Rustock 조치 가이드

1. 증상 및 진단 확인 —————————————————————–   1) 방화벽 등의 보안장비에서 Remote 25번 포트로 트래픽을 발생시키는 시스템을 찾는다.   2) 감염이 의심되는 시스템에서 [시작] – [실행]에서 cmd.exe 를 실행 후, netstat –ano       명령으로 네트워크 연결을 확인한다. Rustock에 감염된 시스템은 Remote TCP 25번       포트로 SYN_SENT 증상을 발생시킨다. 아래와 같이 Ahnreport의 ‘네트워크 연결’ 항목에서도 확인이 가능하다. 2. 증상 발생 시 조치방법 I : 제품 —————————————————————–   제품에서 진단되는 경우 아래 과정으로 조치 수행해야 하며, 두 항목을 함께 진행할 것을   권고함   1) 만일, V3제품으로 진단되는 내용이 없을 경우, 정상모드로 부팅하여 안철수연구소       홈페이지를 통해 Rustock 전용백신으로 다운로드 받아 진단/치료를 수행한다.       (전용백신 다운로드 경로 : http://download.ahnlab.com/vaccine/v3rustock_gen.exe)   2) Rustock의 경우, 진단 무력화 기법을 사용하기 때문에 시스템을 안전모드(네트워크      지원)로 부팅하여 설치된…

Microsoft has released an update for Microsoft Outlook

Win-Trojan/ZBot.99840.D(V3추가)Win-Trojan/ZBot.99840.D(V3추가)Microsoft has released an update for Microsoft Outlook 라는 제목의 스팸메일이 유포되고 있으니 주의 하시기 바랍니다. 스팸메일 내용을 열어보면 아래와 같은 메세지가 나타납니다. Microsoft Outlook / Outlook Express의 보안 업데이트를 가장하여 유포되고 있는 악성코드 입니다. 얼핏보면 마이크로소프트 사에서 공식적으로 배포하는 보안패치 같지만 실제 다운로드 주소는 마이크로소프트 사의 URL이 아닙니다. 현재 V3 제품에서는 해당 파일을 Win-Trojan/ZBot.99840.D 로 진단하고 있습니다. 아래 내용만 숙지하고 지킨다면 스팸메일로 유입되는 악성코드는 예방하실 수 있을거 같습니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다. 4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

DHL service. Please get your parcel. Delivery NR.[숫자]

아래와 같은 문구로 DHL 운송장을 위장한 스팸메일이 유포되니 주의하시기 바랍니다. 제목 : DHL service. Please get your parcel. Delivery NR.[숫자] Dear customer! The courier company was not able to deliver your parcel by your address. Cause: Error in shipping address. You may pickup the parcel at our post office personaly! Please note! The shipping label is attached to this e-mail. Please print this label to get this package at our post office. Thank you for attention. DHL Global Forwarding Services. 첨부파일은 엑셀파일을 위장하고 있지만 실행을 하게 되면 허위 안티바이러스(AV) 프로그램이 설치되니 주의하시기 바랍니다. 아래내용만 늘 숙지하고 지킨다면 스팸메일을 통하여 유포되는 악성코드는 예방하실 수 있으리라 생각됩니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상…

Fedex Tracking [숫자]

아래와 같이 Fedex 운송장을 위장한 스팸메일이 확산되고 있으니 주의하시기 바랍니다. 제목: Fedex Tracking N5421062126 Unfortunately we were not able to deliver postal package you sent on October the 18st in time because the recipient's address is not correct. Please print out the invoice copy attached and collect the package at our office Your UPS 첨부된 파일은 허위 안티바이러스(AV) 프로그램 이므로 실행을 하지 마시기 바랍니다. 현재 V3 제품에서는 아래 진단명으로 해당 파일을 진단하고 있으니 항상 엔진을 최신버젼으로 유지해 주시기 바랍니다. Win-Trojan/FakeAlert.45056 그리고 스팸메일을 통해 확산되는 악성코드는 아래 내용만 잘 지켜주신다면 시스템을 안전하게 지킬수 있을리라 봅니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에 포함된…

Conflicker.B Infection Alert

“Conflicker.B Infection Alert” 라는 제목으로 스팸 메일이 유포 중입니다. 첨부된 파일은 허위백신 인스톨 파일이며 V3에서는 Win-Trojan/Fakeav.Gen 진단명으로 진단을 하고 있습니다. 해당 메일을 수신하셨다면 삭제하시기 바랍니다. 아래는 해당 메일의 본문입니다. Dear Microsoft Customer, Starting 18/10/2009 the ‘Conficker’ worm began infecting Microsoft customers unusually rapidly. Microsoft has been advised by your Internet provider that your network is infected. To counteract further spread we advise removing the infection using an antispyware program. We are supplying all effected Windows Users with a free system scan in order to clean any files infected by the virus. Please install attached file to start the scan. The process takes under a minute and will prevent your files from being compromised. We appreciate your prompt cooperation. Regards, Microsoft…