336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.



간만의 글쓰기 네요. ^^;
맘 먹고 좀 해봐야 할 것 같습니다.

메일제목 : A new settings file for the [메일주소] has just be released
메일본문 :

Dear use of the 메일제공.com mailing service!

We are informing you that because of the security upgrade of the mailing service your mailbox [메일주소] settings were changed. In order to apply the new set of settings open attached file.

Best regards, 메일제공.com Technical Support.

ex) 메일제공: naver.com, hotmail.com 등등의 메일제공자
     메일주소: mjstory@메일주소  등등의 메일주소


첨부파일 : setting.zip (155KB)

MD5 : 4BB958191A5C82BB26F6821581E7E88E

조심하세요. ^_^;

'악성코드' 카테고리의 다른 글

내 동생이 올해의 가장 아름다운 사진  (0) 2009.09.25
재부팅 금지!!  (1) 2008.07.10
MSN 으로 전파되는 바이러스파일...  (0) 2008.03.07
MSN 전파되는 바이러스(img_1123.zip)  (0) 2007.09.18
Runtime error 204  (0) 2007.09.17
336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.








메신저에서 읽지않는 메일이 있다고 하여 hotmail을 확인하다보니 알고 있는 지인으로부터 '내 동생이 올해의 가장 아름다운 사진' 제목으로 메일수신된것이 있었다.

본문 내용을 보니 내용이 영...이상한것이, 바이러스? 배포하는 것으로 보여지는 것이다.

본문에는 http://www.xxxx.com/pase.vbs  이거 굴지의 기업 URL이고 vbs 파일이 링크되어있는것이다.

그래서 마우스로 가져가다 봤더니, 엥!~

하단의 링크주소가 다르네.??
하이퍼링크를 다르게 준것 같다. 줴길... 지대로 낚일 뻔 했다.



V3에서는 JS/Shellcode 로 진단 치료한다.





336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.



2008.07.10 17:24 [긴급공지] 시스템리부팅금지!2008.07.10.01엔진사용금지!실시간감시사용금지!!
문자메시지가 왔다.
이건 뭐지? 잘못보낸건가? 낚이는 문자인가? 
ahnlab.com 접속해보니 아무것도 없다.  갸우뚱하는 사이

2008.07.10 17:35 [긴급공지2] XP계열lsass.exe 오진!실시간감시해제-검역소복원-재부팅금지

  문자가 또 왔다. 뭔가, 먼가..이건 이상하다.
고객센터에 전화했더니 통화중이다.

안녕하십니까. 안철수연구소입니다.

금일(7/10) 배포된 V3 엔진에서 특정 파일을 악성코드로 잘못 진단하여 시스템이 부팅되지 않는 사례가 발견되어 이에 대해 고객님께 아래와 같이 안내 드립니다.

1. 오진 발생 엔진버전: V3 2008.07.10.01
2. 진단명: Win-Trojan/InfectLsass.13312
3. 진단파일: MS 윈도우 XP 서비스팩 3에 포함된 lsass.exe (13,312 바이트)
4. 피해증상: 진단파일 삭제로 인한 시스템 부팅 불가

오진이 발생했던 엔진의 배포는 현재 중단된 상태이며,
오진사항을 수정한 엔진을 제작, 금일 중 재배포할 예정입니다.

윈도우 XP 서비스팩 3를 사용하시는 고객님 중 V3의 엔진버전이 2008.07.10.01 인 경우는 시스템 재부팅을 하지 않은 상태에서 아래와 같은 방법으로 해당 파일을 복구해 주시기 바랍니다.

1. 시스템을 절대 재부팅하지 마십시오.
2. V3 실시간 감시 Off 하십시오.
3. [검역소]에서 해당 파일을 선택한 후 '복원하기'을 선택하여 해당 파일을 복원해 주십시오.

오진으로 인해 고객님께 불편을 드린 점 사과드리며,
신속하게 수정된 엔진을 배포하도록 하겠습니다.

감사합니다.

