아이폰(iPhone) 악성코드 경고! Posted By ASEC , 2009년 11월 9일 아이폰(iPhone) 악성코드가 나타났다고 합니다… 해당 악성코드에 감염된 아이폰은 배경화면이 아래의 사진처럼 바뀐다고 합니다. 감염 경로는 모든 아이폰이 감염 대상은 아닙니다. 아이폰을 크랙하여 사용하는 기기들에 대해서만 감염이 되는데 이러한 크랙하여 사용하는 아이폰을 탈옥된(Jailbroken) 아이폰이라고 합니다. 이러한 아이폰들은 대부분 SSH 서비스가 활성화 되어 있고 패스워드가 대부분 Default(alpine)로 설정되어 있어 이러한 취약점을 이용하여 감염된다고 합니다. 전파원리는 아래 소스에서처럼 해당 IP 들을 스캔해서 Cydia application을 통해 접속한다고 하네요. 이때 당연히 패스워드를 확인하겠지만 위에 설명한거처럼 Default로 설정해놓고 바꾸지 않았다면 감염이 되겠죠? 즉, 패스워드만 변경해주거나 SSH 서비스를 활성화 하지 않는다면 해당 악성코드로 부터 감염은 예방될 수 있을거 같습니다.
리포트 수동 수집 안내 Posted By ASEC , 2009년 9월 9일 이전에 안철수연구소에 바이러스를 신고하는 방법에 대한 글을 포스팅 한적이 있습니다. http://core.ahnlab.com/25 이번 글에서는 인터넷이 불가능한 PC에서 신고하는 방법에 대해 포스팅 하도록 하겠습니다. 먼저 아래 안리포트 파일을 임의의 폴더에 다운로드 받습니다. 안리포트(AhnReport) 다운로드(클릭)다운받은 파일을 실행하여 상단의 [악성코드신고]을 클릭하고 창이 뜨면 하단의 [저장]을 클릭합니다. 저장될 위치를 선택하고 파일명을 임의로 적으신뒤 저장합니다. 이제 저장이 완료되면 생성된 arc 파일을 바이러스신고센터의 '현재 증상이 나타나고 있는 PC에서 신고할 수 없는 경우'의 신고하기 버튼을 클릭하셔서 첨부하여 보내주시기 바랍니다. 신고하여 주시는 내용은 확인 후 신속하게 답변을 해 드립니다.어때요? 참 쉽죠?
도와줘요 안철수연구소! 악성코드 신고방법 Posted By ASEC , 2009년 9월 1일 안철수연구소에서는 24시간 365일 대응체제를 유지하며, 악성코드 관련 문의 및 신고를 받고 있습니다. 그럼 신고 방법에 대해 알아보도록 하겠습니다. 먼저, 안철수연구소 홈페이지(http://www.ahnlab.com)의 [시큐리티 센터] > [바이러스 신고센터]를 방문합니다. (또는 현 블로그 상단의 “바이러스 신고센터” 메뉴를 통해서도 접속하실 수 있습니다.) [그림 1] 바이러스 신고센터 접속 방법 [그림 2] 바이러스 신고센터 페이지 증상이 발생되는 시스템에서 “현재 증상이 나타나고 있는 PC에서 신고하는 경우” 를 통해 자세한 증상과 함께 문의를 접수시, 자동으로 시스템 정보파일(AhnReport)의 수집 및 문의가 접수됩니다. 만일, 증상 발생 시스템에서 안철수연구소 홈페이지 접속이 불가능 하거나, 의심파일만 접수하시는 등의 이유로 직접적인 접수가 불가한 경우에는 “현재 증상이 나타나고 있는 PC에서 신고할 수 없는 경우” 로 접수하시면 됩니다. 그럼 저희 ASEC대응팀에서 수집된 리포트 및 문의내용을 바탕으로 문제를 파악하고 분석하여 문제를 해결하여 답변을 드리게 되는 것입니다. 어때요? 안철수연구소에 문의…
Redirected Hostfile Entries 진단명 해결 방법 Posted By ASEC , 2009년 8월 26일 Redirected Hostfile Entries 진단명은 윈도우의 hosts 파일이 변조되었을 시 나타나는 진단명 입니다. 해결 방법은 아래 설명 드리는 대로 수정을 권해 드립니다. 1) 내컴퓨터를 켠 후 C:WINDOWSsystem32driversetc 로 이동합니다. 2) [시작] – [모든 프로그램] – [보조프로그램]에서 메모장(notepad.exe)을 실행합니다. 3) hosts 파일을 마우스로 선택 후 드래그 앤 드롭으로 메모장에서 열도록 합니다. 4) 127.0.0.1 localhost 로 입력되어 있는 부분을 제외한 모든 내용을 삭제하신 후 저장합니다. (내용 추가) 위에 안내해 드린대로 한 후 파일이 저장이 안된다면 아래 안내해 드리는 방법대로 해주시기 바랍니다. [시작] – [실행] – [cmd] 라고 입력 후 [확인] 버튼을 눌러 실행된 검은 콘솔 창에서 아래 명령어를 실행시켜 주시기 바랍니다. attrib -r -s -h C:WINDOWSsystem32driversetchosts 그리고 저장을 해보시기 바랍니다.
Win32/Induc 안내 및 조치 가이드 Posted By ASEC , 2009년 8월 25일 1. 개 요 Win32/Induc 바이러스는 볼랜드사에서 제작한 델파이 프로그램의 일부 버전(Delphi4~7)에서 사용하는 특정 라이브러리(Sysconst)가 감염된 후 컴파일 과정에서 생성되는 EXE, DLL 등에 바이러스 코드를 삽입하는 기법을 사용하는 피라미드형 바이러스 입니다. 현재 국내에서 델파이로 제작된 다양한 프로그램들이 해당 악성코드에 감염된 상태로 배포되고 있으므로 주의가 필요합니다. 2. 분석 정보 2.1 감염방법 Win32/Induc 바이러스는 델파이로 제작된 파일에 악성코드 소스가 삽입된 형태로 동작합니다. 그러나 일반적인 파일 바이러스와 달리 델파이 프로그램만을 대상으로 공격을 시도하고 실행 파일을 감염시키는 행위를 하지는 않습니다. 따라서 개발프로그램이 설치되어있지 않은 사용자들의 경우 감염 증상이 나타나지 않습니다. 감염 방식 또한 일반적인 파일 바이러스와 차이가 있습니다. 일반적인 파일 바이러스는 공격 대상 파일에 직접 악성코드 소스를 삽입하는 형태로 감염을 시키지만 Win32/Induc 바이러스는 델파이 프로그램에서 사용하는 DCU(Delphi Compiled Unit) 중 Sysconst.dcu 파일에 악성코드 소스를 삽입해두고 개발자가…
