고” 카테고리에 관련 글들이 많으니 참조해 주세요. Internet Security 2010 은 다른 FakeAV와 유사한 동작을 하는데 한가지 특이점이 있어 알려드리겠습니다. < Fig 2. Internet Security 2010 > 생성되는 악성파일 중 C:winodowssystem32helper32.dll 파일을 삭제한 후 레지스트리 값을 수정하지 않았을 경우 아래와 같이 인터넷 페이지 오류가 발생하게 됩니다. < Fig 2. 인터넷 페이지 오류 > Internet Security 2010은 Fig 3.의 정상 레지스트리 값을 Fig 4. 의 레지스트리 값으로 변경하기 때문에 네트워크와 관련된 응용프로그램에서도 오류가 발생하게 됩니다. HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWinSock2ParametersProtocol_Catalog9Catalog_Entries000000000001 하이브 로드를 하였기 때문에 .reg 파일을 노트패드 등의 에디터로 열어보면 하이브 로드 시 입력하였던 키 이름으로 경로가 설정되어 있는 것을 확인할 수…

게임 계정 탈취. OnlineGameHack [Cyban] 조치가이드

이번 포스트에서는 최근들어 급증하고 있는 온라인게임핵(Cyban) 의 증상과 조치방법에 대해 살펴보겠습니다. ◆ 증 상 특정 사이트에서 악성코드를 다운로드+드랍하고 아래와 같은 동작들을 수행합니다.  < 캡쳐된 패킷 > 1. 온라인게임사이트 계정정보 탈취 – 악성코드는 인터넷익스플로러에 인젝션되어 아래 그림과 같이 하드코딩된 특정 게임사이트의 목록에서 쿠키값(ID,PW 등)을 노립니다.   < 게임사이트 목록 > …. …. var b=LOGIN.getCookieValue(“CAT”);if(b.length>0){var a=b.split(“+”);if(a.length>1){return a[1];}}return”2″; …. …. < 쿠키값 탈취하는 코드의 일부 > 2. 키보드로깅 – 악성코드는 실행중인 프로세스에 인젝션되어 Key정보를 후킹합니다.   < dll 인젝션 > 3. Autorun 을 이용한 자동실행 + 확산, File 숨기기  – Autorun 취약점을 이용하여 악성코드를 이동디스크매체를 통해 퍼뜨리고, 자신을 은폐하기 위해 레지스트리를 조작합니다. < inf file내용 > < 탐색기-숨김폴더보기 레지스트리 + 부팅실행 레지스트리 > 4. 안티바이러스를 무력화시키는 AV Kill  – 아래 그림과 같이 A.V(안티바이러스) 프로세스들의 이름들이…