posted by Kwan's 2011.03.04 16:08
디도스 공격을 유발하는 악성코드는
ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등이다.
이들 악성코드가 설치된 PC는 이른바 좀비 PC로 변해 일제히 특정 웹사이트를 공격한다. 악성코드가 유포된 경로는 국내 P2P사이트인 셰어박스와 슈퍼다운인 것으로 밝혀졌다.

Hauri 하우리 전용 백신

안녕하세요. (주)하우리 보안대응센터 입니다.
2009년 7.7 대란에 이어 지난 3.3 일을 기점으로 국내 포털 웹사이트를 비롯한 40 여개의 웹사이트가 DDoS 공격으로 인해 피해가 증가되고 있어 주의를 요합니다.
해당 악성코드는 이미 전일 버전 바이로봇 2011-03-03.04 이후에 모두 업데이트 된 상황입니다. 바이로봇 최신엔진으로 업데이트를 유지 하시기 바랍니다.

또한 바이로봇이 설치되어 있지 않은 PC에 대해서는 전용 백신을 무료로 배포하고 있습니다.전용백신을 다운로드 받아 이용하시기 바랍니다.

<전용 백신 다운로드>

http://www.hauri.co.kr/


하우리는 안전한 인터넷 사용을 위해 노력하겠습니다.
감사합니다.




AhnLab (안철수연구소) 전용 백신

안철수연구소 입니다.

최근 국내 웹사이트를 겨냥한 DDoS 공격 및 시스템 손상을 일으키는 악성코드가 발견되었습니다. 이에 안철수연구소는 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 지속 가동하고 국가기관과 합동으로 적극적인 대응을 수행하는 한편 DDoS공격을 유발하는 악성코드에 대한 전용백신을 무료로 배포하고 있습니다.

DDoS 공격 예방 및 시스템 손상을 방지하기 위해 전용백신을 이용하여 검사를 권장 드립니다. 추가로 V3 제품을 사용하시는 고객께서는 최신 엔진 버전으로 진단 및 치료할 수 있으며 새롭게 나오는 변형에 대해서도 예방이 가능합니다.

› 전용백신 다운로드 받기 : http://www.ahnlab.com/kr/site/main/main.do

개인 및 기업 일반 사용자분들은 좀비 PC 방지는 물론 안전한 컴퓨터 이용을 위해서는 사용자 환경에 맞는 백신을 설치하여 반드시 최신 엔진 업데이트를 실행하여 주시기 바랍니다.



Nprotect (잉카인터넷) 전용 백신

3.3 DDoS 공격 발견 경고
국내 웹 하드 업체의 모듈 변경을 통해 유포 중인 DDoS 공격 악성코드가 발견되어 사용자들의 주의가 필요한 상황입니다. 정부 기관 및 국내 유명 포털 사이트, 인터넷 뱅킹 사이트 등에서 DDoS 공격 징후가 발견되었으며, 지속적인 공격이 있을 것으로 예상되고 있으니 안전한 인터넷 사용을 위해 반드시 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 사용하시기 바랍니다.

전용백신 다운로드 받기 : http://www.nprotect.com/index.html



Alyac : 알약 (EstSoft)

안녕하세요,

알약보안대응팀입니다.

3월 4일 현재, 국내 주요인터넷 사이트들에 대한 DDOS (분산서비스거부) 공격이 진행되고 있습니다.
공격은 악성코드에 감염된 좀비 PC로부터 발생하며, 
현재 알약에서는 이 악성코드를 Backdoor.DllBot.gen, V.BKD.DllBot.gen 등 으로 진단하고 있습니다. 

(Backdoor.DllBot.gen, V.BKD.DllBot.gen, Trojan.Downloader.Agent.33D, 
V.DWN.Agent.33D, Trojan.Dropper.Agent.nthost, V.DRP.Agent.nthost, 
Trojan.Agent.docCrypt, V.TRJ.Agent.docCrypt, Trojan.Agent.hosts, V.TRJ.Agent.hosts)

고객님들께서는 사용중인 PC에 특별한 이상이 없더라도, 
반드시 알약을 설치하여 DB를 항상 최신버전으로 유지해 주시고, 
실시간 감시를 활성화 하신 뒤 검사를 실행하실 것을 권장합니다.
특히, 이 악성코드는 디스크 내의 문서파일 완전삭제 및 MBR삭제 기능이 있으며 
스케줄에 의해 동작하기 때문에 감염되었다면 반드시 치료해야 합니다.
또 hosts 파일 변조기능이 있어 일부 백신들의 업데이트 기능이 무력화될 수 있으니 
반드시 알약 또는 알약 전용백신을 다운받아 검사하시기 바랍니다.

전용백신 다운로드 받기 : http://alyac.altools.co.kr/SecurityCenter/Analysis/NoticeView.aspx?id=90


posted by Kwan's 2010.12.14 11:13

안녕하세요.
안철수연구소의 제품을 아껴주시고, 이용해 주시는 고객님께 진심으로 감사 드립니다.
 
V3Pro 2004 와 스파이제로(SpyZero) 제품의 엔진 종료 일정 관련하여 안내 드립니다.
 
V3Pro 2004 와 SpyZero 제품의 엔진 업데이트 서비스가 아래와 같은 일정으로 종료될 예정입니다.
엔진 업데이트가 종료되면, 해당 제품의 엔진 업데이트 서비스 및 제품과 관련된 모든 서비스가 종료됩니다.
이에, 아직까지 해당 제품을 사용하고 계시다면 아래 업그레이드 제품으로 교환해 주시길 바랍니다.
 

