Conficker 조치 가이드 (2)

3.    Conficker 조치 방법 ————————————————————–   A.    수동 조치 방법(진단불가능) * Win32/Conflicker.worm 변형 수동조치 법   [1] GMER Download : http://www.gmer.net/gmer.zip 에서 툴을 다운로드 받으신 후, 임의의 폴더에 압축을 해제하여 gmer.exe를 실행합니다.   [2] GMER를 실행했을 때 은폐형 파일이 존재할 경우 아래와 같이 메시지가 출력됩니다. 붉은색으로 표시된 부분(svchost.exe에 hidden으로 표시)의 Value 항목에 위치한 값을 확인합니다. (여기서는 Remoteserv) [3] 2번 과정에서 이미 붉은색으로 확인된 내용이 존재하므로, ‘아니오’를 선택합니다.(‘예’를 선택할 경우 Full Scan을 시작하며 많은 시간이 소모됩니다.) 물론 은폐형 파일이라고 해서 모두 악성은 아니며 아래 경우와 동일한 경우에만 수동조치가 필요합니다.   [4] >>> 탭을 클릭하면 숨어있던 탭이 보이게 됩니다.   [5] Registry 탭을 클릭한 후, 아래의 경로를 따라 Services 항목의 하위 키값를 확인합니다. [6] 2번에서 확인된 Value값과 동일한 서비스명을 찾아 하위 Parameter 위치로…

Conficker 조치 가이드 (1)

1. Conficker 개요 ——————————————————————————————————- 해당 악성코드는 윈도우 보안 취약점(MS08-067), 관리공유 및 이동디스크를 통해 빠르게 확산되어 네트워크 자원(랜덤 및 B클래스 IP대역을 대상으로 Remote TCP 445포트로 대량의 트래픽 발생)을 소모시킨다. 추가적으로 진단을 어렵게 하는 기법이 사용되었는데, 악성코드 원본을 Svchost.exe에 Remote Handle(원격핸들)로 오픈하여 실행되며, 악성코드가 등록한 레지스트리 서비스 및 악성파일 원본에 Read권한을 없애 파일/레지스트리에 접근을 불가능하게 한다. 2. Conficker 증상 확인 방법 ——————————————————————————————————-  A. 네트워크를 통한 확인 방법 [주요 증상] – TCP 445 포트로 다량의 트래픽을 발생 – DNS 쿼리를 후킹하여 보안 사이트만 접속되지 않도록 하는 증상 발생 (ex) MS 사이트, ahnlab.com 등   [의심 증상] – 랜덤 및 B클래스 IP대역을 대상으로 Remote TCP 445포트를 통한 대량의 트래픽 발생시키는 시스템 존재   [세부 확인] – 의심 증상이 발생되는 시스템에서 패킷 덤프를 저장한 후…

안전모드 부팅 및 안전모드 부팅 후 V3로 시스템 검사하기

안전모드로 부팅 및 안전모드 부팅 상태에서 V3로 시스템을 검사하는 방법에 대해 안내해 드립니다.  1. 안전모드 부팅 안전모드 부팅하는 방법은 시스템 시작할 때 (PC 전원이 켜졌을 때) F8 번 키를 계속 누르시면 (0.5초 간격) 아래 그림과 같이 Windows 고급 옵션 메뉴 화면으로 넘어가게 됩니다. 아래 화면에서 “안전 모드(네트워킹 사용)” 모드를 선택하여 부팅을 합니다. 아래 그림에서의 확인창이 팝업되면 “확인”을 누르시고 다음 단계로 넘어가십니다. 2. 안전모드 부팅 후 V3로 시스템 검사하기 * “안전모드 부팅 후 V3로 시스템 검사하기” 는 안전모드 후 추가적으로 시스템을 검사하실 고객께서만 참조해 주시기 바랍니다. 위에서 설명해 드린 안전모드 부팅 밥번을 참조하시어 안전모드로 부팅하시고 V3 를 실행하신 후 시스템을 검사해 주시면 되겠습니다. 각각의 제품 별로 안전모드 상에서 V3로 시스템을 검사하는 아래 캡쳐 화면을 참고해 주시기 바랍니다. [V3 IS 8.0 제품] [V3 IS 7.0 제품] [V3 Lite 제품]