광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (3) Posted By ASEC , 2010년 7월 1일 http://core.ahnlab.com/192http://core.ahnlab.com/193 위 링크의 글들에서 광고성 html 을 가장하여 유포되고 있는 스팸의 유포형식과 난독화된 스크립트에 대해서 살펴보았습니다. 난독화된 스크립트를 디코딩하여 수집한 game.exe 파일은 실행 시 아래 그림과 같이 'Defense Center'라는 FakeAV 를 설치하게 됩니다. game.exe 파일에 의해 다수의 악성코드가 설치가 되며 그 중 아래의 경로에 생성되는 폴더 및 파일들이 은폐 및 hooking이 된 상태입니다. c:windowsPRAGMA[랜덤한 문자] 이 경우 아래 링크의 v3alureon_gen_np.exe 전용백신을 다운로드 후 전용백신으로 %systemroot%를 검사하여 은폐 및 hooking을 풀어줍니다. v3alureon_gen_np.zip 검사가 완료되게 되면 아래 그림처럼 바이러스가 없다고 메세지 창이 뜨게 될 것입니다. 왜냐하면 파일을 진단한 것이 아니라 은폐 및 hooking을 풀어준 것이기 때문입니다. 은폐 및 hooking을 풀어준 후 V3 로 해당 폴더를 진단/치료 시 정상적으로 진단/치료가 가능합니다. 작일 (6월 30일)부터 아래의 메일 제목으로 지속적으로 악성 html 링크가 삽입된 악성…
Rustock 조치 가이드 Posted By ASEC , 2009년 10월 22일 1. 증상 및 진단 확인 —————————————————————– 1) 방화벽 등의 보안장비에서 Remote 25번 포트로 트래픽을 발생시키는 시스템을 찾는다. 2) 감염이 의심되는 시스템에서 [시작] – [실행]에서 cmd.exe 를 실행 후, netstat –ano 명령으로 네트워크 연결을 확인한다. Rustock에 감염된 시스템은 Remote TCP 25번 포트로 SYN_SENT 증상을 발생시킨다. 아래와 같이 Ahnreport의 ‘네트워크 연결’ 항목에서도 확인이 가능하다. 2. 증상 발생 시 조치방법 I : 제품 —————————————————————– 제품에서 진단되는 경우 아래 과정으로 조치 수행해야 하며, 두 항목을 함께 진행할 것을 권고함 1) 만일, V3제품으로 진단되는 내용이 없을 경우, 정상모드로 부팅하여 안철수연구소 홈페이지를 통해 Rustock 전용백신으로 다운로드 받아 진단/치료를 수행한다. (전용백신 다운로드 경로 : http://download.ahnlab.com/vaccine/v3rustock_gen.exe) 2) Rustock의 경우, 진단 무력화 기법을 사용하기 때문에 시스템을 안전모드(네트워크 지원)로 부팅하여 설치된…