대상 제품명

엔진종료일

업그레이드 제품명

V3Pro 2004

스파이제로(SpyZero)

전 제품군

2010.12.31

V3 Internet Security 8.0 [CC인증제품]

V3 Internet Security 7.0 Platinum [CC인증제품]


     * V3 Internet Security 7.0 Platinum은 Windows NT Workstation 및 Windows 98 사용자에 한해 교환 가능합니다.
     * V3Pro 2004와 SpyZero를 함께 사용하는 고객은 V3 Internet Security 8.0 또는
        V3 Internet Security 7.0 Platinum 제품의 단일 라이선스로 교환 가능합니다.
 
업그레이드 제품으로 교환을 원하실 경우, 저희 안철수연구소 또는 총판 및 채널로 연락주시길 바랍니다.
 
감사합니다.

posted by Kwan's 2010.08.19 15:27

정보보안 포트폴리오 2010 세미나 강연 (8/26)

안철수연구소 김홍선대표가 오는 8월 26일(목) '정보보안 포트폴리오 2010 세미나'에서 '스마트폰 시대의 IT와 보안'에 대해 Key Note 강연을 펼칩니다.

많은 분들의 참여와 관심 부탁드립니다.

[상세 정보 확인 및 사전 등록 하기]

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

WISA 2010 초청 강연 (8/24)

안철수연구소 김홍선 대표가 오는 8월 24일에 한국정보보호학회가 주관하는 국제 심포지움 'WISA 2010(Workshop on Information Security Applications 2010)'에서 초청 강연을 펼칩니다.

제주도에서 2박3일간 진행되는 이번 행사 기간 중 김홍선 대표는 24일 첫 날 참가하여 'Security challenges posed by Mobile Internet services' 란 주제로 강연을 진행합니다.

많은 관심과 참여 바랍니다.

 

[WISA 2010 초청 강연]

 

 - 일시 : 2010년 8월 24일 화요일 16:55~17:35 (40분)

 - 장소 : 라마다 제주 호텔 

 - 강연주제 : Security challenges posed by Mobile Internet services 

 - 관련 홈페이지(상세 정보 및 참가 등록) : http://www.wisa.or.kr/

posted by Kwan's 2010.07.13 13:57
안철수연구소의 제품을 아껴주시고, 이용해 주시는 고객님께 진심으로 감사 드립니다.
 
V3Pro 2004 와 스파이제로(SpyZero) 제품의 엔진 종료 일정 관련하여 안내 드립니다.
 
V3Pro 2004 와 SpyZero 제품의 엔진 업데이트 서비스가 아래와 같은 일정으로 종료될 예정입니다.
엔진 업데이트가 종료되면, 해당 제품의 엔진 업데이트 서비스 및 제품과 관련된 모든 서비스가 종료됩니다.
이에, 아직까지 해당 제품을 사용하고 계시다면 아래 업그레이드 제품으로 교환해 주시길 바랍니다.
 

대상 제품명

엔진종료일

업그레이드 제품명

V3Pro 2004

스파이제로(SpyZero)

전 제품군

2010.12.31

V3 Internet Security 8.0 [CC인증제품]

V3 Internet Security 7.0 Platinum [CC인증제품]


     * V3 Internet Security 7.0 Platinum은 Windows NT Workstation 및 Windows 98 사용자에 한해 교환 가능합니다.
     * V3Pro 2004와 SpyZero를 함께 사용하는 고객은 V3 Internet Security 8.0 또는
        V3 Internet Security 7.0 Platinum 제품의 단일 라이선스로 교환 가능합니다.
 
posted by Kwan's 2010.05.17 12:04

  • 출처 : 안철수연구소
 2010년 4월 악성코드 통계현황은 다음과 같다. 
 

순 위

등 락

악성코드명

건 수

비 율

1

0

TextImage/Autorun

443,372

20.3 %

2

0

Win32/Induc

326,581

14.9 %

3

NEW

JS/Agent

145,859

6.7 %

4

-1

Win32/Parite

132,537

6.1 %

5

1

Win32/Olala.worm.57344

106,425

4.9 %

6

1

Win32/Conficker.worm.Gen

99,850

4.6 %

7

-2

ALS/Bursted

93,099

4.3 %

8

0

Win32/Virut.B

91,589

4.2 %

9

1

TextImage/Sasan

85,310

3.9 %

10

-1

Win32/Virut

83,873

3.8 %

11

1

Win-Trojan/Daonol.Gen

80,287

3.7 %

12

-8

Win32/Palevo.worm.Gen

74,729

3.4 %

13

0

TextImage/Viking

70,658

3.2 %

14

NEW

JS/Cosmu

59,189

2.7 %

15

5

Win32/Traxg.worm.61440

58,076

2.7 %

16

0

Win32/Autorun.worm

57,712

2.6 %

17

NEW

Win-Adware/KorAd.1594880

52,325

2.4 %

18

NEW

Win-Trojan/Downloader.1134080

44,518

2 %

19

NEW

Win-Trojan/Patched.AD

41,727

1.9 %

20

NEW

Win-AppCare/HideWin.31232

40,315

1.8 %

2,188,031

100 %

[표 1-1] 악성코드 감염보고 Top 20

 

 2010년 4월의 악성코드 감염 보고는 TextImage/Autorun이 1위를 차지하고 있으며, Win32/Induc과 JS/Agent가 각각 2위와 3위를 차지 하였다. 신규로 Top 20에 진입한 악성코드는 총 6건이다.
 
