아카데미 시상식과 관련된 허위 백신 주의! Posted By ASEC , 2010년 3월 9일 현지 시각으로 7일에 미국 LA 코닥극장에서 제82회 아카데미 시상식이 열렸습니다. 영화에 관심 많으신 분들은 아시리라 생각이 듭니다. 이번 아카데미 시상식에서 오스카상을 누가 수상하게 되었는지 궁금할텐대요? 구글에서 “Oscar 2010” 으로 검색 시 주의를 하시기 바랍니다. 현재 다수의 페이지가 허위 악성코드를 유포하는 페이지로 나타나고 있음을 확인하였습니다. 현재 다수의 링크가 클릭 시 아래와 같이 허위 백신와 같은 모습이 나타나며 악성코드에 감염이 되었으니 주의를 하라는 메세지를 나타내게 됩니다. 그리고 치료를 위해 아래의 파일을 다운로드 받아 실행을 하도록 유도를 하게 됩니다. 해당 파일은 허위 백신을 설치하는 악성코드 이므로 실행을 절대 하면 안되니 주의하시기 바랍니다. 현재 해당 파일은 V3 제품군에서 Win-Trojan/Fakealert.382464 진단명으로 진단이 되고 있습니다. 최근 해당 내용처럼 사회적인 이슈를 이용하여 검색엔진에 노출시켜 공격을 하는 형태가 많이 발생하고 있습니다. 이러한 공격을 SEO Poisoning Attack 이라고 하는대요….
게임 계정 탈취. OnlineGameHack [Cyban] 조치가이드 Posted By ASEC , 2010년 1월 14일 이번 포스트에서는 최근들어 급증하고 있는 온라인게임핵(Cyban) 의 증상과 조치방법에 대해 살펴보겠습니다. ◆ 증 상 특정 사이트에서 악성코드를 다운로드+드랍하고 아래와 같은 동작들을 수행합니다. < 캡쳐된 패킷 > 1. 온라인게임사이트 계정정보 탈취 – 악성코드는 인터넷익스플로러에 인젝션되어 아래 그림과 같이 하드코딩된 특정 게임사이트의 목록에서 쿠키값(ID,PW 등)을 노립니다. < 게임사이트 목록 > …. …. var b=LOGIN.getCookieValue(“CAT”);if(b.length>0){var a=b.split(“+”);if(a.length>1){return a[1];}}return”2″; …. …. < 쿠키값 탈취하는 코드의 일부 > 2. 키보드로깅 – 악성코드는 실행중인 프로세스에 인젝션되어 Key정보를 후킹합니다. < dll 인젝션 > 3. Autorun 을 이용한 자동실행 + 확산, File 숨기기 – Autorun 취약점을 이용하여 악성코드를 이동디스크매체를 통해 퍼뜨리고, 자신을 은폐하기 위해 레지스트리를 조작합니다. < inf file내용 > < 탐색기-숨김폴더보기 레지스트리 + 부팅실행 레지스트리 > 4. 안티바이러스를 무력화시키는 AV Kill – 아래 그림과 같이 A.V(안티바이러스) 프로세스들의 이름들이…
컴퓨터 부팅 시 특정 사이트로 자동 연결 되는 경우! Posted By ASEC , 2009년 11월 20일 1. 개 요 최근 악성코드로 인해 thenewspedia.com, bizromour.com, mainstories.com, cultarts.com 등의 사이트가 나타나는 현상이 있어 해당 증상에 대한 조치가이드를 작성합니다. 2. 증 상 컴퓨터 부팅 후 아래와 같은 주소의 웹페이지로 연결이 되거나 웹서핑 도중 아래의 사이트로 연결이 되는 현상이 나타납니다. 3. 조치 방법 1) [시작] – [실행] 을 선택하여 실행창에 [regedit] 입력 후 [확인] 버튼을 누릅니다. 2) 레지스트리 편집기가 실행이 되면 아래 경로를 찾아 이동합니다. HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon 3) Winlogon 이하에 Taskman 이라는 값을 확인 후 해당 값에 쓰여진 경로를 기억합니다. 대부분 C:RECYCLER 경로 이하의 폴더가 기록되어 있습니다. 그리고 해당 Taskman 값을 선택하여 마우스 오른클릭 후 삭제를 합니다. 4) Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다….
아이폰(iPhone) 악성코드 경고! Posted By ASEC , 2009년 11월 9일 아이폰(iPhone) 악성코드가 나타났다고 합니다… 해당 악성코드에 감염된 아이폰은 배경화면이 아래의 사진처럼 바뀐다고 합니다. 감염 경로는 모든 아이폰이 감염 대상은 아닙니다. 아이폰을 크랙하여 사용하는 기기들에 대해서만 감염이 되는데 이러한 크랙하여 사용하는 아이폰을 탈옥된(Jailbroken) 아이폰이라고 합니다. 이러한 아이폰들은 대부분 SSH 서비스가 활성화 되어 있고 패스워드가 대부분 Default(alpine)로 설정되어 있어 이러한 취약점을 이용하여 감염된다고 합니다. 전파원리는 아래 소스에서처럼 해당 IP 들을 스캔해서 Cydia application을 통해 접속한다고 하네요. 이때 당연히 패스워드를 확인하겠지만 위에 설명한거처럼 Default로 설정해놓고 바꾸지 않았다면 감염이 되겠죠? 즉, 패스워드만 변경해주거나 SSH 서비스를 활성화 하지 않는다면 해당 악성코드로 부터 감염은 예방될 수 있을거 같습니다.
리포트 수동 수집 안내 Posted By ASEC , 2009년 9월 9일 이전에 안철수연구소에 바이러스를 신고하는 방법에 대한 글을 포스팅 한적이 있습니다. http://core.ahnlab.com/25 이번 글에서는 인터넷이 불가능한 PC에서 신고하는 방법에 대해 포스팅 하도록 하겠습니다. 먼저 아래 안리포트 파일을 임의의 폴더에 다운로드 받습니다. 안리포트(AhnReport) 다운로드(클릭)다운받은 파일을 실행하여 상단의 [악성코드신고]을 클릭하고 창이 뜨면 하단의 [저장]을 클릭합니다. 저장될 위치를 선택하고 파일명을 임의로 적으신뒤 저장합니다. 이제 저장이 완료되면 생성된 arc 파일을 바이러스신고센터의 '현재 증상이 나타나고 있는 PC에서 신고할 수 없는 경우'의 신고하기 버튼을 클릭하셔서 첨부하여 보내주시기 바랍니다. 신고하여 주시는 내용은 확인 후 신속하게 답변을 해 드립니다.어때요? 참 쉽죠?
