Search results for '바이러스'

  1. 2009.03.10 -- [Virus] Win32/Conficker.worm.173318
  2. 2009.02.12 -- 2090 바이러스(가칭) 백신 소식 3

[Virus] Win32/Conficker.worm.173318

피씨용기록/기타無狼
2009. 3. 10. 19:43

학생 설계 프로젝트의 사전 미팅을 위해 합숙 아닌 합숙을 하면서 피씨방에서 시간을 때우게 되면서 특정 사이트가 접속되지 않는 경우를 발견하게 되었다.


첫째로 백신 관련 ActiveX , Plugin 등이 동작되지 않는다.

둘째로 대다수의 백신 사이트에 접속이 되지 않는다.

셋째로 특정 백신들이 실행중 오류를 내거나 업데이트가 되지 않는다.


뭐... 어차피 결국 같은 내용과 다름이 없다.  그런데 이는 얼마전 2090바이러스(가칭) 보다 한달 전에 이미 윈도우 취약성을 통해 경고되고 패치가 완료된 상황이었는데 그 피씨방은 윈도우 업데이트에도 신경을 쓰지 않았고 윈도우 셋팅 자체도 SP2 에서 더이상 신경을 쓰지 않은 시스템이었다.

결국 이는 기존 SP2 이전의 Blaster 웜과 유사한 전파경로와 상황을 가져오고 있는 것이다. 


Conficker.Work 에 관한 정보는 다음과 같다.  출처는 Ahnlab [링크] 이다.

명칭 Win32/Conficker.A, W32.Downadup.B

개요 Win32/Conficker.worm.173318은 윈도우 서버 서비스 원격코드 실행 취약점을 이용하여 전파 되는 악성코드이다. 해당 취약점이 존재하는 경우 감염 될 수 있으며 감염 후 시스템은 주변의 다른 시스템을 감염 시킨다. 또한 취약한 관리목적공유폴더나 USB 형태의 이동식 디스크 등으로 자신을 전파 하기도 한다. 본 글을 작성하는 현재에도 다수의 변형이 발견, 보고 되었으며 본 정보는 해당 변형에 대한 공통적인 내용을 담고 있다.

* 전파 경로

Win32/Conficker.worm.173318 은 다음과 같은 3가지 방법으로 자신을 스스로 전파한다.

- 윈도우 서버 서비스 원격 코드 실행 취약점
* (MS08-067 보안 취약점 정보 보기)

- 취약한 암호를 가진 관리목적공유폴더 admin$

- USB 형태의 이동식 저장 디스크

* 실행 후 증상

Win32/Conficker.worm.173318 은 감염 후 다음과 같은 특정 폴더에 자신의 복사본(*.dll파일) 을 생성하는데 파일명은 랜덤 하다.

- \프로그램 파일 폴더\Movie Maker
- \프로그램 파일 폴더\Internet Explorer
- \Temp
- \시스템 폴더\

악성코드는 자신의 파일에 대한 보안속성을 변경하고 원격파일 핸들을 오픈 하는등 자신의 파일이 진단 및 삭제 되지 않도록 하고 있기 때문에 일반적인 방법으로는 제거하기 어렵다.

주) 윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32,
윈도우 XP는 C:\Windows\System32폴더이다.


다른 백신업체들에서는 아래 리스트와 같이 진단한다.

Kaspersky            7.0.0.125    2009.02.09    Net-Worm.Win32.Kido.fa
McAfee                      5520    2009.02.08    W32/Conficker.worm.gen.a
McAfee+Artemis          5520    2009.02.08    W32/Conficker.worm.gen.a
NOD32                        3838    2009.02.09    a variant of Win32/Co
AhnLab-V3               5.0.0.2    2009.02.09    Win32/Conficker.worm.167765
AntiVir                    7.9.0.76    2009.02.09    Worm/Kido.FA
Authentium               5.1.0.4    2009.02.08    W32/Downadup.B
Avast                  4.8.1335.0    2009.02.08    Win32:Confi
AVG                     8.0.0.229    2009.02.09    I-Worm/Generic.CME
BitDefender                   7.2    2009.02.09    Win32.Worm.Downad
F-Prot                    4.4.4.56    2009.02.08    W32/Downadup.B
F-Secure           8.0.14470.0    2009.02.09    Worm:W32/Downadup.DHup.Gennficker.X


취약성에 관한 정보는 http://www.microsoft.com/korea/technet/security/bulletin/ms08-067.mspx 에서 찾을 수 있으며 관련 다운로드도 받을 수 있다.

