Rustock 조치 가이드 (2) Posted By ASEC , 2009년 10월 28일 3. 증상 발생 시 조치방법 II : 수동조치 —————————————————————– 제품에서 진단되는 않는 경우, 아래 과정으로 수작업 조치를 통해 해결해야 한다. 1) GMER Download : http://www.gmer.net/gmer.zip 에서 툴을 다운로드 받으신 후, 임의의 폴더에 압축을 해제하여 gmer.exe를 실행한다. 2) GMER 실행 시 은폐형 파일이 존재할 경우 아래와 같이 메시지가 출력되며, hidden으로 표시된 항목을 찾는다. Rustock 의심파일의 특징은 Hidden이면서 파일명이 숫자로 시작하며 영문/숫자 조합으로 생성된다. 3) 여기서는 System32drivers7f0ed690.sys 이며, Rustock의 경우 정상모드에서 삭제가 되지 않기 때문에 안전모드(네트워크 지원)로 부팅하여 조치해야 한다. * 안전모드 부팅 방법은 [안전 모드부팅 후 치료하기]글을 참조해 주시기 바랍니다. 4) 시스템을 안전모드(네트워크 지원)로 부팅한 후, GMER을 실행하여 등록한 서비스를 삭제한다. 5) 서비스 삭제 후 GMER의 [Files]탭을 선택하여 의심 파일이 위치하는 경로로 이동하여 해당 파일을 선택하여 [Kill] 한 다음, 수집을 위해…
“You’ve received a postcard” 스팸 메일 주의! Posted By ASEC , 2009년 10월 23일 악성파일이 첨부된 새로운 스팸 메일이 발견되었습니다. 이 스팸메일의 제목은 “You've received a postcard” 이며 본문은 아래와 같습니다. Good day. Your family member has sent you an ecard from 123greetings.com. Send free ecards from 123greetings.com with your choice of colors, words and music. Your ecard will be available with us for the next 30 days. If you wish to keep the ecard longer, you may save it on your computer or take a print. To view your ecard, open zip attached file. 이 스팸메일에 첨부된 허위백신을 다운로드하면 아래 그림과 같습니다. 상기 메일을 수신하시면 바로 삭제해 주시기 바랍니다. 만약, 첨부파일을 실행시켰다면 V3에서 Win-Trojan/Fakeav.Gen 진단명으로 진단되므로 엔진을 최신 엔진으로 업데이트한 후 치료하시기 바랍니다.
Rustock 조치 가이드 Posted By ASEC , 2009년 10월 22일 1. 증상 및 진단 확인 —————————————————————– 1) 방화벽 등의 보안장비에서 Remote 25번 포트로 트래픽을 발생시키는 시스템을 찾는다. 2) 감염이 의심되는 시스템에서 [시작] – [실행]에서 cmd.exe 를 실행 후, netstat –ano 명령으로 네트워크 연결을 확인한다. Rustock에 감염된 시스템은 Remote TCP 25번 포트로 SYN_SENT 증상을 발생시킨다. 아래와 같이 Ahnreport의 ‘네트워크 연결’ 항목에서도 확인이 가능하다. 2. 증상 발생 시 조치방법 I : 제품 —————————————————————– 제품에서 진단되는 경우 아래 과정으로 조치 수행해야 하며, 두 항목을 함께 진행할 것을 권고함 1) 만일, V3제품으로 진단되는 내용이 없을 경우, 정상모드로 부팅하여 안철수연구소 홈페이지를 통해 Rustock 전용백신으로 다운로드 받아 진단/치료를 수행한다. (전용백신 다운로드 경로 : http://download.ahnlab.com/vaccine/v3rustock_gen.exe) 2) Rustock의 경우, 진단 무력화 기법을 사용하기 때문에 시스템을 안전모드(네트워크 지원)로 부팅하여 설치된…
Microsoft has released an update for Microsoft Outlook Posted By ASEC , 2009년 10월 22일 Win-Trojan/ZBot.99840.D(V3추가)Win-Trojan/ZBot.99840.D(V3추가)Microsoft has released an update for Microsoft Outlook 라는 제목의 스팸메일이 유포되고 있으니 주의 하시기 바랍니다. 스팸메일 내용을 열어보면 아래와 같은 메세지가 나타납니다. Microsoft Outlook / Outlook Express의 보안 업데이트를 가장하여 유포되고 있는 악성코드 입니다. 얼핏보면 마이크로소프트 사에서 공식적으로 배포하는 보안패치 같지만 실제 다운로드 주소는 마이크로소프트 사의 URL이 아닙니다. 현재 V3 제품에서는 해당 파일을 Win-Trojan/ZBot.99840.D 로 진단하고 있습니다. 아래 내용만 숙지하고 지킨다면 스팸메일로 유입되는 악성코드는 예방하실 수 있을거 같습니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다. 4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
DHL service. Please get your parcel. Delivery NR.[숫자] Posted By ASEC , 2009년 10월 20일 아래와 같은 문구로 DHL 운송장을 위장한 스팸메일이 유포되니 주의하시기 바랍니다. 제목 : DHL service. Please get your parcel. Delivery NR.[숫자] Dear customer! The courier company was not able to deliver your parcel by your address. Cause: Error in shipping address. You may pickup the parcel at our post office personaly! Please note! The shipping label is attached to this e-mail. Please print this label to get this package at our post office. Thank you for attention. DHL Global Forwarding Services. 첨부파일은 엑셀파일을 위장하고 있지만 실행을 하게 되면 허위 안티바이러스(AV) 프로그램이 설치되니 주의하시기 바랍니다. 아래내용만 늘 숙지하고 지킨다면 스팸메일을 통하여 유포되는 악성코드는 예방하실 수 있으리라 생각됩니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상…
