Win32/Bredolab 류로 인한 네트워크 트레픽 유발 가이드

1. 서론 최근 다수의 시스템에서 네트워크 트래픽을 유발하는 악성코드가 확인 되어 가이드를 작성합니다. 2. 악성코드 감염 증상 해당 악성코드에 감염이 되면 다수의 파일을 다운로드 및 드랍하여 지속적인 재감염 및 네트워크 트래픽을 유발하여 네트워크 장애 및 시스템 리소스를 고갈 시킵니다. 네트워크 트래픽의 대부분은 스팸메일 발송으로 V3 제품이 설치된 시스템이라면 아래와 같은 메시지를 확인할 수 있습니다. 3. 악성코드 감염 시 생성되는 파일 및 레지스트리 3. 1 파일 대표적으로 아래와 같은 파일을 생성하며 해당 파일 외 다수의 파일이 있습니다. C:RECYCLERS-1-5-21-4023274132-7382142363-650398018-2867(임의의 폴더명)wnzip32.exe C:RECYCLERS-1-5-21-0243936033-3052116371-381863308-1811(임의의 폴더명)vsbntlo.exe C:Documents and SettingsAdministratorLocal SettingsTempinit.exe C:bdxcphif.exe, C:hfhhhml.exe, C:uipcafn.exe 등의 임의의 파일명 C:windowssystem32notepad.exe C:WINDOWSsystem32regedit.exe C:WINDOWSsystem32imPlayok.exe C:Documents and SettingsAdministratorimPlayok.exe C:program fileswindows ntdialer.exe C:program fileswindows ntpinballpinball.exe 3. 2 레지스트리 시작 프로그램에 등록하기 위해 아래와 같은 레지스트리 값을 추가 합니다. HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonTaskman “C:RECYCLERS-1-5-21-4023274132-7382142363-650398018-2867(임의의 폴더명)wnzip32.exe” HKLMSOFTWAREMicrosoftWindows…

로그인, 로그오프 무한 반복 증상!

악성코드 감염 혹은 치료 후 윈도우 로그인 시 암호를 입력하여 로그인 하거나 암호 입력 없이 로그인 중 계속해서 시스템이 정상적으로 부팅이 되지 않고 로그오프이 되는 증상이 있는 경우 해당 포스팅을 참고하시기 바랍니다. 최근 악성코드 중 아래의 윈도우 레지스트리 값을 변경하는 악성코드가 많이 있습니다. 기본값은 아래값과 같습니다. 하지만 악성코드로 인해 아래 값이 아닌 엉뚱한 값으로 변경이 되는 경우 윈도우가 정상적인 진입이 불가능한 경우가 종종 생깁니다. [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] “Userinit”=”C:\Windows\system32\userinit.exe,” 이러한 증상은 해당 레지스트에 등록된 악성코드의 파일을 삭제 후, 해당 레지스트리 값을 정상적으로 고쳐주지 않고 재부팅을 하게 되는 경우 발생합니다. 최근 이러한 문제가 자주 발생하고 있는데 이러한 이유는 안티바이러스(백신) 제품을 중복하여 사용하거나 악성코드 치료 도중 강제로 재부팅을 하는 경우 발생하는 것으로 추측하고 있습니다. 따라서 위와 같은 증상이 나타난다면 아래 조치방법대로 해보시기 바랍니다. 1)…

인터넷 페이지를 표시할 수 없습니다. :: Internet Security 2010

최근 DHL메일을 가장한 스팸메일이 지속적으로 유포되고 있습니다. 이 스팸메일에는 DHL로 시작하는 악성파일이 첨부되어 있으며 주로 문서파일 아이콘으로 보여 사용자를 속이고 실행시키도록 유도를 합니다. 자세한 내용은 “악성 스팸 경고” 카테고리에 관련 글들이 많으니 참조해 주세요. Internet Security 2010 은 다른 FakeAV와 유사한 동작을 하는데 한가지 특이점이 있어 알려드리겠습니다. < Fig 2. Internet Security 2010 > 생성되는 악성파일 중 C:winodowssystem32helper32.dll 파일을 삭제한 후 레지스트리 값을 수정하지 않았을 경우 아래와 같이 인터넷 페이지 오류가 발생하게 됩니다. < Fig 2. 인터넷 페이지 오류 > Internet Security 2010은 Fig 3.의 정상 레지스트리 값을 Fig 4. 의 레지스트리 값으로 변경하기 때문에 네트워크와 관련된 응용프로그램에서도 오류가 발생하게 됩니다. HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWinSock2ParametersProtocol_Catalog9Catalog_Entries000000000001 하이브 로드를 하였기 때문에 .reg 파일을 노트패드 등의 에디터로 열어보면 하이브 로드 시 입력하였던 키 이름으로 경로가 설정되어 있는 것을 확인할 수…

게임 계정 탈취. OnlineGameHack [Cyban] 조치가이드

이번 포스트에서는 최근들어 급증하고 있는 온라인게임핵(Cyban) 의 증상과 조치방법에 대해 살펴보겠습니다. ◆ 증 상 특정 사이트에서 악성코드를 다운로드+드랍하고 아래와 같은 동작들을 수행합니다.  < 캡쳐된 패킷 > 1. 온라인게임사이트 계정정보 탈취 – 악성코드는 인터넷익스플로러에 인젝션되어 아래 그림과 같이 하드코딩된 특정 게임사이트의 목록에서 쿠키값(ID,PW 등)을 노립니다.   < 게임사이트 목록 > …. …. var b=LOGIN.getCookieValue(“CAT”);if(b.length>0){var a=b.split(“+”);if(a.length>1){return a[1];}}return”2″; …. …. < 쿠키값 탈취하는 코드의 일부 > 2. 키보드로깅 – 악성코드는 실행중인 프로세스에 인젝션되어 Key정보를 후킹합니다.   < dll 인젝션 > 3. Autorun 을 이용한 자동실행 + 확산, File 숨기기  – Autorun 취약점을 이용하여 악성코드를 이동디스크매체를 통해 퍼뜨리고, 자신을 은폐하기 위해 레지스트리를 조작합니다. < inf file내용 > < 탐색기-숨김폴더보기 레지스트리 + 부팅실행 레지스트리 > 4. 안티바이러스를 무력화시키는 AV Kill  – 아래 그림과 같이 A.V(안티바이러스) 프로세스들의 이름들이…

For the owner of the 메일주소 mailbox

최근 보안 업데이트를 위장한 악성코드가 삽입된 스팸메일이 유포되고 있으니 주의하시기 바랍니다. 제목 : For the owner of the 메일주소 mailbox Dear user of the 주소 mailing service! We are informing you that because of the security upgrade of the mailing service your mailbox (메일주소) settings were changed. In order to apply the new set of settings click on the following link: http://주소/owa/service_directory/settings.php?email=메일주소&from=주소&fromname=blahblah Best regards, 주소 Technical Support. Letter-ID#P2L0P55YUXII5S3YFR6YONGBQQP8BO81Y 위 메일에 링크된 주소로 접속을 하게되면 아래와 같은 화면이 나타나며 가운데 첨부된 파일을 실행할 경우 악성코드에 감염되게 됩니다. 현재 V3 제품에서는 Win-Trojan/Injector.130048.D 진단명으로 진단 및 치료가 가능합니다. 항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신)…