V3

Rustock 조치 가이드 (2)

3. 증상 발생 시 조치방법 II : 수동조치 —————————————————————– 제품에서 진단되는 않는 경우, 아래 과정으로 수작업 조치를 통해 해결해야 한다. 1) GMER Download : http://www.gmer.net/gmer.zip 에서 툴을 다운로드 받으신 후, 임의의 폴더에 압축을 해제하여 gmer.exe를 실행한다. 2) GMER 실행 시 은폐형 파일이 존재할 경우 아래와 같이 메시지가 출력되며, hidden으로 표시된 항목을 찾는다. Rustock 의심파일의 특징은 Hidden이면서 파일명이 숫자로 시작하며 영문/숫자 조합으로 생성된다. 3) 여기서는 System32drivers7f0ed690.sys 이며, Rustock의 경우 정상모드에서 삭제가 되지 않기 때문에 안전모드(네트워크 지원)로 부팅하여 조치해야 한다. * 안전모드 부팅 방법은  [안전 모드부팅 후 치료하기]글을 참조해 주시기 바랍니다. 4) 시스템을 안전모드(네트워크 지원)로 부팅한 후, GMER을 실행하여 등록한 서비스를 삭제한다. 5) 서비스 삭제 후 GMER의 [Files]탭을 선택하여 의심 파일이 위치하는 경로로 이동하여 해당 파일을 선택하여 [Kill] 한 다음, 수집을 위해…

“You’ve received a postcard” 스팸 메일 주의!

악성파일이 첨부된 새로운 스팸 메일이 발견되었습니다. 이 스팸메일의 제목은 “You've received a postcard”  이며 본문은 아래와 같습니다. Good day. Your family member has sent you an ecard from 123greetings.com. Send free ecards from 123greetings.com with your choice of colors, words and music. Your ecard will be available with us for the next 30 days. If you wish to keep the ecard longer, you may save it on your computer or take a print. To view your ecard, open zip attached file. 이 스팸메일에 첨부된 허위백신을 다운로드하면 아래 그림과 같습니다. 상기 메일을 수신하시면 바로 삭제해 주시기 바랍니다.   만약, 첨부파일을 실행시켰다면 V3에서 Win-Trojan/Fakeav.Gen 진단명으로 진단되므로 엔진을 최신 엔진으로 업데이트한 후 치료하시기 바랍니다.

Rustock 조치 가이드

1. 증상 및 진단 확인 —————————————————————–   1) 방화벽 등의 보안장비에서 Remote 25번 포트로 트래픽을 발생시키는 시스템을 찾는다.   2) 감염이 의심되는 시스템에서 [시작] – [실행]에서 cmd.exe 를 실행 후, netstat –ano       명령으로 네트워크 연결을 확인한다. Rustock에 감염된 시스템은 Remote TCP 25번       포트로 SYN_SENT 증상을 발생시킨다. 아래와 같이 Ahnreport의 ‘네트워크 연결’ 항목에서도 확인이 가능하다. 2. 증상 발생 시 조치방법 I : 제품 —————————————————————–   제품에서 진단되는 경우 아래 과정으로 조치 수행해야 하며, 두 항목을 함께 진행할 것을   권고함   1) 만일, V3제품으로 진단되는 내용이 없을 경우, 정상모드로 부팅하여 안철수연구소       홈페이지를 통해 Rustock 전용백신으로 다운로드 받아 진단/치료를 수행한다.       (전용백신 다운로드 경로 : http://download.ahnlab.com/vaccine/v3rustock_gen.exe)   2) Rustock의 경우, 진단 무력화 기법을 사용하기 때문에 시스템을 안전모드(네트워크      지원)로 부팅하여 설치된…

Conficker 조치 가이드 (2)

3.    Conficker 조치 방법 ————————————————————–   A.    수동 조치 방법(진단불가능) * Win32/Conflicker.worm 변형 수동조치 법   [1] GMER Download : http://www.gmer.net/gmer.zip 에서 툴을 다운로드 받으신 후, 임의의 폴더에 압축을 해제하여 gmer.exe를 실행합니다.   [2] GMER를 실행했을 때 은폐형 파일이 존재할 경우 아래와 같이 메시지가 출력됩니다. 붉은색으로 표시된 부분(svchost.exe에 hidden으로 표시)의 Value 항목에 위치한 값을 확인합니다. (여기서는 Remoteserv) [3] 2번 과정에서 이미 붉은색으로 확인된 내용이 존재하므로, ‘아니오’를 선택합니다.(‘예’를 선택할 경우 Full Scan을 시작하며 많은 시간이 소모됩니다.) 물론 은폐형 파일이라고 해서 모두 악성은 아니며 아래 경우와 동일한 경우에만 수동조치가 필요합니다.   [4] >>> 탭을 클릭하면 숨어있던 탭이 보이게 됩니다.   [5] Registry 탭을 클릭한 후, 아래의 경로를 따라 Services 항목의 하위 키값를 확인합니다. [6] 2번에서 확인된 Value값과 동일한 서비스명을 찾아 하위 Parameter 위치로…