 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 
 

순 위

등 락

악성코드명

건 수

비 율

1

0

Win-Trojan/Agent

675,610

13.2 %

2

0

Win-Trojan/Onlinegamehack

571,698

11.2 %

3

0

Win-Trojan/Downloader

526,113

10.3 %

4

0

TextImage/Autorun

443,689

8.7 %

5

0

Win32/Induc

326,681

6.4 %

6

3

Win32/Autorun.worm

302,183

5.9 %

7

0

Win32/Conficker

286,940

5.6 %

8

0

Win32/Virut

267,357

5.2 %

9

-3

Win-Trojan/OnlineGameHack

257,022

5 %

10

NEW

Win-Trojan/Bho

167,331

3.3 %

11

0

Win-Trojan/Daonol

161,554

3.2 %

12

1

Win32/Kido

161,112

3.1 %

13

NEW

JS/Agent

145,861

2.9 %

14

-4

Win32/Palevo

140,616

2.7 %

15

-1

Win32/Parite

134,036

2.6 %

16

NEW

Win-Trojan/Killav

129,594

2.5 %

17

NEW

Win-Adware/BHO

121,458

2.4 %

18

-2

Win32/Olala

108,160

2.1 %

19

-7

Win-Trojan/Genome

95,862

1.9 %

20

-5

Dropper/Onlinegamehack

95,214

1.9 %

5,118,091

100 %

[표 1-2] 악성코드 대표진단명 감염보고 Top 20

 

 2010년 4월의 감염보고 건수는 Win-Trojan/Agent가 총 675,610건으로 Top20중 13.2%의 비율로 1위를 차지하고 있으며, Win-Trojan/Onlinegamehack이 571,698건으로 2위, Win-Trojan/Downloader이 526,113건으로 3위를 차지 하였다.
 
 아래 차트는 고객으로부터 감염이 보고된 악성코드 유형별 비율이다. 
 

[그림 1-1] 악성코드 유형별 감염보고 비율

 

 2010년 4월의 감염보고 건수는 악성코드 유형별로 감염보고건수 비율은 트로잔 (TROJAN)류가 46.4%로 가장 많은 비율을 차지하고, 웜(WORM)이 13.7%, 바이러스(VIRUS)가 8.5%의 비율을 각각 차지하고 있다. 
 

[그림 1-2] 악성코드 유형별 감염보고 전월 비교

 

 악성코드 유형별 감염보고 비율을 전월과 비교하면, 트로잔, 애드웨어(ADWARE), 다운로더(DOWNLOADER), 스파이웨어(SPYWARE)가 전월에 비해 증가세를 보이고 있는 반면 웜, 바이러스, 스크립트(SCRIPT), 드롭퍼(DROPPER)는 전월에 비해 감소 한 것을 볼 수 있다. 애프케어(APPCARE)계열들은 전월 수준을 유지하였다. 
 

[그림 1-3] 악성코드 월별 감염보고 건수

 

 4월의 악성코드 월별 감염보고 건수는 10,300,965건으로 3월의 악성코드 월별 감염 보고건수 7,578,804건에 비해 2,722,161건이 증가하였다.
 
 아래 표는 4월에 신규로 접수된 악성코드 중 고객으로부터 감염이 보고된 악성코드 Top20이다. 
 

순 위

악성코드명

건 수

비 율

1

Win-Trojan/Downloader.1134080

44,518

9.7 %

2

Win-Trojan/Bho.923136

36,673

8 %

3

Win-Trojan/Agent.70144.FG

34,787

7.6 %

4

Win-Trojan/Onlinegamehack.64398

28,212

6.2 %

5

Win-Trojan/Onlinegamehack.78936

27,064

5.9 %

6

Win-Trojan/Bho.718336

26,902

5.9 %

7

Win-Trojan/Infostealer.74104

21,736

4.8 %

8

Win-Trojan/Bho.787456

20,772

4.5 %

9

Win-Trojan/Bho.314880

20,595

4.5 %

10

Win-Trojan/Downloader.266240.I

19,612

4.3 %

11

Win-Trojan/Onlinegamehack.163840.B

19,603

4.3 %

12

Win-Trojan/Downloader.65904.B

19,028

4.2 %

13

Win-Spyware/Agent.241664.B

18,709

4.1 %

14

Win-Trojan/Pwstealer.71096

18,596

4.1 %

15

Win-Trojan/Downloader.266240.H

18,439

4 %

16

Win-Trojan/Killav.59392.C

17,664

3.9 %

17

Win-Trojan/Downloader.791552.D

16,695

3.6 %

18

Win-Trojan/Agent.106496.QU

16,584

3.6 %

19

Win-Trojan/Banker.385008

16,331

3.6 %

20

Win-Trojan/Keylogger.65912

15,002

3.3 %

457,522

100 %

[표 1-3] 신종 악성코드 감염보고 Top 20

 

 4월의 신종 악성코드 감염 보고의 Top 20은 Win-Trojan/Downloader. 1134080가 44,518건으로 전체 9.7%를 차지하여 1위를 차지하였으며, Win-Trojan/Bho. 923136가 36,673건 2위를 차지하였다. 
 

[그림 1-4] 신종 악성코드 유형별 분포

 

 4월의 신종 악성코드 유형별 분포는 트로잔이 74%로 1위를 차지하였다. 그 뒤를 이어 애드웨어가 8%, 드롭퍼가 6%를 각각 차지하였다.

