악성코드

Please attention! – DHL 메일로 위장한 스팸메일 주의!

악성코드를 퍼뜨리는 스팸메일의 대명사, DHL 이 다시 등장했습니다. 이번 스팸메일에 사용된 제목은 Please attention!  입니다. 아래의 메일 본문을 확인해보시고 비슷한 유형의 메일 첨부파일은 절대로 실행하지 마세요! Dear customer! The courier company was not able to deliver your parcel by your address. Cause: Error in shipping address. You may pickup the parcel at our post office personaly. Please attention! The shipping label is attached to this e-mail. Print this label to get this package at our post office. Please do not reply to this e-mail, it is an unmonitored mailbox! Thank you, DHL Delivery Services. 첨부된 압축파일을 해제하면 아래의 파일이 나옵니다.   이번에는 ini 파일 아이콘으로 위장하여 실행을 유도하고 있습니다. 위 스팸메일의 첨부파일은 V3에서 Win-Trojan/Downloader.135680.U 로 진단가능합니다.     항상 아래와…

악성코드에 감염되어 인터넷이 안됩니다. 어떻게 최신엔진으로 업데이트하나요?

악성코드에 감염되어 인터넷이 안되면 참 난감해집니다. 현재 버젼의 V3에서 인터넷을 못하게 하는 악성코드가 제거가 된다면 좋겠지만, 만약 최신엔진에서만 치료되는 변종 악성코드일 경우는 어떻게 해야 될까요? 엔진은 인터넷으로 업데이트 받는데 말이죠. 이제부터 엔진 업데이트가 불가한 상황(인터넷이 안되는 이유 등으로)에서 엔진을 최신버젼으로 업데이트 하는 방법을 소개하겠습니다. 1. 인터넷이 되는 PC에서 www.ahnlab.com 에 접속 2. 홈페이지 상단의 다운로드 –> 제품관련 파일 클릭   3. 윈도우즈용 클라이언트 및 서버 제품군 엔진을 다운받습니다. (우측 디스켓 모양 클릭)   4. 파일을 USB와 같은 이동식디스크에 저장합니다   5. 저장이 완료되면, 인터넷이 되지 않는 PC로 파일을 복사하고 설치합니다.                                               [ 압축이 풀리고.. ]                                                               [ 업데이트 시작을 눌러주세요 ]   5. 작업이 끝난 후 V3 가 제대로 업데이트되었는지 확인합니다. 6. 정밀(수동)검사를 통해 시스템 전체를 스캔하여 발견되는…

아카데미 시상식과 관련된 허위 백신 주의!

현지 시각으로 7일에 미국 LA 코닥극장에서 제82회 아카데미 시상식이 열렸습니다. 영화에 관심 많으신 분들은 아시리라 생각이 듭니다. 이번 아카데미 시상식에서 오스카상을 누가 수상하게 되었는지 궁금할텐대요?  구글에서 “Oscar 2010” 으로 검색 시 주의를 하시기 바랍니다. 현재 다수의 페이지가 허위 악성코드를 유포하는 페이지로 나타나고 있음을 확인하였습니다. 현재 다수의 링크가 클릭 시 아래와 같이 허위 백신와 같은 모습이 나타나며 악성코드에 감염이 되었으니 주의를 하라는 메세지를 나타내게 됩니다. 그리고 치료를 위해 아래의 파일을 다운로드 받아 실행을 하도록 유도를 하게 됩니다. 해당 파일은 허위 백신을 설치하는 악성코드 이므로 실행을 절대 하면 안되니 주의하시기 바랍니다. 현재 해당 파일은 V3 제품군에서 Win-Trojan/Fakealert.382464 진단명으로 진단이 되고 있습니다. 최근 해당 내용처럼 사회적인 이슈를 이용하여 검색엔진에 노출시켜 공격을 하는 형태가 많이 발생하고 있습니다. 이러한 공격을 SEO Poisoning Attack 이라고 하는대요….

게임 계정 탈취. OnlineGameHack [Cyban] 조치가이드

이번 포스트에서는 최근들어 급증하고 있는 온라인게임핵(Cyban) 의 증상과 조치방법에 대해 살펴보겠습니다. ◆ 증 상 특정 사이트에서 악성코드를 다운로드+드랍하고 아래와 같은 동작들을 수행합니다.  < 캡쳐된 패킷 > 1. 온라인게임사이트 계정정보 탈취 – 악성코드는 인터넷익스플로러에 인젝션되어 아래 그림과 같이 하드코딩된 특정 게임사이트의 목록에서 쿠키값(ID,PW 등)을 노립니다.   < 게임사이트 목록 > …. …. var b=LOGIN.getCookieValue(“CAT”);if(b.length>0){var a=b.split(“+”);if(a.length>1){return a[1];}}return”2″; …. …. < 쿠키값 탈취하는 코드의 일부 > 2. 키보드로깅 – 악성코드는 실행중인 프로세스에 인젝션되어 Key정보를 후킹합니다.   < dll 인젝션 > 3. Autorun 을 이용한 자동실행 + 확산, File 숨기기  – Autorun 취약점을 이용하여 악성코드를 이동디스크매체를 통해 퍼뜨리고, 자신을 은폐하기 위해 레지스트리를 조작합니다. < inf file내용 > < 탐색기-숨김폴더보기 레지스트리 + 부팅실행 레지스트리 > 4. 안티바이러스를 무력화시키는 AV Kill  – 아래 그림과 같이 A.V(안티바이러스) 프로세스들의 이름들이…

컴퓨터 부팅 시 특정 사이트로 자동 연결 되는 경우!

1. 개 요 최근 악성코드로 인해 thenewspedia.com, bizromour.com, mainstories.com, cultarts.com 등의 사이트가 나타나는 현상이 있어 해당 증상에 대한 조치가이드를 작성합니다. 2. 증 상 컴퓨터 부팅 후 아래와 같은 주소의 웹페이지로 연결이 되거나 웹서핑 도중 아래의 사이트로 연결이 되는 현상이 나타납니다. 3. 조치 방법 1) [시작] – [실행] 을 선택하여 실행창에 [regedit] 입력 후 [확인] 버튼을 누릅니다. 2) 레지스트리 편집기가 실행이 되면 아래 경로를 찾아 이동합니다. HKEY_LOCAL_MACHINE                          SOFTWARE                                     Microsoft                                            Windows NT                                                        CurrentVersion                                                                           Winlogon 3) Winlogon 이하에 Taskman 이라는 값을 확인 후 해당 값에 쓰여진 경로를 기억합니다. 대부분 C:RECYCLER 경로 이하의 폴더가 기록되어 있습니다. 그리고 해당 Taskman 값을 선택하여 마우스 오른클릭 후 삭제를 합니다. 4) Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다….