이런 공지가 떡~ 있다.

퇴근시간에 이게 무슨 날벼락인가 했다.
문자로는 xp계열이라고 하더니, 결과적으로는 xp3 에서만 문제가 생기는것 같다.
가슴을 쓸어내리는 순간이었다...ㅠㅠ

ASEC 고생하시는데, 순탄하게 넘어갔으면 하는 바램이다.

2008.07.10 18:05 [엔진:보통/V3:2008.07.10.02]
수정된 엔진이 나왔다.

그나저나, xp3 업데이트 한 사람 중에 재부팅한 사람은 어쩌라는거지??
어떻게 부팅해??

2008.18:36 [긴급공지3]LSASS.exe 오진관련 복구툴 제공.안랩홈페이지공지사항참조하세요.
문자 왔다.  복구툴 제공하니 내려받기 하라고...
근데 이것도 재부팅 안했을때 인거 같은데...

종합하면 이러면 되는것 같다.

가. 재부팅하지 않은 시스템
     1. 스마트업데이트를 통해 2008.07.10.02 엔진으로 업데이트
     2. 복구툴내려받기 <http://kr.ahnlab.com/downLoadFreeVaccine.ahn?filename=v3restore.exe> 및 실행

나. 재부팅 시스템
     1. 하드디스크가 아닌 부팅이 가능한(CD/플로피디스크 등)으로 부팅
     1.1  또는 다른 컴퓨터에 slave로 연결
     1.2 윈도우시디로 복구방법(안철수연구소 제공)
     2. 첨부된 lsass.exe 파일을 해당경로에 복사
invalid-file

서비스팩 3에서 추출한 lsass.exe 파일

          - C:\WINDOWS\system32
          - C:\WINDOWS\ServicePackFiles\i386
     3. 복사완료 후 컴퓨터 재부팅


안철수연구소 홈페이지에 관련내용 게시되었으니 참고하세요.

http://kr.ahnlab.com/info/noticeView.ahn?num=50068927

...

336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.





어제(6일)부터 몇몇 사용자로부터 MSN으로 이상한 메시지와 함께 파일이 전송된다는것이다.
이제는 다들 알아서들 잘한다.
   - 메신저 창 닫기
   - 첨부된 파일 다운 받지 않기
   - 받기 전에 상대방에게 물어보기
   - 영어로 전송된 메세지는 거들떠도 보지 않기

오늘도 누군가 파일을 전송하길래 어떤 메시지를 전송하나 보고, 글로 남긴다.

사용자 삽입 이미지

전송되는 파일


누군가가 WOW! i think i just found ur picture on facebook! 메시지와 함께
picture_392.zip 파일을 전송하려고 하고 있다.
전송된 파일을 확인하여 보니,

picture_222.JPeG-메일주소@hanmail.net.com
의 파일명을 가지고 있다.
그래서 파일을 조회해봤다.  얼마나 진단하는지...

File egmre.exe received on 02.27.2008 12:58:07 (CET)
Current status: finished
Result: 14/32 (43.75%)

43% 네... 의이구..

사용자 삽입 이미지

파일의 MD5 값이다.
사용자 삽입 이미지

이젠 메시지 좀 안받았으면 하는 바램이다.
MSN으로 전송되는건 매번 조심하는 방법밖에 없는거 같다.
조심...
조심...
또...조심...

'악성코드' 카테고리의 다른 글

내 동생이 올해의 가장 아름다운 사진  (0) 2009.09.25
재부팅 금지!!  (1) 2008.07.10
MSN 전파되는 바이러스(img_1123.zip)  (0) 2007.09.18
Runtime error 204  (0) 2007.09.17
인터넷익스플로 실행안됨(upcontrol.dll)  (0) 2007.08.30
336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

MSN으로 전파되는 놈이 또 발견되었다.
파일은 다음과 같다.

