본문 바로가기

루트킷

벌새::Analysis 2011. 11. 17. 22:27 Spam 이메일 : Order N02856 (2011.11.17) 오늘 해외에서 발송된 이메일을 통하여 주문한 Adobe InDesign CS4 라이센스를 받을 수 있는 링크(URL)가 포함된 악성 이메일을 통하여, 사용자가 링크를 열어볼 경우 취약점을 가진 Adobe Flash Player, Oracle JRE(Java Runtime Environment) 플러그인이 설치된 시스템을 감염시키는 사례를 확인하였습니다. ● 제목 : Order N02856 Dear Customers, You can download your Adobe CS4 License here - We encourage you to explore its new and enhanced capabilities with these helpful tips, tutorials, and eSeminars. Tha..
벌새::Software 2011. 10. 25. 16:26 Kaspersky Anti-Virus 2011 : 환경 설정 - 고급 설정 러시아 보안 업체 Kaspersky Lab ZAO 에서 제공하는 유료 보안 제품 Kaspersky Anti-Virus 2011 버전의 [환경 설정 - 고급 설정] 항목에 대해 살펴보도록 하겠습니다. 1. 고급 설정 : 탐지할 보안 위협 및 제외 탐지할 보안 위협 및 제외 항목에서는 Kaspersky 보안 제품의 진단 형태를 선택할 수 있으며, 일부 신뢰할 수 있는 응용 프로그램의 경우 제외 처리를 하실 수 있습니다. ● 탐지할 보안 위협 형태 목록 Kaspersky 보안 제품에서 탐지할 보안 위협 형태를 설정하기 위해서는 [설정...] 버튼을 클릭하여 탐지할 보안 위협을 선택하시면 되며, 기본값에서 리스크웨어(Riskware)는 제외되어 있으며 사용자의 필요에 따라 선택하시고 사용하실 수 있습니다. 참고..
벌새::Software 2011. 10. 14. 13:41 Kaspersky Anti-Virus 2011 : 수동 검사 러시아 보안 업체 Kaspersky Lab ZAO 에서 제공하는 유료 보안 제품 Kaspersky Anti-Virus 2011 제품의 수동 검사(컴퓨터 전체 검사, 중요한 영역 검사)와 마우스 우클릭 검사 기능에 대해 살펴보도록 하겠습니다. 1. 수동 검사 : 메인 화면 Kaspersky 제품의 수동 검사 방식은 시스템 트레이 알림 아이콘에서 제공하는 메뉴를 통해서는 진행할 수 없으며, 메인 화면의 수동 검사 항목에서 컴퓨터 전체 검사(정밀 검사)와 중요한 영역 검사(빠른 검사)를 할 수 있습니다. 또한 하단 검사 영역에서는 검사를 원하는 특정 개체(파일)를 마우스로 드래그하여 바로 검사를 진행할 수 있는 기능을 포함하고 있습니다. 만약 특정 드라이브(폴더)에 대한 검사를 위해서는 [찾아보기(클릭)] 버..
벌새::Analysis 2011. 10. 11. 14:09 VSLay.dll를 이용한 온라인 게임 계정 탈취 목적의 루트킷(Rootkit) 악성코드 (2011.10.11) 주말을 중심으로 한 국내 인터넷 사용자들을 대상으로 한 온라인 게임 계정 탈취 목적의 악성코드는 6~7월경부터 쉘코드(ShellCode)를 이용한 VSLay.dll 파일을 통한 감염을 유발하는 사례가 발견되기 시작하였습니다. 특히 최근에는 Windows 탐색기로는 파일을 확인할 수 없는 루트킷(Rootkit) 방식으로 등록하여 사용자 PC에 설치된 보안 제품(AhnLab V3, 알약(ALYac), 네이버 백신(Naver Vaccine))의 기능을 방해하여 감염된 자신들을 보호하고 있습니다. 어느 날 자신의 컴퓨터에 설치된 이들 보안 제품이 동작하지 않거나 삭제되는 현상이 발생한다면 이런 류의 악성코드에 감염되었으므로 전용 백신 또는 제3의 보안 제품을 설치하여 안전모드에서 정밀 검사를 하시기 바랍니다. ..