 

자세한 사항은 :
http://www.ahnlab.com/kr/site/securitycenter/asec/asecReportView.do?groupCode=VNI001

 관련글 : [알약] 4 월의 악성코드 통계


posted by Kwan's 2010.05.17 11:51

글로벌 통합보안 기업인 안철수연구소[대표 김홍선 www.ahnlab.com]가 최근 ‘ASEC[시큐리티대응센터] 리포트에서 발표한 최신 보안 이슈 동향에 따르면, 사용자의 재산과 금전을 노리는 악성코드 감염 4월 보고건수는 3월 악성코드 감염 보고건수 757만 여건에 비해 약 26% 증가한 1,030만 여건으로 나타났다. 특히 월드컵 등을 앞두고 사회적으로 이슈가 되고 있는 사안을 이용해 다양한 악성코드 유포 시도가 증가할 것으로 예상되어 사용자들의 주의가 요망된다.

 

특히, 오는 6월 개최되는 2010 남아공 월드컵 관련 내용의 메일로 위장해 어도비 아크로벳 리더의 특정 이미지[TIFF] 파싱[Parsing, 구문분석] 관련 취약점 악용하는 악성코드 유포 사례가 해외에서 보고 됐다. 악의적인 PDF 는 기존에 알려진 CVE-2010-0188 취약점을 가지고 있다. 메일로 전송되었던 해당 악성코드는 취약한 어도비 아크로벳 리더에서 읽혀진 경우 TIFF 파일에 대한 잘못된 파싱과 이를 통하여 쉘코드[취약점을 이용해 특정 코드를 실행하게 할 때 사용되는 코드] 가 실행 되며, 이후 특정 폴더에 악성코드 파일을 생성하고 정보의 유출을 시도한다. 최근에 연이은 PDF 보안 문제가 불거지고 있는 만큼 해당 응용 프로그램 사용자는 반드시 보안 업데이트를 해야한다.

 

또한, 안철수연구소를 비롯한 유명 보안업체에서는 올 한해 증가할 보안 위협으로, 인기검색어를악용하는 블랙햇 SEO[블랙햇 검색엔진 최적화, Blackhat Search Engine Optimization] 기법을 이용한 악성코드 유포 및 온라인 사기를 꼽고 있다. 사이버 범죄자들은 악성코드 유포지나 온라인 사기를 벌일 수 있는 웹 사이트를 제작한 후 검색 사이트에서 사용자가 히트율이 높은 단어나 주제에 대하여 검색했을 때 자신이 제작해둔 사이트를 상위로 노출시켜 악성코드를 유포하도록 하거나 온라인 신용카드 사기를 유도한다. 주로 해외에서 자주 보고되었고 마이클잭슨, 김연아 동영상을 가장한 웹 사이트들이 블랙햇 SEO 기법을 통하여 알려진 사례가 있었다. 사용자들은 공식적이거나 신뢰할만한 웹 사이트를 방문하고, 안철수연구소의 무료 웹 보안서비스인 사이트가드[http://www.siteguard.co.kr/] 등을 이용해 안전한 웹 서핑을 하는 것도 도움이 된다.

 

이 외에도 얼마 전 국내에서 최초로 발견된 윈도우 모바일 계열 [5.0, 6.1, 6.5버전] 에서 임의로 특정 전화번호의 국제전화를 무단으로 발신하는 스마트폰 악성코드인 트레드다이얼[WinCE/TredDial.a, 일명 3D Antiterrorist]이메일 계정의 도메인 이름을 제목으로 하여 클릭을 유도하는 스팸메일을 통한 악성코드 유포, ▲국내 포털 업체가 제공하는 BGM 플레이어와 CafeOn으로 위장한 키로거를 설치하는 액티브X, ▲끊임 없는 가짜 백신 등이 주요 이슈[보충자료참고]로 꼽혔다.

 

안철수연구소 조시행 상무는 "최근 월드컵 등의 세계적인 행사를 앞두고 이를 이용하는 악성코드 유포 시도가 보고되었고 이러한 기법은 앞으로도 계속 증가할 것으로 예상된다. 또한, 일반적인 소프트웨어의 취약점을 노리는 악성코드와 결합하는 등 지능화되고 있으며 이외에도 가짜 백신, 사용자 모르게 정보를 탈취하는 트로이목마 등 다양한 보안 위협이 갈수록 증가할 것이다. 사용자는 신뢰할 수 있는 보안 수칙[보충자료 참고]을 잘 지키는 것이 중요하다.”라고 강조했다. <Ahn>

 

<보충자료>

▲ Windows Mobile 계열에서 동작하는 악성코드 국내발견

국내에서 윈도우 모바일 계열 [5.0, 6.1, 6.5버전] 에서 동작하는 스마트폰 악성코드인 WinCE/TredDial.a [일명 3D Antiterrorist]가 발견, 보고 되었다. 해당 악성코드는 게임 어플리케이션에 포함 되어 발견 되었다. 해당 악성코드의 실행 후 증상은 임의로 특정 전화번호의 국제전화를 무단으로 발신 하도록 되어 있었다. 이 경우 사용자에게 원치 않는 통신비가 과금 되는 상황이 발생 된다.

 

▲ 스팸 메일을 통한 악성코드 유포

최근 이메일 계정의 도메인 이름을 제목으로 하여 클릭을 유도하는 스팸메일이 유포되고 있다. 예를 들어 사용하는 이메일 계정이 AAA@ahnlab.com 이라면 메일 제목은 "ahnlab.com account notification" 으로 스팸 메일이 들어온다. 해당 메일에는 첨부파일이 포함되어 있거나 혹은 URL 링크가 포함되어 있다. 이러한 메일에 첨부된 파일이나 URL 링크를 통해 받는 파일은 악성코드이므로 실행하지 않도록 주의해야 한다.

