Redirected Hostfile Entries 진단명 해결 방법

Redirected Hostfile Entries 진단명은 윈도우의 hosts 파일이 변조되었을 시 나타나는 진단명 입니다. 해결 방법은 아래 설명 드리는 대로 수정을 권해 드립니다. 1) 내컴퓨터를 켠 후 C:WINDOWSsystem32driversetc 로 이동합니다. 2) [시작] – [모든 프로그램] – [보조프로그램]에서 메모장(notepad.exe)을 실행합니다. 3) hosts 파일을 마우스로 선택 후 드래그 앤 드롭으로 메모장에서 열도록 합니다. 4) 127.0.0.1 localhost 로 입력되어 있는 부분을 제외한 모든 내용을 삭제하신 후 저장합니다. (내용 추가) 위에 안내해 드린대로 한 후 파일이 저장이 안된다면 아래 안내해 드리는 방법대로 해주시기 바랍니다. [시작] – [실행] – [cmd] 라고 입력 후 [확인] 버튼을 눌러 실행된 검은 콘솔 창에서 아래 명령어를 실행시켜 주시기 바랍니다. attrib -r -s -h C:WINDOWSsystem32driversetchosts 그리고 저장을 해보시기 바랍니다.

Win32/Induc 안내 및 조치 가이드

1. 개 요 Win32/Induc 바이러스는 볼랜드사에서 제작한 델파이 프로그램의 일부 버전(Delphi4~7)에서 사용하는 특정 라이브러리(Sysconst)가 감염된 후 컴파일 과정에서 생성되는 EXE, DLL 등에 바이러스 코드를 삽입하는 기법을 사용하는 피라미드형 바이러스 입니다. 현재 국내에서 델파이로 제작된 다양한 프로그램들이 해당 악성코드에 감염된 상태로 배포되고 있으므로 주의가 필요합니다. 2. 분석 정보 2.1 감염방법 Win32/Induc 바이러스는 델파이로 제작된 파일에 악성코드 소스가 삽입된 형태로 동작합니다. 그러나 일반적인 파일 바이러스와 달리 델파이 프로그램만을 대상으로 공격을 시도하고 실행 파일을 감염시키는 행위를 하지는 않습니다. 따라서 개발프로그램이 설치되어있지 않은 사용자들의 경우 감염 증상이 나타나지 않습니다. 감염 방식 또한 일반적인 파일 바이러스와 차이가 있습니다. 일반적인 파일 바이러스는 공격 대상 파일에 직접 악성코드 소스를 삽입하는 형태로 감염을 시키지만 Win32/Induc 바이러스는 델파이 프로그램에서 사용하는 DCU(Delphi Compiled Unit) 중 Sysconst.dcu 파일에 악성코드 소스를 삽입해두고 개발자가…

은폐된 악성파일 수집 및 삭제 방법(Gmer)

악성코드는 시스템에서 오랜기간 생존하기 위해 보안 제품에 탐지 및 제거되지 않으려 다양한 방법을 사용합니다. 이러한 방법중 루트킷(RootKit) 을 이용하여 파일을 은폐하는 방법이 있습니다. [루트킷(RootKit)] 시스템의 루트(Root) 권한을 얻는 도구(Kit), 루트킷을 사용하여 파일을 은폐하거나 쉽게 삭제할 수 없도록 할 수 있습니다. 은폐된 파일을 윈도우의 작업 관리자 창과 같이 일반적인 방법으로 확인할 수 없기 때문에 안티-루트킷 툴(Anti-RootKit Tool)을 사용해야 합니다. 이 글에서는 안티-루트킷 툴 중에서 GMER를 사용하여 은폐된 파일을 수집하고 삭제하는 방법에 대해서 알아보겠습니다. 시작에 앞서, 아래의 주소에서 GMER Application을 다운로드 하실 수 있습니다. [GMER 다운로드 안내] * GMER 공식 홈페이지 : http://www.gmer.net * GMER Application 다운로드 : http://www2.gmer.net/gmer.zip GMER을 실행시켰을 때 은폐된 파일이 존재할 경우 아래와 같은 메세지박스가 출력됩니다. 그리고 은폐된 파일은 빨간색 글씨로 출력됩니다. 아래와 같은 메세지박스가 출력되면 “아니오“를 클릭하고 계속 진행하겠습니다. 우선 상기의 빨간색으로 표시된 은폐된 파일은…

의심파일 수집 방법(IceSword)

1) 아래의 파일을 임의의 폴더에 다운로드 받아 압축을 해제합니다. [IceSword 다운로드 (클릭)]2) 다운로드 받은 파일의 압축을 풉니다.3) IceSword.exe를 실행합니다. 3) 왼쪽의 [File]을 클릭합니다. 4) 의심파일이 위치한 경로로 이동하여 파일을 찾습니다. 예를 들어 의심파일 경로가 C:WindowsSystem32Malware.exe 라면 아래와 같이 찾으시면 됩니다. 5) 해당 파일을 마우스 오른쪽 클릭 후, [Copy to..]를 클릭하고 임의의 폴더에 저장합니다. 7) 저장한 의심파일은 [바이러스신고센터 (클릭)]로 보내주시면 빠르게 확인후 답변드리도록 하겠습니다.8) 그 외 해당 파일을 삭제를 원하실 경우 다시 마우스 오른쪽 클릭 후, [force delete]를 클릭합니다. 끝으로 해당 프로그램 실행 시 오류로 인해 실행이 되지 않는다면 http://asec.ahnlab.com/23 페이지를 참고하시어 다른 프로그램을 이용해 보시기 바랍니다.

악성코드 분석을 방해하는 패킹 (2)

이전 글에 패킹된 파일을 언패킹한 후 메모리 덤프까지 하였습니다. 그럼, 이번 글에서는 IAT를 복구하는 방법을 다뤄보겠습니다. IAT를 복구하는 데 사용될 툴은 ImportRec을 사용하도록 하겠습니다. 우선, “Attach to an Active Process” 옵션으로 올리디버거에 로드된 프로세스를 선택합니다. Attach를 한 후 이전 글에서 찾았던 OEP 값을(00012475) 입력합니다. 이제 “IAT AutoSearch” 버튼을 클릭합니다. 작업이 성공적으로 이루어지면 “Found something”이라는 메세지가 출력됩니다. 상기 메세지가 출력된 후 “Get Imports” 버튼을 클릭하면 1000h에서 1228h 사이의 유효한 import들을 확인할 수 있게 됩니다. 그리고 이전 글에서 Import 테이블을 살펴본 대로 로그 부분을 보시면 6개의 dll들로 부터 import들을 찾은 것을 확인할 수 있습니다. 마지막으로 “Fix Dump”를 클릭한 후 메모리 덤프된 파일을 열어주면 IAT 복원 작업은 마무리가 됩니다. 이전 글과 이번 글의 내용을 정리하자면 아래와 같습니다. 1. 어떤 패커를 사용했는지 체크 2. 언패킹한 후 메모리 덤프 3….