관리자 (posted by 2007-08-25)  
MSN으로 전파되는 웜 주의!!

해당 웜은 MSN 메신저로 특정 문구를 전송하여 사용자들로 하여금 다운로드 후 실행하도록 한다.

* 전파시 사용되는 메시지

OMG I broken my foot, look!
Is this you?
Accept dis picture homie
Hahahahahahahaha
look @ my new car
Look @ my new house
Did you see this picture of Paris Hilton?
OMG, this picture is so sad :(
Look how cute we look in this picture?
Should I tag you in this picture?
Hey, check out my new picture
Are you going to accept this?
Look at this image!!!
LoL, have you seen this?
Hi, did you see this picture from our summer



* 실행 후 증상

[파일 생성]

윈도우 폴더에 다음 파일을 생성한다.

- imgac157.zip (81,570 바이트) - 원본과 동일하게 압축된 파일이다.
- winpo32.exe (81,408 바이트)

주) 윈도우 폴더는 시스템마다 다를 수 있으며 보통 윈도우 95/98/ME/XP는 C:Windows, 윈도우 NT/2000은 C:WinNT 폴더이다.


[레지스트리 등록]

레지스트리에 다음 값을 추가해 윈도우 시작 시 자동으로 실행되도록 한다.

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run
Windows Population Logger = winpo32.exe

[접속 호스트]

접속되는 호스트는 다음과 같다.
- *2.**9.*2.7*
주) 일부 주소는 * 로 처리하였다.

[포트 오픈]

감염된 시스템은 다음의 포트를 상대로부터 접속을 기다리는 상태(LISTENING 상태)로 열어둔다.

- TCP 1863번 포트

사용자 몰래 접속해 프로그램 실행, 데이터 삭제 등의 사용자가 원하지 않는 행동이나 스팸 메일 발송, 애드웨어 설치 등의 행위 뿐 아니라 개인의 컴퓨터 사용 내역을 훔쳐보거나 각종 파일(개인 문서, 기밀 문서 등)을 외부로 빼가는 보안상 문제도 발생할 수 있다.



치료법

* V3 Internet Security (2007 / 2007 Platinum / 7.0 Enterprise / 7.0 Platinum Enterprise) 사용자

1. 제품 실행 후 오른쪽 상단의 [업데이트]를 선택하거나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다.

2. 왼쪽 메뉴의 [바이러스 검사]를 선택 후 [검사하기]를 누른다.

3. 빠른 검사, 수동 검사, 사용자 목록 검사 중 검사 방법을 선택 후 [검사 시작]을 누른다.

4. 메모리에서 실행중인 악성코드가 발견되면 일반적으로 자동 치료(삭제)된다.

5. 메모리 검사와 파일 검사가 끝나면 진단 결과에 진단명이 나타난다. 여기서 '모두 선택'이나 개별 선택 후 [치료하기]를 눌러 진단된 악성코드를 치료(삭제)한다.

6. 치료 혹은 삭제 할때 추가/변경 된 레지스트리 값은 자동 수정된다.

7. 치료 실패 혹은 재감염이 발생할 경우 우선 안전모드로 부팅 후 치료해 본다. 계속 치료 실패 혹은 재감염 증상이 발생한다면 안리포트 결과와 함께 신고센터로 문의한다.

* MyV3 사용자

1. MyV3 사이트( http://clinic.ahnlab.com/clinic/myv3.html 등)에 접속해 실행한다. 만약 MyV3의 액티브 X 컨트롤이 설치되어 있지 않다면 '보안 경고'창에서 '예'를 눌러 설치한다.

2. MyV3를 최신 버전으로 업데이트 된다.

3. 검사할 드라이브를 지정하고 [검사시작] 버튼을 눌러 검사를 시작한다.

4. 프로세스에서 실행중인 관련 악성코드가 진단되면 안내되는 메시지의 '강제종료후
치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다.

5. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목
록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다.

6. 필요시 추가/변경 된 레지스트리 값은 자동수정된다.

7. 치료 실패 혹은 재감염이 발생할 경우 우선 안전모드로 부팅 후 치료해 본다. 계속 치료 실패 혹은 재감염 증상이 발생한다면 안리포트 결과와 함께 신고센터로 문의한다.

* V3Pro 2002 Deluxe / V3Pro 2004 / V3Net for Windows Server 사용자

1. 사용 제품을 실행 후 [업데이트] 버튼이나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다.

2. 검사할 드라이브를 지정하고 검사를 시작한다.

3. 프로세스에서 실행중인 관련 악성코드가 진단되면 안내되는 메시지의 '강제종료후 치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다.

4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다.

5. 필요시 추가/변경 된 레지스트리 값은 자동수정된다.

6. 치료 실패 혹은 재감염이 발생할 경우 우선 안전모드로 부팅 후 치료해 본다. 계속 치료 실패 혹은 재감염 증상이 발생한다면 안리포트 결과와 함께 신고센터로 문의한다.


201 "메모리해킹에 대한 오해와 진실"   관리자   2007-09-08
200 USB 메모리 통한 악성코드 확산 ‘주의보’   관리자   2007-09-06
199 사이버 공격으로부터 PC를 지켜내라   관리자   2007-09-03
198 `무늬만` 스파이웨어 제거 프로그램   관리자   2007-08-30
197 美 취업사이트 몬스터닷컴, 해커 침입에 ‘와르르’   관리자   2007-08-29
196 중국 해커부대, 독일 정부 컴퓨터망에 침투   관리자   2007-08-27
MSN으로 전파되는 웜 주의!!   관리자   2007-08-25
194 ‘패리스 힐튼 사진 파일’ 웜 주의!   관리자   2007-08-23
193 중국, 강력한 바이러스 ‘xiaohao’ 등장   관리자   2007-08-19
192 홈피 관리자 ID와 PW, 아직도 ‘admin’인가?   관리자   2007-08-16

   31  |  32  |  33  |  34  |  35  |  36  |  37  |  38  |  39  |  40   


제목 글쓴이