 

▲ ActiveX를 통해 전파되는 악성코드

최근 국내 포털 업체의 BGM 플레이어와 CafeOn으로 위장하여 키보드의 입력 값을 훔치는 키로거[Keylogger]를 설치하는 악성 ActiveX가 발견되었다. 이번에 발견된 악성코드의 특징은 기존 악성코드들과는 다르게 파일에 대한 디지털 서명까지 포함되어 있었다는 점이다. 신뢰되지 않은 사이트에서 ActiveX 설치를 요구한다면 주의를 해야 한다.

 

▲ 끊임 없는 가짜 백신

최근 가짜 백신은 과거와 달리 보안 취약점, 다른 애드웨어의 번들 또는 업데이트 프로그램을 사용, 웹 하드와 같은 인터넷 서비스의 제휴 프로그램으로 설치하는 사례가 부쩍 늘어나고 있다. 이렇게 설치된 가짜 백신의 경우 사용자 컴퓨터를 정상적으로 사용할 수 없도록 파일의 실행을 차단하거나, 바탕화면을 변경시켜 사용자의 불안감을 조성하고 허위 또는 과장된 진단 결과를 지속적으로 노출시켜 사용자의 유료 결제를 유도한다. 이러한 피해를 막기 위해서는 새로운 프로그램을 설치하거나 서비스를 사용할 경우 무조건 ""를 눌러 진행하지 말고 추가로 설치되는 프로그램이 있는지 잘 살펴 보아야 하며 해당 프로그램이나 서비스가 나에게 정말 필요한 것인가를 다시 한번 살펴보고 진행하는 것이 중요하다.

 

* PC 보안 10계명

 

1. 윈도 운영체계는 최신 보안 패치를 모두 적용한다. 

 

2. 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 패스워드를 동일하게 설정하지 않는다. 

 

3. 해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 무료백신 ‘V3 Lite[www.V3Lite.com]’나 유료 토털 PC 케어 서비스 ‘V3 365 클리닉’ 등을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.

 

4. 웹사이트에 접속했을 때 악성코드나 스파이웨어가 다운로드되는 경우가 있으니 안철수연구소가 무료로 제공하는 ‘사이트가드’[www.siteguard.co.kr] 서비스를 이용해 예방한다.

 

5. 웹 서핑 때 보안경고 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.

 

6. 이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.

 

7. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.

 

8. P2P 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈되지 않도록 주의한다.

 

9. 정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높기 때문이다.

 

10. 중요한 자료를 주기적으로 백업해 만일의 상황에 정보를 잃는 일에 대비한다.
posted by Kwan's 2010.05.13 18:36

내가 발견한 시각은 오늘 아침 9시경이었다. 예전에도 유포했다 월요일에 없어졌던 서버였지만 오늘 다시 보니 time out 위장되어 있는 사이트였다. 프루나라는 메인 페이지에서는 이 링크를 볼수없다. 여담이지만 이렇게 프루나에 꼭꼭 숨겨놓아서 어떤 사용자를 감염 시킨다는지 이해가 가지 않았다.
사진과 같이 프루나 메인페이지에서는 젼혀 search_list3.asp 가 보이지 않으므로 정상 접속에는 이상이 없다.


이 접속 경로는 http://vxd.prxxa.com/search/search_list3.asp 이쪽으로 되어있으며 이것 또한 익스플로러로 접속시 time out 이라는 문구만 보일뿐 세부 코드는 보이지 않는다!
하지만 도구를 통해서 본다면 세부 코드가 나오는 것으로 볼수있다.
이것 또한 처음에는 제대로 변환 할수 없다 .. 이사이트에 소스중 window.document.write(x); ~> window.alert(x); 로 바꾼다면 제대로 디코더가 된 코드를 볼수있다. 이 코드를 변환한다면 비로서 최종파일이 보인다.
디코더 결과 이 프루나 search_list3.asp는 
최종파일 :  http://file.ygfamily.com/php/i./c.exe0  연결 되는것을 볼수있다.
그동안 코드와는 달리 ygfamily 로 연결이 되고 있었다.
현재 이 악성코드들은 전부 V3 에서 잡을수 있으며 모두 업데이트가 완료가 되었다.
또한 악성코드들은 이스트 소프트 와 안철수연구소로 신고하였다.


정리를 하자면
http://vod.pxxna.com/search/search_list3.asp0 에서 유포중이며
최종파일 : http://file.xxfamily.com/php/i./c.exe0 받는다.

[안철수연구소]
1 search_list3.0sp ~> V3 : JS/Downloader(추가 : 2010.05.13.03)
2 c.exe ~> V3 : Win-Trojan/Injector.53248.Z(추가 : 2010.05.12.00)

[이스트 소프트] = 알약
오늘 DB 에서 업데이트!

