FakeAV

A new settings file for the [사용자메일주소] has just be released

악성 파일을 첨부한 스팸메일은 2010년에도 여전히 기승을 부리고 있네요. A new settings file for the [사용자메일주소] has just be released 상기 메일 제목으로 악성파일을 첨부하여 배포되고 있습니다. 메일 내 본문 내용은 아래 회색 박스 안과 같은 내용입니다. 참 그럴 듯하게 작성해 놓았네요. 악성코드를 배포할려면 글을 잘 쓸 필요도 있겠습니다 ^^;;; Dear use of the ahnlab.com mailing service! We are informing you that because of the security upgrade of the mailing service your mailbox [사용자 메일 주소] settings were changed. In order to apply the new set of settings open attached file. Best regards, [사용자 메일 서비스 URL] Technical Support.   첨부된 파일은 settings.zip이며 압축을 푼 모습은 왼쪽 그림과 같습니다. 첨부된 파일은 실행 후 아래와 같이 'XP Guardian'이라는 FakeAV를 실행시켜 허위 진단 및…

인터넷 페이지를 표시할 수 없습니다. :: Internet Security 2010

최근 DHL메일을 가장한 스팸메일이 지속적으로 유포되고 있습니다. 이 스팸메일에는 DHL로 시작하는 악성파일이 첨부되어 있으며 주로 문서파일 아이콘으로 보여 사용자를 속이고 실행시키도록 유도를 합니다. 자세한 내용은 “악성 스팸 경고” 카테고리에 관련 글들이 많으니 참조해 주세요. Internet Security 2010 은 다른 FakeAV와 유사한 동작을 하는데 한가지 특이점이 있어 알려드리겠습니다. < Fig 2. Internet Security 2010 > 생성되는 악성파일 중 C:winodowssystem32helper32.dll 파일을 삭제한 후 레지스트리 값을 수정하지 않았을 경우 아래와 같이 인터넷 페이지 오류가 발생하게 됩니다. < Fig 2. 인터넷 페이지 오류 > Internet Security 2010은 Fig 3.의 정상 레지스트리 값을 Fig 4. 의 레지스트리 값으로 변경하기 때문에 네트워크와 관련된 응용프로그램에서도 오류가 발생하게 됩니다. HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWinSock2ParametersProtocol_Catalog9Catalog_Entries000000000001 하이브 로드를 하였기 때문에 .reg 파일을 노트패드 등의 에디터로 열어보면 하이브 로드 시 입력하였던 키 이름으로 경로가 설정되어 있는 것을 확인할 수…

허위 안티바이러스 “Antivirus Live” 조치가이드

1. 서론  최근 허위 안티바이러스 프로그램인 Antivirus Live 가 유포되고 있습니다. 해당 악성코드에 감염시 대부분의 프로세스가 실행되지 않는 어려움이 있어, 감염 증상 및 조치 방법의 안내를 위해 조치 가이드를 작성합니다. 2. 감염 증상 2.1 허위 악성코드 감염 경고  해당 악성코드에 감염되면 아래 그림들과 같이 허위 안티바이러스 프로그램의 실행 창 및 허위 진단 내용이 출력됩니다.  [그림 1] 허위 안티바이러스 프로그램 실행 화면   [그림 2] 허위 경고창   [그림 3] 허위 Tray 경고창 2.2 광고 페이지 연결  특정 사이트를 사용자의 동의 없이 지속적으로 띄웁니다. 2.3 대부분의 프로그램 실행 불가  해당 프로그램이 실행중인 경우, 허용된 프로세스 외에 프로세스의 실행이 불가하여 다른 프로그램을 사용하는데 어려움이 발생합니다. 3. 조치 방법3.1 감염시 조치사항  해당 악성코드에 감염된 정상 모드에서는 허용된 프로세스 외에 대부분의 프로그램이 실행되지 않으므로,…

Privacy Center 허위 안티바이러스(백신) 제거 가이드

1. 증상 및 설명 최근 허위 안티바이러스(백신)으로 보이는 Privacy Center 라는 프로그램이 유포되고 있습니다. 해당 프로그램이 설치가 되면 컴퓨터 부팅 시 아래와 같은 프로그램이 실행되며 다른 작업을 할 수 없도록 만듭니다. 2. 조치 방법 이러한 프로그램이 나타나 시스템 사용을 방해한다면 아래와 같이 조치하시기 바랍니다. 1. Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다. 다운로드 : http://asec001.v3webhard.com/IceSword.zip 2. Ice Sword 에서 [File] 메뉴를 선택을 합니다. 선택 후 아래의 경로로 이동합니다. C:Documents and Settings사용자계정Application DataPC 3. 해당 폴더를 선택 후 마우스 오른클릭 후 [Force Delete]를 눌러 폴더를 삭제 합니다. 4. 시스템을 재부팅을 합니다. 만약 Ice Sword 프로그램이 에러를 내며 정상적으로 실행이 되지 않는다면 아래 다른 프로그램으로 실행 후 조치를 해보시기 바랍니다. 1. gmer.zip을 다운로드 하여 압축을 해제합니다. [gmer툴…

결재를 요구하는 허위백신 대처하는 방법 2

가짜백신을 만들어 돈을 많이 벌었나 봅니다. 2009년 1월 부터 AntiVirus 2009 –> System Security 2010 –> Home AntiVirus 2010, 벌써 세 번째 업데이트네요. 돈벌이가 되니 계속 만들어 내고 있는 거겠죠? 사설이 길었습니다. 계속 살펴보도록 하겠습니다. 사용자의 PC에 쓰레기 파일을 임의 생성시키고 그 파일을 다시 찾아 진단치료하는 과정에서 결재를 요구합니다. 설치되는 파일 정보입니다. hp32_nword.exe (파일명에 차이가 있을 수 있음) : V3 진단명은 Win-Trojan/Reboot.27526  ① 설치경로 : %system% 폴더 , Documents and Settings사용자계정  ② 주요 기능     – 윈도우즈의 중요 시스템 드라이버인 ntfs.sys 를 변경합니다.     –> C:WindowsSystem32Driversntfs.sys 를 암호화하여 별도 보관하고      –> 변조된 ntfs.sys(Win32/Ntfs)을 설치해서 악성코드를 지속적으로 다운로드/ 실행    – 메모리상에서 변조된 svchost.exe를 실행 , 개인 정보(FTP 계정 정보등등)를 외부로 유출합니다. braviax.exe : V3 진단명은 Win-Trojan/Downloader.9216.OJ ① 설치경로 : %system%  및 %windows% 폴더…