빠르게 정상파일인지 확인하는 노하우 Posted By ASEC , 2009년 9월 1일 파일의 무결성을 체크하기 위해 MD5 값을 비교하기도 합니다. 이 방법은 파일이 정상인지 악성인지 쉽게 판별할 수 있는 방법이기도 합니다. 감염이 의심스러운 파일이 있으면 정상 파일과 MD5 값을 비교함으로써 정상/악성 유무를 판달할 수 있습니다. MD5를 체크해 주는 프로그램은 아래 링크에서 다운로드할 수 있습니다. http://getmd5checker.com/downloads/last/Md5Checker.zip 사용법은 간단합니다. 드래그 앤 드롭으로 파일을 열거나 [File]-[Open]으로 파일을 열면 아래 그림과 같이 파일의 MD5값이 출력이 됩니다. 출력된 MD5값을 보고 정상 파일과 비교를 하기 위해서는 감염되기 전 정상파일의 MD5값을 저장해 두거나 같은 버전의 정상파일을 수집하신 후 비교를 하셔야 합니다. 대부분이 윈도우 파일 혹은 자주 사용되는 프로그램의 파일이름을 악용하는 경우니깐 자신의 시스템에 저장해 둘 MD5값은 그리 많지는 않을 것입니다.
도와줘요 안철수연구소! 악성코드 신고방법 Posted By ASEC , 2009년 9월 1일 안철수연구소에서는 24시간 365일 대응체제를 유지하며, 악성코드 관련 문의 및 신고를 받고 있습니다. 그럼 신고 방법에 대해 알아보도록 하겠습니다. 먼저, 안철수연구소 홈페이지(http://www.ahnlab.com)의 [시큐리티 센터] > [바이러스 신고센터]를 방문합니다. (또는 현 블로그 상단의 “바이러스 신고센터” 메뉴를 통해서도 접속하실 수 있습니다.) [그림 1] 바이러스 신고센터 접속 방법 [그림 2] 바이러스 신고센터 페이지 증상이 발생되는 시스템에서 “현재 증상이 나타나고 있는 PC에서 신고하는 경우” 를 통해 자세한 증상과 함께 문의를 접수시, 자동으로 시스템 정보파일(AhnReport)의 수집 및 문의가 접수됩니다. 만일, 증상 발생 시스템에서 안철수연구소 홈페이지 접속이 불가능 하거나, 의심파일만 접수하시는 등의 이유로 직접적인 접수가 불가한 경우에는 “현재 증상이 나타나고 있는 PC에서 신고할 수 없는 경우” 로 접수하시면 됩니다. 그럼 저희 ASEC대응팀에서 수집된 리포트 및 문의내용을 바탕으로 문제를 파악하고 분석하여 문제를 해결하여 답변을 드리게 되는 것입니다. 어때요? 안철수연구소에 문의…
오토런 악성코드 수집 및 삭제 (2) Posted By ASEC , 2009년 8월 30일 이전 글에서처럼 autorun.inf 파일을 수집한 후에 무엇을 해야할까요? 수집한 autorun.inf 파일을 notepad 또는 파일의 스트링을 확인할 수 있는 BinText 툴을 사용하면 탐색기로 디렉토리에 접근할 때 실행되는 악성코드를 확인할 수 있습니다. 아래 그림은 notepad와 BinText로 autorun.inf 파일을 열었을 때의 그림입니다. autorun.inf 파일을 확인한 결과 ShellExecute=MS-DOS.com 이라는 스트링을 확인할 수 있습니다. 확인된 MS-DOS.com 파일을 찾아서 삭제해 주시면 됩니다. 이전 글처럼 속성을 해제해주거나 IceSword 툴을 이용하여 아래 그림처럼 확인이 가능합니다. 1) attrib -s -h -a -r MS-DOS.com (엔터) -> 속성해제 2) 탐색기내 c:MS-DOS.com 파일을 찾아 수집합니다. IceSword에서는 MS-DOS.com 파일 우클릭 후 “Copy to” 옵션으로 수집할 수도 있습니다. 수집한 파일들을 삭제를 한 후에 탐색기를 이용하여 드라이브에 접근할 때 아래 그림과 같이 연결 프로그램이라는 창이 뜨는 경우가 있습니다. 위와 같은 경우는 오토런 악성코드가 등록한 레지스트리 값을 삭제를…
오토런 악성코드 수집 및 삭제 (1) Posted By ASEC , 2009년 8월 30일 오토런 악성코드는 루트 디렉토리에 ( C: 또는 D: ) autorun.inf 파일을 생성하여 사용자가 탐색기를 사용하여 드라이브를 액세스할 때 자동으로 타겟 악성코드를 실행하게 됩니다. 그리고 오토런 악성코드는 자신을 숨기기 위해 탐색기의 폴더옵션 중 [숨김 파일 및 폴더 표시] 기능을 자동으로 해제합니다. 사용자가 이 기능을 사용하려고 할 때마다 자동으로 해제해버리기 때문에 숨겨진 파일의 속성을 해제하거나 IceSword 등의 툴을 사용해야 파일을 확인할 수 있습니다. 아래 그림을 보시면 IceSword를 이용하여 C: 드라이브에 autorun.inf 파일이 생성된 것을 확인할 수 있습니다. autorun.inf 파일을 선택한 후 우클릭 후 “Copy to” 옵션을 사용하여 수집할 수 있습니다. 툴을 사용하지 않고 수집하는 다른 방법은 아래와 같습니다. 1) [시작]-[실행]-[열기]부분에 'cmd' (따옴표제외)를 입력하고 확인 2) cd (엔터) -> 루트로 이동하기 위함 3) attrib -s -h -a -r autorun.inf (엔터) -> 속성해제 다음 글에서 수집된…
Redirected Hostfile Entries 진단명 해결 방법 Posted By ASEC , 2009년 8월 26일 Redirected Hostfile Entries 진단명은 윈도우의 hosts 파일이 변조되었을 시 나타나는 진단명 입니다. 해결 방법은 아래 설명 드리는 대로 수정을 권해 드립니다. 1) 내컴퓨터를 켠 후 C:WINDOWSsystem32driversetc 로 이동합니다. 2) [시작] – [모든 프로그램] – [보조프로그램]에서 메모장(notepad.exe)을 실행합니다. 3) hosts 파일을 마우스로 선택 후 드래그 앤 드롭으로 메모장에서 열도록 합니다. 4) 127.0.0.1 localhost 로 입력되어 있는 부분을 제외한 모든 내용을 삭제하신 후 저장합니다. (내용 추가) 위에 안내해 드린대로 한 후 파일이 저장이 안된다면 아래 안내해 드리는 방법대로 해주시기 바랍니다. [시작] – [실행] – [cmd] 라고 입력 후 [확인] 버튼을 눌러 실행된 검은 콘솔 창에서 아래 명령어를 실행시켜 주시기 바랍니다. attrib -r -s -h C:WINDOWSsystem32driversetchosts 그리고 저장을 해보시기 바랍니다.