검사 파일: search_list3.0sp 전송 시각: 2010.05.13 00:12:59 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.13.00 2010.05.12 -
AntiVir 8.2.1.242 2010.05.12 JS/Drop.A.5851
Antiy-AVL 2.0.3.7 2010.05.12 -
Authentium 5.2.0.5 2010.05.13 -
Avast 4.8.1351.0 2010.05.12 JS:Downloader-QJ
Avast5 5.0.332.0 2010.05.12 JS:Downloader-QJ
AVG 9.0.0.787 2010.05.13 Script/Exploit
BitDefender 7.2 2010.05.13 -
CAT-QuickHeal 10.00 2010.05.12 -
ClamAV 0.96.0.3-git 2010.05.12 -
Comodo 4829 2010.05.12 -
DrWeb 5.0.2.03300 2010.05.13 -
eSafe 7.0.17.0 2010.05.11 -
eTrust-Vet None 2010.05.12 -
F-Prot 4.5.1.85 2010.05.12 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.05.13 -
Fortinet 4.1.133.0 2010.05.12 -
GData 21 2010.05.13 JS:Downloader-QJ
Ikarus T3.1.1.84.0 2010.05.12 -
Jiangmin 13.0.900 2010.05.12 -
Kaspersky 7.0.0.125 2010.05.13 Trojan-Downloader.JS.Agent.fhk
McAfee 5.400.0.1158 2010.05.13 -
McAfee-GW-Edition 2010.1 2010.05.13 Heuristic.BehavesLike.JS.Exploit.A
Microsoft 1.5703 2010.05.12 -
NOD32 5110 2010.05.12 -
Norman 6.04.12 2010.05.12 -
nProtect 2010-05-12.01 2010.05.12 -
Panda 10.0.2.7 2010.05.12 -
PCTools 7.0.3.5 2010.05.12 -
Rising 22.47.02.04 2010.05.12 Trojan.DL.Script.JS.Agent.qx
Sophos 4.53.0 2010.05.13 -
Sunbelt 6296 2010.05.13 -
Symantec 20101.1.0.89 2010.05.13 -
TheHacker 6.5.2.0.279 2010.05.11 -
TrendMicro 9.120.0.1004 2010.05.12 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.13 -
VBA32 3.12.12.4 2010.05.12 -
ViRobot 2010.5.12.2312 2010.05.12 -
VirusBuster 5.0.27.0 2010.05.12 -
 
추가 정보
File size: 5777 bytes
MD5   : a485b05d5035a168bb7fc3fd38220500
SHA1  : 3685084e053db302445caae2bfd63762ebf3b97b
SHA256: 58c9bbeb8f83242d054b71c3863fe87aba222142409d3b6f5f19e3705ca67bc4
검사 파일: c.0xe 전송 시각: 2010.05.13 00:13:04 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.10 Trojan.Peed!IK
AhnLab-V3 2010.05.13.00 2010.05.12 Win-Trojan/Injector.53248.Z
AntiVir 8.2.1.242 2010.05.12 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.12 Trojan/Win32.Pincav.gen
Authentium 5.2.0.5 2010.05.13 -
Avast 4.8.1351.0 2010.05.12 Win32:Malware-gen
Avast5 5.0.332.0 2010.05.12 Win32:Malware-gen
AVG 9.0.0.787 2010.05.13 -
BitDefender 7.2 2010.05.13 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.12 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.05.12 -
Comodo 4829 2010.05.12 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.13 -
eSafe 7.0.17.0 2010.05.11 -
eTrust-Vet 35.2.7484 2010.05.12 -
F-Prot 4.5.1.85 2010.05.12 -
F-Secure 9.0.15370.0 2010.05.13 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.12 -
GData 21 2010.05.13 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.12 Trojan.Peed
Jiangmin 13.0.900 2010.05.12 -
Kaspersky 7.0.0.125 2010.05.13 Trojan.Win32.Pincav.zrz
McAfee 5.400.0.1158 2010.05.13 Generic.dx!sra
McAfee-GW-Edition 2010.1 2010.05.13 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.12 Trojan:Win32/Malagent
NOD32 5110 2010.05.12 a variant of Win32/Kryptik.DXI
Norman 6.04.12 2010.05.12 -
nProtect 2010-05-12.01 2010.05.12 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.12 Generic Trojan
PCTools 7.0.3.5 2010.05.12 -
Prevx 3.0 2010.05.13 High Risk Cloaked Malware
Rising 22.47.02.04 2010.05.12 Packer.Win32.UnkPacker.b
Sophos 4.53.0 2010.05.13 Sus/UnkPack-C
Sunbelt 6296 2010.05.13 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.05.13 -
TheHacker 6.5.2.0.279 2010.05.11 Trojan/Pincav.zrz
TrendMicro 9.120.0.1004 2010.05.12 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.05.13 -
VBA32 3.12.12.4 2010.05.12 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.12.2312 2010.05.12 -
VirusBuster 5.0.27.0 2010.05.12 -
 
추가 정보
File size: 53248 bytes
MD5   : 7dc283909f9af5493de63aae1453a807
SHA1  : 0b9d820a6563bce957c04f60545b467c1d029d3f
SHA256: c3c7dc6df3a5b802d71834046b6f87e655bb29cf9030f879f8375c9e65363e7e
posted by Kwan's 2010.05.12 18:20
3주전 발견했던 CJ 엔터 테인먼트가 현재 까지도 악성코드를 가지고 있어서 이렇게 글을 올린다.
프로그램으로 본 결과 악성 코드인 lib.asp 를 삽입되어 있는 모습을 이와 같이 볼수있다.



JS 파일 안에 lib.asp 라는 파일을 확인을 할 수가 있을것이다. 이것은 역시 익스플로러로 들어갈시에 time out 이라는 문구를 보내며 위장하고 있는 사실을 볼 수 가 있다.
이 파일을 다시 복호화 과청을 걸친다면 최종 파일인 exe 가 볼수있다.
이글을 쓰는 지금 이시각도 유포중에 있으며 이 사이트를 매우 조심해야 할 필요가있다.

