Rootkit을 찾아서~! – IceSword 편

오늘은 Rootkit의 천적(?)이라 할 수 있는 Icesword에 대한 이야기입니다! 여기서 천적이라고 말한 이유는 북경 과학기술 대학교 pjf에서 Rootkit 제거 목적으로 만들었기 때문입니다. 그럼 Rootkit 전담반 Icesword에 대해 알아볼까요~ ▶ 다운로드 IceSword는 구글링을 통해 쉽게 다운 받을 수 있습니다. 제작자의 공식 블로그로 알려져 있으나 현재는 접속이 안되네요 ^^; (http://www.blogcn.com/user17/pjf/index.htm) ▶ 소개 IceSword는 앞서 말씀드린것과 같이 루트킷 제거를 목적으로 만들어진 tool로서 중국어 버전과 영어  버전이 있으며 이 글에서는 1.22버전(영문)으로 진행하도록 하겠습니다. IceSword는 루트킷 분석에 있어 훌륭한 tool임에는 틀림이 없지만 그 에 앞서 많은 학습이 우선되어야 합니다. 별도의 백업을 하는 방법이 존재하지 않기 때문입니다. 하여 블로그의 취지와 걸맞게 이 글에서는 IceSword의 소개와 각 기능에 대한 대략적인 설명 정도만 다룰 것임을 알려드립니다~^^  ▶ 기능 설명 1)   Process 실행되고 있는 프로세스의 목록을 보여주며 파일주소, 숨겨진 프로세스까지 확인되는데요. 이 기능을 사용하여 프로세스들을 쉽게 제거 할 수…

*도메인* account notification

도메인 계정과 관련된 메일로 위장한 악성코드가 포함된 스팸메일이 많이 접수되고 있으니 주의하시기 바랍니다. 메일 제목 및 내용은 아래와 같습니다. 제목: *도메인* account notification Dear Customer, This e-mail was send by *도메인* to notify you that we have temporanly prevented access to your account. We have reasons to beleive that your account may have been accessed by someone else. Please run attached file and Follow instructions (C) *도메인* 위 제목 및 메일의 내용에서 *도메인* 으로 표시한 부분은 사용하시는 메일 주소에의 @ 이하의 주소가 나타나게 됩니다. 예를 들어서 blahblah@ahnlab.com 이라는 메일 주소로 해당 스팸 메일을 받게 되면 *도메인* 부분은 ahnlab.com 으로 나타나게 됩니다. 따라서 본인의 회사 혹은 이메일을 서비스를 받는 사이트에서 보낸 것으로 착각을 할 수 있으니 주의를 해야 합니다. 그리고 위…

sysinternals에서 배포하는 작지만 강한 tool (1) – whois 편

오늘은 sysinternals에서 무료로 배포하는 tool중 whois라는 아주 간단한 프로그램에 대해 알아보겠습니다. whois는 이 전에도 소개해 한적이 있는 Mark Russinovich의 작품입니다.^^ ▶   다운로드 더보기 접기 http://technet.microsoft.com/en-us/sysinternals/bb897435.aspx 접기 ▶   소개 whois라는 이름만으로도 무엇을 하는 녀석인지 예상이 가듯, 이 녀석은 도메인이름 등록인 및 연락처, 국내 IP 주소의 사용기관 및 연결 ISP에 대한 정보 등을 알려주는 Networking Utilities 입니다. whois는 해당 도메인 이름이 이미 다른 사람에 의해 사용중인지, 아니면 자신이 신청할 수 있는지를 확인하는 용도로도 많이 쓰입니다. 만약, 자기가 생각하고 있는 어떤 도메인 이름을 whois 에 입력했을 때 아래와 같은 메시지가 나오면, 그 도메인은 새로 신청할 수 있는 도메인으로 간주할 수 있습니다. 이런 기능을 이용하면 도메인 신청시 유용하게 쓰일 수 있으며 또 한, 보안측면에서도 해당 도메인의 정보를 알아내는 작업으로 이용할 수도 있겠습니다. 그럼 whois를 통해 관련 정보를 확인해 보도록 합니다! 어떤 도메인의 소유자가…

“DHL…”과 “YOUR TEXT” 악성 스팸메일 경고!

4월 2일자로 발송된 악성 파일을 첨부한 스팸메일이 확인되어 알려드립니다. 3개의 악성스팸메일이 확인되었는데 두 개는 우리의 단골 손님 DHL을 가장한 악성스팸메일입니다. DHL Services. Get your parcel NR.9195DHL Express. Please get your parcel NR.8524 DHL을 위장한 메일 외 아래와 같은 악성스팸메일이 유포되고 있습니다. YOUR TEXT 악성스팸메일들의 제목 및 본문 등 자세한 내용은 아래 그림들을 참조해 주세요. 첨부된 악성 파일들을 다운로드하여 압축해제하면 오른쪽 그림과 같이 워드 문서 아이콘으로 사용자에게 워드 문서인 것 처럼 보이게 합니다. 각각의 첨부된 파일들은 V3에서 아래와 같은 진단명들로 진단이 가능합니다. 파일명 : DHL_label_5893.exe 진단명 : Dropper/Malware.59392.GC 파일명 : File.exe 진단명 : Win32/MyDoom.worm.32256 항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여…

Twitter 트위트 메세지를 이용한 악성코드 유포!

많은 분들이 소셜 네트워크를 사용하고 있습니다. 국내에서는 싸*월드, 아이러브*쿨 등 해외에서는 Twitter, FaceBook 등등을 많이 사용하고 있는데 이러한 소셜 네트워크를 이용하여 피싱 뿐만 아니라 악성코드가 많이 배포되고 있어서 이번 글을 포스팅하게 되었습니다. 필자도 가끔식 Twitter에 트위트 메세지를 남기고 있습니다. 자주 들어가지는 않지만 조금 전에 잠시 들어갔다가 자극적인 트위트 메세지를 발견하였습니다. 메세지 내 단축 URL이 있어서 클릭을 해 보았습니다. 역시나 공짜로 무언가를 얻는 것이란 참으로 힘든 일인가 봅니다. 단축 URL을 클릭을 해 보니 아래 악성코드 유포 URL로 연결되는 것을 확인하였습니다. 잠깐~~ 참고하세요 ! 단축 URL을 사용하게 되는 이유는 Twitter의 메세지는 문자수 길이에 제한이 있습니다. 만약 URL 문자수 길이가 너무 많은 길이를 차지하게 된다면 메세지를 작성하는데 제한을 받게 되기 때문에 단축 URL 서비스 하는 곳에서 단축 URL을 만들어서 사용하게 되는 것이죠 ^^…