악성코드에 감염되어 인터넷이 안됩니다. 어떻게 최신엔진으로 업데이트하나요? Posted By ASEC , 2010년 4월 14일 악성코드에 감염되어 인터넷이 안되면 참 난감해집니다. 현재 버젼의 V3에서 인터넷을 못하게 하는 악성코드가 제거가 된다면 좋겠지만, 만약 최신엔진에서만 치료되는 변종 악성코드일 경우는 어떻게 해야 될까요? 엔진은 인터넷으로 업데이트 받는데 말이죠. 이제부터 엔진 업데이트가 불가한 상황(인터넷이 안되는 이유 등으로)에서 엔진을 최신버젼으로 업데이트 하는 방법을 소개하겠습니다. 1. 인터넷이 되는 PC에서 www.ahnlab.com 에 접속 2. 홈페이지 상단의 다운로드 –> 제품관련 파일 클릭 3. 윈도우즈용 클라이언트 및 서버 제품군 엔진을 다운받습니다. (우측 디스켓 모양 클릭) 4. 파일을 USB와 같은 이동식디스크에 저장합니다 5. 저장이 완료되면, 인터넷이 되지 않는 PC로 파일을 복사하고 설치합니다. [ 압축이 풀리고.. ] [ 업데이트 시작을 눌러주세요 ] 5. 작업이 끝난 후 V3 가 제대로 업데이트되었는지 확인합니다. 6. 정밀(수동)검사를 통해 시스템 전체를 스캔하여 발견되는…
[악성 스팸메일] Your order has been paid! Parcel NR.4542. Posted By ASEC , 2010년 4월 12일 소포 배달을 가장한 스팸메일이 유포되고 있습니다. 해당 스팸메일은 악성 파일을 첨부하고 있으며 메일 제목은 아래와 같은 형태입니다. Your order has been paid! Parcel NR.[랜덤한 숫자]. 아래 그림은 악성 파일을 첨부하여 유포되고 있는 스팸메일 수신시 캡쳐 화면이며 본문에는 Amazon이라는 유명 사이트인 것처럼 사용자를 속여 악성 파일을 다운로드 후 프린트를 할 것을 권하여 사용자가 파일을 실행하도록 유도합니다.. 첨부된 악성 파일이 실행되면 아래 그림과 같이 XP Security Tool 2010 이라는 FakeAV가 실행이 되며 허위진단 후 치료를 위해 제품 구입 결제를 요구하며 결제 페이지로 연결되게 됩니다. 첨부된 악성파일은 아래 그림 Fig 3.과 같이 워드 문서 아이콘으로 위장하여 사용자들에게 첨부된 파일이 워드 문서인 것처럼 인식시켜 안심하고 실행하도록 유도합니다. 해당 파일은 Dropper/Agent.57344.CY 진단명으로 V3에서 진단 및 치료가 가능합니다. 상기 캡쳐 화면 상에는 확장자인 exe 가…
Myspace Password Reset Confirmation! Your Support Posted By ASEC , 2010년 4월 9일 Myspace 비밀번호 관련 메일로 위장하여 악성코드를 유포하는 스팸메일이 확인되어 안내 드립니다. 제목 : Myspace Password Reset Confirmation! Your Support Hey , , , , , , , , Because of the measures taken to provide safety to our clients, your password has been changed. You can find your new password in attached document. Thanks, The Myspace Team. 첨부파일의 이름은 password.zip 파일이며 해당 파일은 악성코드 입니다. 현재 해당 파일은 V3 제품군에서 Win-Trojan/Fakeav.183296.I 진단명으로 진단이 가능합니다.만약 해당 파일을 실행하게 되면 아래와 같은 증상이 나타나게 됩니다. 우선 허위 안티바이러스(백신) 프로그램이 나타납니다. 현재 아래 스크린샷에서의 이름은 XP AntiMalware 2010 이지만 이 이름은 마이크로소프트 윈도우즈 버전 별로 다르게 나타날 수 있습니다. 자세한 내용은 아래 포스팅을 참고하시기 바랍니다. 허위백신으로 인한 증상 및 조치 방법 : http://core.ahnlab.com/135…
Rootkit을 찾아서~! – IceSword 편 Posted By ASEC , 2010년 4월 8일 오늘은 Rootkit의 천적(?)이라 할 수 있는 Icesword에 대한 이야기입니다! 여기서 천적이라고 말한 이유는 북경 과학기술 대학교 pjf에서 Rootkit 제거 목적으로 만들었기 때문입니다. 그럼 Rootkit 전담반 Icesword에 대해 알아볼까요~ ▶ 다운로드 IceSword는 구글링을 통해 쉽게 다운 받을 수 있습니다. 제작자의 공식 블로그로 알려져 있으나 현재는 접속이 안되네요 ^^; (http://www.blogcn.com/user17/pjf/index.htm) ▶ 소개 IceSword는 앞서 말씀드린것과 같이 루트킷 제거를 목적으로 만들어진 tool로서 중국어 버전과 영어 버전이 있으며 이 글에서는 1.22버전(영문)으로 진행하도록 하겠습니다. IceSword는 루트킷 분석에 있어 훌륭한 tool임에는 틀림이 없지만 그 에 앞서 많은 학습이 우선되어야 합니다. 별도의 백업을 하는 방법이 존재하지 않기 때문입니다. 하여 블로그의 취지와 걸맞게 이 글에서는 IceSword의 소개와 각 기능에 대한 대략적인 설명 정도만 다룰 것임을 알려드립니다~^^ ▶ 기능 설명 1) Process 실행되고 있는 프로세스의 목록을 보여주며 파일주소, 숨겨진 프로세스까지 확인되는데요. 이 기능을 사용하여 프로세스들을 쉽게 제거 할 수…
*도메인* account notification Posted By ASEC , 2010년 4월 5일 도메인 계정과 관련된 메일로 위장한 악성코드가 포함된 스팸메일이 많이 접수되고 있으니 주의하시기 바랍니다. 메일 제목 및 내용은 아래와 같습니다. 제목: *도메인* account notification Dear Customer, This e-mail was send by *도메인* to notify you that we have temporanly prevented access to your account. We have reasons to beleive that your account may have been accessed by someone else. Please run attached file and Follow instructions (C) *도메인* 위 제목 및 메일의 내용에서 *도메인* 으로 표시한 부분은 사용하시는 메일 주소에의 @ 이하의 주소가 나타나게 됩니다. 예를 들어서 blahblah@ahnlab.com 이라는 메일 주소로 해당 스팸 메일을 받게 되면 *도메인* 부분은 ahnlab.com 으로 나타나게 됩니다. 따라서 본인의 회사 혹은 이메일을 서비스를 받는 사이트에서 보낸 것으로 착각을 할 수 있으니 주의를 해야 합니다. 그리고 위…