사용자 삽입 이미지

MSN으로 전파되는 메시지

사용자 삽입 이미지

대화상대에서 전송


재부팅하니까 증상이 사라진다 ㅡ.,ㅡ^
작업관리자에 다음과 같은 프로세스가 떠있다.
사용자 삽입 이미지

해당파일을 압축풀어 실행한사람들은

해당파일을 삭제하려 했더니 삭제되지 않아 확인해보니
해당파일이 프로세스에 떠있어서 삭제가 되지 않았다.

프로세스 끝내기를 통해 프로세스를 죽이고, 재부팅하여서 해결된듯보인다.
고로, 악성같지는 않고, 프로세스에 떠있을동안만 동작하는듯하다.


'악성코드' 카테고리의 다른 글

재부팅 금지!!  (1) 2008.07.10
MSN 으로 전파되는 바이러스파일...  (0) 2008.03.07
Runtime error 204  (0) 2007.09.17
인터넷익스플로 실행안됨(upcontrol.dll)  (0) 2007.08.30
MSN 전파되는 바이러스(img807.zip)  (2) 2007.08.14
336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

이미지와 같은 오류가 발생한다는 접수를 받고 확인한 내용이다.

사용자 삽입 이미지

오류메시지


그래서 이것저것 확인해보니 아래와 같은게 처박혀 있었다.

사용자 삽입 이미지

관련 파일이 존재하더라.
다음의 경로에

C:\Documents and Settings\All Users\Favorites
파일이 공통적으로 존재

hfmxd.exe

그와 더불어 파일이 존재하긴 했는데 그건 랜덤으로 생성되는것 같은데..
여튼 해당 경로에 존재하는 *.exe 파일의 이름을 변경처리하였더니 정상적으로 되더라.

C:\Documents and Settings\All Users\Favorites\dir *.exe

해당경로에서

ren *.exe *.exe.ren

...ㅠ.ㅠ
336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.
금일부터 바탕화면의 인터넷익스플로를 실행하면
반응이 없다는 접수가 늘어나고 있어 확인해보니...

이런것이 BHO에 들어가 있더라...

사용자 삽입 이미지

이미지를 잘못올려 다시 업로드함(15:48)



이렇게 iexplorer.exe 에 들어가 있고,
사용자 삽입 이미지

요렇게 vmreg32.exe 파일도 실행하더라고...
사용자 삽입 이미지

그래서, 이렇게 조치했다.

1. 시작-실행-cmd
2. cd windows
3. c:\windows>ren upcontrol.dll upcontrol.dll.ren
4. c:\windows>ren vmreg32.exe vmreg32.exe.ren

해서 인터넷익스플로 실행하니 정상적으로 되더라.
줴길...
336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.
13일경 MSN 으로 로그인 하더니 나한테 파일을 하나 전송해 주네요.

전송파일: img807.zip

전송된 파일을 실행하면

HKLM\software\Microsoft\Windows\CurrentVersion\Run 생성

사용자 삽입 이미지

c:\windows\vpcrtf.exe 생성
사용자 삽입 이미지

파일이 숨겨져 있길래 attrib -S -H -R 해서 A 속성으로 바꾼 후
백신업체에 전달함.


336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.
어느분이 시스템트레이에 이상한 메시지와 virusprotectpro.com 접속되는 화면이 나타난다며 문의를 주셨고 관련 내용을 확인하여 보니 불편할것 같아 아래와 같이 확인한 후 조치하였다.

접속URL
사용자 삽입 이미지

virusprotectpro.com 접속화면


또한 시스템트레이에 주기적으로 아래와 같은 메시지가 돌출되었다.
사용자 삽입 이미지

지속적인 메시지발생


레지스터리를 확인하니 아래와 같은 것이 눈에 보였다.

사용자 삽입 이미지

.



그래서 도스창에서 c:\windows\system32 에서 해당파일을 삭제했다.
사용자 삽입 이미지

system파일



c:\windows\system32\zpuwriz.dll 파일 지우고 재부팅했더니 정상적으로 표시되었다.
이로서 또 한건 했다.

+ Recent posts