[공지] 주요 방송사, 은행 전산망 장애 / 전용백신 제공 Posted By ASEC , 2013년 3월 20일 안녕하세요. 안랩 ASEC(시큐리티대응센터) 입니다. 3월 20일 14시경 주요 방송사 및 은행 전산망 장애가 발생하였습니다. 악성코드 감염 후 디스크 손상으로 부팅 불가로 인해 장애가 발생한 것으로 확인되었고, 해당 악성코드는 아래와 같이 운영체제에 따라 디스크를 손상시키는 기능이 포함되어 있습니다. – Windows XP, Windows 2003 Server물리 디스크의 MBR과 VBR 등을 쓰레기 데이터 채움논리 드라이브 파괴 – Windows VISTA, Windows 7물리 디스크 파괴모든 논리 드라이브의 파일 내용을 삭제 해당 악성코드는 V3 엔진(엔진버전: 2013.03.20.06 이상)으로 업데이트하시면 검사/치료가 가능합니다. 또한 3월 20일 오후 6시경부터 제공 중인 전용백신으로도 검사/치료할 수 있습니다. 전용백신 다운로드 받기 만약 전용백신으로 진단되는 악성코드가 있다면 이미 디스크가 손상되어 부팅이 안될 수 있으니 중요 데이터는 우선 백업을 받으시기를 권해드립니다. 안랩은 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동 중입니다. 추가 정보가 확인되는 대로 안내해 드리겠습니다.
온라인 뱅킹 트로이목마 Banki(2) Posted By ASEC , 2013년 2월 1일 지난 12월 국내 인터넷 뱅킹 사용자가 타켓인 악성코드(Banki)에서 특정 시스템 날짜가 되면 윈도우 시스템 파일을 삭제하는 기능이 발견되었다. 과거에 발견된 Banki정보는 아래 페이지에서 확인이 가능하다. http://asec.ahnlab.com/search/banki 이번에 발견된 Banki 변종은 Induc 바이러스에 감염된 악성코드이며, http://210.***.**.32:2323/qq.exe 를 통하여 유포 되는 것으로 확인되었다. (온라인 뱅킹 트로이목마 Banki(1) 에서 유포과정을 다루었다.) 위 파일이 실행되어 악성코드에 감염될 경우 아래와 같은 경로에 파일이 생성된다. C:Windowssystem32muistempblogs.tempblogs.. ‘1216’, ‘Winlogones.exe’, ‘csrsses.exe’ [그림1] 악성코드에 의하여 생성된 파일 감염 후 아래와 같이 레지스트리에 서비스로 등록되어, 부팅시 실행된다. [그림2] 서비스 등록 실행된 환경에 따라 다르게 나타날 수 있지만, 악성 프로세스 ‘winlogones.exe’는 정상 프로세스인 ‘winlogon.exe’ 에 자신을 인젝션하여 프로세스 목록에 ‘winlogones.exe’ 가 보이지 않게 한다. 동시에 또 다른 악성 프로세스인 ‘csrsses.exe’ 도 계산기 프로세스 이름인 ‘calc.exe’ 에 자신을 인젝션하여 실행한다. [그림3] 정상적인 프로세스만…