필수적으로 패치하는 것이 좋을 듯 하다.

'피씨용기록 > 기타' 카테고리의 다른 글

아포칼립스님께 방입받은 랜 카드들!!  (0) 2009.03.27
멋진 무료 프로그램!  (0) 2009.03.26
adobe Flash Player 10.0.22.87  (0) 2009.02.26
2090 바이러스(가칭) 백신 소식  (3) 2009.02.12
TTA (The True Audio) file type  (0) 2009.02.04

2090 바이러스(가칭) 백신 소식

피씨용기록/기타無狼
2009. 2. 12. 01:26
 http://www.avast.co.kr/485

2월 첫 주말부터 일명 "2090년 바이러스"라고 하는 신종 악성 코드가 전파되고 있습니다. 2090년 바이러스라고 붙여진 이유는 바로 시스템 날짜를 2090년으로 변경하는 것에 유래한 것입니다. 어베스트!는 이 바이러스를 PureMorph [Cryp]으로 진단하고 있으며, 다양한 변종이 출현하고 있어 사용자의 주의가 필요합니다. 그리고, 이 바이러스의 전체적인 특징과 미연에 방지할 수 있는 방법, 바이러스를 치료한 후에 발생할 수 있는 문제점을 해결하는 방법을 소개합니다.

 

바이러스가 전파되는 가장 주요 원인은 윈도우 업데이트를 충실하게 하지 못하는 경우에 발생합니다. MS08-067 취약점을 이용하고 있으므로 이에 대한 패치를 반드시 해주어야 합니다.

윈도우 업데이트: http://windowsupdate.microsoft.com/

MS08-067 업데이트: http://www.microsoft.com/korea/technet/security/bulletin/MS08-067.mspx

윈도우가 정품이 아닌 경우에는 아래 링크에서 자동 업데이트 프로그램을 다운로드하여 설치하시면 설치하지 못했던 업데이트를 설치할 수 있으며, 앞으로 발표되는 업데이트에도 효과적으로 사용하실 수 있습니다.

http://www.boho.or.kr/pccheck/pcch_05_01.jsp?page_id=5

 

바이러스가 전파되는 경로는 네트워크 드라이브나 USB 메모리와 같은 이동형 매체입니다. 가정에서 사용하시는 분들은 네트워크 드라이브에 거의 영향을 않으므로 이동형 매체의 오토런(AUTO-RUN) 기능을 꺼 주는 것이 가장 효과적입니다.

국가정보원 USB 자동실행 방지 프로그램: http://www.avast.co.kr/406

Flash Drive Disinfector: http://moonslab.com/658

 

컴퓨터에 이미 2090년 바이러스가 감염된 경우에는 어베스트!를 설치하고 검사하여 치료하게 되면 컴퓨터가 정상적으로 부팅되지 않는 경우가 있습니다. 이는 바이러스가 감염하는 동안에 윈도우의 로그인 프로세스(userinit.exe)의 경로를 변경하기 때문입니다.

이러한 경우에는 다음과 같은 방법을 사용하여 수동으로 복구해야 합니다.

수동으로 복구하기 위해서는 다음과 같이 두 가지를 준비해야 합니다.