현재 최종파일도 받는 서버가 살아 있으므로 이 곳을 매우 조심해야한다.

lib.asp : http://61.100.7.171/cxx/lib.asp0
최종파일 : http://61.100.1.93/cxx/isa.exe0

현재도 다운을 받을 수 있으며 마지막으로 이 사이트에 대해서는 조심하자!

검사 파일: lib.asp 전송 시각: 2010.05.10 00:38:59 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 Virus.JS.Downloader.QJ!IK
AhnLab-V3 2010.05.09.00 2010.05.08 JS/Downloader
AntiVir 8.2.1.236 2010.05.09 JS/Drop.A.5851
Antiy-AVL 2.0.3.7 2010.05.07 -
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 JS:Downloader-QJ
Avast5 5.0.332.0 2010.05.09 JS:Downloader-QJ
AVG 9.0.0.787 2010.05.09 Script/Exploit
BitDefender 7.2 2010.05.10 Trojan.Script.407264
CAT-QuickHeal 10.00 2010.05.08 -
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 -
DrWeb 5.0.2.03300 2010.05.10 -
eSafe 7.0.17.0 2010.05.09 -
eTrust-Vet None 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 JS/Crypted.GA.gen
F-Secure 9.0.15370.0 2010.05.10 Trojan.Script.407264
Fortinet 4.1.133.0 2010.05.09 -
GData 21 2010.05.10 Trojan.Script.407264
Ikarus T3.1.1.84.0 2010.05.09 Virus.JS.Downloader.QJ
Jiangmin 13.0.900 2010.05.09 -
Kaspersky 7.0.0.125 2010.05.09 Trojan-Downloader.JS.Agent.fhk
McAfee 5.400.0.1158 2010.05.09 -
McAfee-GW-Edition 2010.1 2010.05.09 Heuristic.BehavesLike.JS.Exploit.A
Microsoft 1.5703 2010.05.09 -
NOD32 5099 2010.05.10 -
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 Trojan.Script.407264
Panda 10.0.2.7 2010.05.09 -
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 -
Rising 22.46.06.04 2010.05.09 Trojan.DL.Script.JS.Agent.qx
Sophos 4.53.0 2010.05.09 JS/Agent-MZX
Sunbelt 6283 2010.05.10 -
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.09 -
TrendMicro 9.120.0.1004 2010.05.09 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 -
VBA32 3.12.12.4 2010.05.06 -
ViRobot 2010.5.8.2306 2010.05.09 JS.S.Agent.5851
VirusBuster 5.0.27.0 2010.05.09 -
 
추가 정보
File size: 5851 bytes
MD5   : 51e7b5fe2fa7ef45de3b3671ba91b011
SHA1  : e6e7dd63b6de5b8b24c5a91d001d23a01de8186b
SHA256: 1d373a0cd0b239795370655695fb7db3138ab1aa1a4cb4df676f72150d82a7b9
검사 파일: isa.exe 전송 시각: 2010.05.10 00:46:48 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.05.09 Trojan.Peed!IK
AhnLab-V3 2010.05.09.00 2010.05.08 Win-Trojan/Pincav.54784.U
AntiVir 8.2.1.236 2010.05.09 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.07 Trojan/Win32.Pincav.gen
Authentium 5.2.0.5 2010.05.09 -
Avast 4.8.1351.0 2010.05.09 Win32:Malware-gen
Avast5 5.0.332.0 2010.05.09 Win32:Malware-gen
AVG 9.0.0.787 2010.05.09 Generic17.BKEJ
BitDefender 7.2 2010.05.10 Trojan.Peed.Gen
CAT-QuickHeal 10.00 2010.05.08 Trojan.Pincav.ywu
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.10 Trojan.Siggen1.24430
eSafe 7.0.17.0 2010.05.09 Win32.PWS.Mmorpg
eTrust-Vet 35.2.7474 2010.05.07 -
F-Prot 4.5.1.85 2010.05.09 -
F-Secure 9.0.15370.0 2010.05.10 Trojan.Peed.Gen
Fortinet 4.1.133.0 2010.05.09 W32/Pincav.YWU!tr
GData 21 2010.05.10 Trojan.Peed.Gen
Ikarus T3.1.1.84.0 2010.05.10 Trojan.Peed
Jiangmin 13.0.900 2010.05.09 Trojan/Pincav.eta
Kaspersky 7.0.0.125 2010.05.09 Trojan.Win32.Pincav.ywu
McAfee 5.400.0.1158 2010.05.09 PWS-Mmorpg!oq
McAfee-GW-Edition 2010.1 2010.05.09 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5703 2010.05.09 Trojan:Win32/Malagent
NOD32 5099 2010.05.10 Win32/PSW.Gamania.NCP
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 Trojan.Peed.Gen
Panda 10.0.2.7 2010.05.09 Generic Trojan
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.10 High Risk Cloaked Malware
Rising 22.46.06.04 2010.05.09 Trojan.Win32.Generic.5202C6D7
Sophos 4.53.0 2010.05.09 Troj/Dload-HL
Sunbelt 6283 2010.05.10 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.05.10 -
TheHacker 6.5.2.0.277 2010.05.10 Trojan/Pincav.ywu
TrendMicro 9.120.0.1004 2010.05.09 TSPY_MAGANIA.KI
TrendMicro-HouseCall 9.120.0.1004 2010.05.10 TSPY_MAGANIA.KI
VBA32 3.12.12.4 2010.05.06 Malware-Dropper.Win32.Inject.gen
ViRobot 2010.5.8.2306 2010.05.09 Trojan.Win32.Pincav.54784.C
VirusBuster 5.0.27.0 2010.05.09 Trojan.PWS.Gamania.BBV
 
