V3

Conficker 조치 가이드 (1)

1. Conficker 개요 ——————————————————————————————————- 해당 악성코드는 윈도우 보안 취약점(MS08-067), 관리공유 및 이동디스크를 통해 빠르게 확산되어 네트워크 자원(랜덤 및 B클래스 IP대역을 대상으로 Remote TCP 445포트로 대량의 트래픽 발생)을 소모시킨다. 추가적으로 진단을 어렵게 하는 기법이 사용되었는데, 악성코드 원본을 Svchost.exe에 Remote Handle(원격핸들)로 오픈하여 실행되며, 악성코드가 등록한 레지스트리 서비스 및 악성파일 원본에 Read권한을 없애 파일/레지스트리에 접근을 불가능하게 한다. 2. Conficker 증상 확인 방법 ——————————————————————————————————-  A. 네트워크를 통한 확인 방법 [주요 증상] – TCP 445 포트로 다량의 트래픽을 발생 – DNS 쿼리를 후킹하여 보안 사이트만 접속되지 않도록 하는 증상 발생 (ex) MS 사이트, ahnlab.com 등   [의심 증상] – 랜덤 및 B클래스 IP대역을 대상으로 Remote TCP 445포트를 통한 대량의 트래픽 발생시키는 시스템 존재   [세부 확인] – 의심 증상이 발생되는 시스템에서 패킷 덤프를 저장한 후…

안전모드 부팅 및 안전모드 부팅 후 V3로 시스템 검사하기

안전모드로 부팅 및 안전모드 부팅 상태에서 V3로 시스템을 검사하는 방법에 대해 안내해 드립니다.  1. 안전모드 부팅 안전모드 부팅하는 방법은 시스템 시작할 때 (PC 전원이 켜졌을 때) F8 번 키를 계속 누르시면 (0.5초 간격) 아래 그림과 같이 Windows 고급 옵션 메뉴 화면으로 넘어가게 됩니다. 아래 화면에서 “안전 모드(네트워킹 사용)” 모드를 선택하여 부팅을 합니다. 아래 그림에서의 확인창이 팝업되면 “확인”을 누르시고 다음 단계로 넘어가십니다. 2. 안전모드 부팅 후 V3로 시스템 검사하기 * “안전모드 부팅 후 V3로 시스템 검사하기” 는 안전모드 후 추가적으로 시스템을 검사하실 고객께서만 참조해 주시기 바랍니다. 위에서 설명해 드린 안전모드 부팅 밥번을 참조하시어 안전모드로 부팅하시고 V3 를 실행하신 후 시스템을 검사해 주시면 되겠습니다. 각각의 제품 별로 안전모드 상에서 V3로 시스템을 검사하는 아래 캡쳐 화면을 참고해 주시기 바랍니다. [V3 IS 8.0 제품] [V3 IS 7.0 제품] [V3 Lite 제품]

Total Security 조치 가이드

1. 개 요  최근 새롭게 변형되어 등장한 허위 안티 바이러스(AV) 프로그램인 Total Security에 대한 피해사례가 다수 보고되어 조치가이드를 작성하게 되었습니다. 2. 주요 증상 1) 바탕화면이 아래와 같이 바뀝니다. 2) 아래의 그림과 같은 “Total Security” 라는 허위 안티바이러스(AV) 프로그램이 실행 됩니다. 3)  증상 발생 시 조치방법  먼저 Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다. 다운로드 : http://asec001.v3webhard.com/IceSword.zip   Ice Sword 프로그램을 실행 후 [Process] 메뉴로 가서 [숫자8자리.exe] 프로세스를 찾은 후 아래 그림처럼 마우스 오른 클릭 후 [Terminate Process]를 선택합니다.   이제 Ice Sword 에서 [File] 메뉴를 선택을 합니다. 선택 후 아래의 경로로 이동합니다. C:Documents and SettingsAll UsersApplication Data 해당 경로로 이동을 하면 [숫자8자리] 이름으로 된 폴더가 있습니다. 해당 폴더를 역시 마우스 오른클릭 후 [Force Delete]를 누릅니다….

압축파일 진단/치료 후 재압축하기

압축파일 내 악성코드가 있을 경우 아래 그림처럼 V3 [바이러스 검사]-[검사 설정]에서  “압축 파일 검사”에 설정을 해 두시면 진단/치료가 가능합니다. 설명은 IS 7.0을 기준으로 설명드리겠습니다. 여기까지만 설정을 해두셨다면 압축 파일 내 악성코드 진단 후 “치료하기”를 선택하면 아래와 같은 창을 보시게 될 것입니다. 위 그림을 보시면 2번 항목에 [그대로 두기]로 설정이 되어 있을 경우 선택한 항목을 치료하지 않는다고 나와있습니다. 이것을 해결할려면 아래 그림과 같이 “치료 방법 선택하기” 사용자지정에서 [감염된 압축 파일]-[삭제하기] 설정을 해 주시면 되겠습니다. 또한 치료 후 재압축을 원하시면 맨 아래 설정까지 체크 해 주시면 되겠습니다.

네트워크 트래픽 유발 Win32/Palevo.worm 조치가이드

1. 개 요 Win32/Palevo.worm(원본파일명 ; sysdate.exe) 악성코드 관련하여 UDP/5907, UDP/80 등 다수 트래픽을 유발하는 현상이 발생하여 긴급 조치를 위한 가이드를 작성/배포합니다. [그림 1. 관련 트래픽 차단 현황] 2. 주요 증상 주요증상은 다음과 같습니다. 1) 시스템 루트RECYCLERs-1-5-21-[숫자]에 sysdate.exe, Desktop.ini 파일을 생성. 2) 레지스트리 추가를 통해 시작프로그램에 등록. HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonTaskman “C:RECYCLERS-1-5-21-[숫자]sysdate.exe” HKEY_USERSS-1-5-21-[숫자]SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell explorer.exe,C:RECYCLERS-1-5-21-[숫자]sysdate.exe 3) 외부 사이트 접속시도 b***erfly.***Money.biz  9*.9.1*0.**3 bu****fly.s***p.es  8*.1*6.1**.7* q***asdfg.sinip.es 7*.2**.1*2.1*2 unk****.w*  7*.*0.2*.1** 3. 증상 발생 시 조치방법 1) 긴급 수동조치  추가 감염을 예방하기 위해 시스템루트RECYCLER 폴더 이하에 생성된 sysdate.exe 파일을 삭제 합니다. 삭제하는 방법은 아래와 같습니다. 먼저 Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다. 다운로드 : http://asec001.v3webhard.com/IceSword.zip 다운로드 받은 프로그램을 실행하면 위와 같은 프로그램이 실행이 됩니다. 이제 해당 파일을 삭제하기 위해 File 탭으로…