  • userinit.exe - 감염되지 않은 다른 PC에서 해당 파일을 복사하여 준비합니다. 동일한 운영체제의 파일을 준비해야 합니다. 파일은 플로피 디스켓, CD, USB 메모리 등에 복사해 둡니다.
  • 어베스트! BartCD v3 - 윈도우 비스타 PE로 개발되어 있는 avast! 전용 부팅 시디입니다. 이 프로그램은 유상으로 판매되고 있습니다만, 필요하신 분은 help@avast.co.kr 로 연락 주시면 최신 바이러스데이터베이스로 업데이트된 평가판 시디 이미지를 보내드립니다.

 http://blog.ahnlab.com/ahnlab/544

안철수연구소는 오늘(10일) 밤부터 컴퓨터 윈도 시스템의 날짜를 2090년으로 고정하여, PC사용을 막는 악성코드 일명 '2090 바이러스'(Win32/Aimbot.worm.15872) 전용 백신을 배포하고 있습니다.

2090 바이러스 치료 전용백신인 V3Kill(V3Aimbot.exe)은 안랩의 웹사이트를 통해 무료로 다운로드 받으실 수 있습니다. 이미 감염된 PC의 경우에 전용백신을 다운받아 치료하시면 됩니다.

(기존 V3 사용자(V3 365클리닉, V3 Lite 등)는 이미 몇일전부터 실시간 감시에서 사전에 진단 및 방어를 하기 때문에 크게 걱정하기 않아도 됩니다.)

전용백신 다운로드 사이트 바로가기[클릭]


이 웜에 감염되면 윈도 시스템 날짜가 2090년 1월 1일로 바뀌고, 일부 시스템(서비스팩3)에서는 컴퓨터 로그인과 동시에 로그오프가 되는 현상이 발생합니다. 또한 윈도 시스템 폴더에 랜덤한 7자리 숫자 파일을, Temp 폴더에 랜덤한 5자리 숫자의 sys 파일을 생성하기도 합니다. 감염 후에는 포르노사이트 등 특정 사이트로 접속 후 대기합니다.


사용자 삽입 이미지


이 웜은 윈 도우 서버 서비스 관련 취약점(MS08-067)또는 오래전에 알려진 RPC DCOM (MS03-039) 취약점을 이용하였으며, 스스로 전파하는 기능은 없고 특정 호스트에 접속후 공격자의 명령에 의해서만 취약점을 이용하여 전파 되는 것으로 추정됩니다. USB의 autorun.inf 파일을 이용하기 때문에 만약 감염된 USB를 컴퓨터에 꽂으면 자동으로 감염되기도 합니다. 또한 네트워크로도 확산, 기업·기관 등에 피해가 확산될 우려가 있습니다.

Win32/Aimbot.worm.15872 상세 분석 정보 보기[클릭]

안 철수연구소 시큐리티대응센터(ASEC) 조시행 상무는 "인터넷이나 이메일 상의 파일을 아무 것이나 다운로드하지 말고, 백신을 최신 버전으로 유지해야 한다"며 "윈도 보안 취약점에 대한 패치를 해야 재감염을 방지할 수 있다"고 주의를 당부했습니다.


http://www.virustotal.com/analisis/4701f413ebf4cb7ac46f5d47613afb32

백신 진단 리스트 (업데이트중) 리스트에 항목이 없어 의심스러우신 분들은 다른 백신으로도 체크를 해보시길...

그리고... 오바하는 신문기자들 제발 좀.. 자제 좀...  무슨 미친듯한 바이러스가 온 것 마냥 난리법석을 떨지 말아주길...  애시당초 사용자습관에 더 문제가 많은 거니까..

알약도 이미 패치가 되었다고 하니 업데이트는 필수...  개인적으로 그다지 좋아하지도 않고 쓸 일도 없기에 관심없지만서도...

AVIRA 의 antivir 의 경우엔 아직 정확한 정보를 얻지 못했다.


'피씨용기록 > 기타' 카테고리의 다른 글

[Virus] Win32/Conficker.worm.173318  (0) 2009.03.10
adobe Flash Player 10.0.22.87  (0) 2009.02.26
TTA (The True Audio) file type  (0) 2009.02.04
비스타 SP1 multimedia traffic throttling  (0) 2009.01.20
[기록철/원문] eMule 에서 신뢰할 수 있는 서버 목록 받기 및 ip 필터링 적용법  (0) 2009.01.15

티스토리툴바