추가 정보
File size: 54784 bytes
MD5...: a19b540af7132a86e866be1152256f07
SHA1..: 77715cc29b8911598f5f43bb0b17687267ea75f5
SHA256: 1d109b0ebfebc3d3c960bb7e4ef2917d64c4fef515ab031f1f15d522f0aa7fde

box.exe ~> V3 : Win-Trojan/Magania.53248.AA(추가 : 2010.05.07.07)
isa.exe ~> V3 : Win-Trojan/Pincav.54784.U(추가 : 2010.05.01.00)

이와 같이 현재는 대부분의 신고로 모두 백신이 잡는다는 것을 볼수있다.
이런 사이트는 안전한 상태가 아니면 피하는것이 좋다고 볼수있다.
호기심에 실행시켜서 얻는 불이익은 모두 실행시킨분의 책임입니다.


posted by Kwan's 2010.05.12 17:08

안녕하세요 안철수연구소 입니다.

알아서 다해주는 "PC주치의"출시 2주년 기념 무료체험 이벤트에 선정된 무료 체험자를 발표합니다.

 

지난 5 6 ~ 5 11일까지 수많은 회원들께서 다양한 사연으로 무료체험을 신청해 주었습니다.

이 중 공지드린 대로, 관리자들의 검토를 거쳐 1차로 36분의 체험자를 선정하였습니다.

 

PC주치의 무료체험자로 선정된 분께서는 6 25일까지 원하는 일자에 예약을 한 뒤

PC무료 점검을 받을 수 있습니다.

 

다음의 무료체험자 발표는 519일에 있을 예정이며,

신청해주신 많은 분들을 모두 선정해 드릴 수 없어서 송구합니다.

 

감사합니다.

 

<PC점검 예약 바로하기>

 

아이디

이름

아이디

이름

gpfusdi

고혜*

qoekahdk00

배다모*

kkimmi09

김미*

saeunsook

사은*

bulggang3

김민*

tjdowl9241

서애*

blues4me

김보*

topream

원혜*

krabora

김보*

cuki0710

윤원*

kbd7148

김봉*

hklee0405

이혜*

ksjlmw

김수*

hyohyo911

임효*

dudgml0725

김영*

jdbmc00

정단*

pfkimyj

김예*

jeong5911

정용*

antivirusend

김윤*

jeamin01

정재*

nicehen

김은*

nabisiny

정정*

devliosn

김지*

frog1713

정희*

damachan

김혜*

happyi33

조은*

oupsss

박국*

dbsckddl4512

최윤*

gy850423

박근*

show1989

최주*

pqt3751

박수*

cjk21c

최준*

ddalanghae

박유*

kousagi

한유*

drpark009

박주*

kuk2157

홍진*



난 어디로 간거지 ㅠㅠㅠㅠ 한번 신기해서 응모해봤는데!ㅠㅠ
posted by Kwan's 2010.05.11 22:45

안녕하세요 안철수연구소 입니다.

V3 365 클리닉에서는 알아서 다해주는 "PC주치의" 출시 2주년을 기념하여, 27,500원 상당의 PC주치의 무료 체험 이벤트 및 PC주치의가 포함된 상품을 직접 구매할 경우 10% 할인을 해주는 이벤트를 아래와 같이 준비했습니다. 
PC주치의는 안철수연구소의 PC전문가가 회원님의 PC로 원격 접속을 하여
문제가 있는 PC를 점검하고 문제 해결을 해주는 서비스 입니다.

서비스 만족도 97%, 문제 해결율 90%를 자랑하는 PC주치의 서비스 체험의 기회를 지금 잡아 보세요!

감사합니다.

알아서 다해주는 PC주치의 출시 2주년 기념 무료 체험 & 10% 할인 이벤트 안내

1. 체험 신청 및 체험 기간 : 2010년 5월 6일(목)  ~ 2010년 6월 25일(화)  

2. 10% 할인 기간 : 2010년 5월 6일(목) ~ 2010년 6월 6일(일)

3. 이벤트 참여 대상
 - PC주치의에 관심이 있으신 모든 분들

4. 이벤트 내용
- 이벤트 보기: ☞ 이벤트 페이지 바로가기

 

 1> PC주치의 체험하고 사용기 등록하기

매주 체험을 신청해 주신 분들 중 36분을 총 5주간 선정하여 27,500원 상당의 PC주치의 체험의 기회를 드립니다.
체험 후 사용기를 올려 주기만 하면 100% 한번 더 PC주치의 1회 사용권을 드리며,
최우수 후기에게는 500G 외장 하드를 드립니다.

 2> 체험 이벤트 소문내고 1만원 해피머니 상품권 받기

블로그, 까페, 미니홈피, 트위터에 본 이벤트를 소문 내 주신 분 중 50분을 추첨하여
1만원 상당의 해피머니 상품권을 드립니다.

3> 10% 할인받아 PC주치의 구매하기

PC주치의를 직접 구매하고 싶은 경우, 6/6까지 10% 할인 쿠폰을 다운로드 할 수 있으며
PC주치의가 포함된 모든 상품 구매 시 10% 할인이 적용 됩니다.

 

감사합니다.