벌새::Security 2011. 9. 21. 23:53 MBR 변조 온라인 게임 악성코드 치료 전용 백신 : V3 Halcbot Bootkit Removal Tool (2011.9.21) 최근 주말을 이용하여 웹 브라우저 및 Adobe Flash Player 취약점 등을 이용하여 집중적으로 유포가 이루어지고 있는 온라인 게임 계정 탈취 목적의 악성코드가 보안 제품을 통한 치료를 더욱 어렵게 만들 목적으로 MBR(Master Boot Record)를 변조하는 사례가 확인이 되고 있습니다. MBR (Master Boot Record) 을 감염시키는 온라인 게임핵 악성코드 발견 (2011.9.16) MBR(Master Boot Record)감염으로 재생성되는 lpk.dll 악성코드 주의!! (2011.9.18) [주의]치료가 까다로운 MBR(Master Boot Record) 변조 악성파일 (2011.9.19) 마스터 부트 레코드(MBR : Master Boot Record)는 저장 매체의 첫..
벌새::Software 2011. 9. 20. 12:28 nProtect Anti-Virus/Spyware 3.0 : 관리 센터 & 시스템 트레이 메뉴 구성 ● 원본 작성 : 2011년 3월 18일 ● 1차 수정 : 2011년 9월 20일 - 설치 환경 변경(Windows XP → Windows 7) 국내 보안 업체 잉카인터넷에서 서비스하는 유료 백신 nProtect Anti-Virus/Spyware 3.0 버전 설치 후 Windows 7 운영 체제에서 제공하는 관리 센터 문제와 시스템 트레이 메뉴 구성을 중심으로 살펴보도록 하겠습니다. 1. 관리 센터 인식 문제 nProtect Anti-Virus/Spyware 3.0 : 설치 과정 & 프로세스 정보 (2011.9.19) nProtect AVS 3.0 버전의 설치가 Windows 7 운영 체제 환경에서 설치된 경우 제어판에서 제공하는 관리 센터가 제대로 제품을 인식하지 못하는 문제를 확인할 수 있었습니다. ..
벌새::Analysis 2011. 9. 13. 15:31 C:\Program Files\yong. 폴더를 이용한 온라인 게임 계정 수집 주의 (2011.9.13) 추석 명절을 포함한 연휴 기간 동안 매주 주말을 이용하여 유포되는 온라인 게임 계정 정보 수집을 목적으로 하는 악성코드가 새로운 방식을 통해 보안 제품의 치료를 방해하는 동작을 확인하였습니다. 이번에 소개해드리는 악성코드는 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 패치하는 동작과 함께, Windows 탐색기 및 보안 제품을 이용하여 삭제가 되지 않는 [C:\Program Files\yong.] 폴더 내부에 yong.exe 파일을 추가하는 방법을 사용하고 있습니다. C:\Program Files\yong.\yong.exe C:\Program Files\yh.\yh.exe C:\Program Files\small.\small.exe C:\..
벌새::Analysis 2011. 6. 26. 12:07 Audio.sys 후킹을 통한 온라인 게임 계정 탈취 악성코드 (2011.6.26) 주말마다 국내 인터넷 사이트 변조를 통해 특정 소프트웨어 취약점이 존재하는 사용자가 문제의 사이트에 접속시 자동 감염을 유발하여 온라인 게임 계정 탈취 목적의 악성코드를 설치하는 행위가 꾸준하게 이루어지고 있습니다. 이번 주말에는 모 웹하드에서 발견된 루트킷(Rootkit) 방식의 악성코드 감염시 수동으로 해결할 수 있는 방법을 살펴보도록 하겠습니다. 수동 해결 방식을 공개하는 이유는 해당 악성코드 감염시 국내 사용자가 많이 사용하는 보안 제품을 무력화하여 감염시 치료를 방해하기 때문에 임시로 문제 해결을 하도록 하기 위함이므로 해당 방법이 100% 안정성과 제거를 보장하지 않으므로 반드시 임시 해결 후 국내 보안 제품으로 정밀 검사를 하시기 바랍니다. [악성코드 유포 경로] h**p://script.s..

티스토리툴바