태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.06.21 15:20


기존에 여러가지 파일명으로 국내에 유포된 이력을 가지고 있는 온라인 게임 계정 탈취 목적의 트로이목마 계열입니다.

계속해서 다양하게 이름을 변경하고 있지요.

그럼 예전 자료를 한번 살펴볼까요?

RAR 파일 포맷으로 위장한 악성코드 유포 기법
http://viruslab.tistory.com/370

ahnsbsb.exe, ahnxsds1.dll, ahnfgss1.dll, ahnxsds0.dll, ahnfgss0.dll
http://viruslab.tistory.com/804

ahnsbsb.exe, ahnfgss0.dll, ahnfgss1.dll, ahnxsds0.dll, ahnxsds1.dll
http://viruslab.tistory.com/866

bigdoor.exe, bigie0.dll, bigmn0.dll, zoorfat.exe, zorie0.dll, zormn0.dll
http://viruslab.tistory.com/1247

cyban.exe, cyban0.dll, cyban1.dll, ieban0.dll
http://viruslab.tistory.com/1331

cyabc.exe 파일명을 변경한 악성코드 국내 유포 중
http://viruslab.tistory.com/1753

최근에는 안철수 연구소 V3 제품처럼 파일명을 위장한 형태가 지속적으로 발견되고 있습니다.

ahnabc.exe, ahnabc0.dll, ahnie0.dll 안철수연구소 프로그램 파일명처럼 위장(?)한 악성코드 전파 중
http://viruslab.tistory.com/1826

이번에는 약간 변경되었는데, 제작자가 실수로 오타를 낸 것이 아닌가 싶기도 합니다.

- anhzxc.exe
- anszxc10.dll
- anszxc20.dll



사용자 삽입 이미지

폴더 옵션의 숨김속성이 안보이도록 설정되어 있는 경우 해당 악성코드들은 보여지지 않을 수 있으며, 숨김속성 파일을 보이도록 설정해 둔 경우라도 악성코드에 감염되면 레지스트리가 변경되어 저절로 숨김속성 파일들이 보여지지 않도록 변경되기도 합니다.

Autorun.inf 기법을 악용한 악성코드의 자동실행 비활성화 방법 (두가지 방식 중 선택적으로 사용하시면 됩니다.)
■  서비스 변경 방식

시작버튼 -> 실행 -> gpedit.msc
그룹정책 -> 사용자구성 -> 관리템플릿 -> 시스템 -> 자동 실행 사용 안 함 -> 사용 ->
자동 실행 사용 안함 : 모든 드라이브

내컴퓨터 마우스오른쪽 버튼 -> 관리 -> 서비스 및 응용프로그램 -> 서비스 -> 이름 : ShellHWDetection -> Shell Hardware Detection 중지(사용안함)

■ 레지스트리 변경 방식

시작버튼 -> 실행 -> regedit.exe -> 레지스트리 편집기에서 아래 내용 확인 후 해제 값 적용

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoDriveTypeAutoRun"=dword:00000091 (자동 실행 설정/기본값)
"NoDriveTypeAutoRun"=dword:00000000 (자동 실행 설정)
"NoDriveTypeAutoRun"=dword:000000ff (자동 실행 해제)

폴더옵션은 다음과 같이 설정되어 있어야 숨겨진 악성코드가 보여집니다. 일부 악성코드가 실행(감염)되어 있을 경우에는 폴더 옵션을 변경하지 못하도록 방해하는 경우가 있기 때문에 먼저 악성코드를 제거하거나, 안전모드(F8) 등에서 폴더 옵션을 변경하여야 할 수 있습니다.

사용자 삽입 이미지



Posted by viruslab
보안관련소식2010.06.03 09:07


온라인 게임 계정 유출 4400만개
악성코드에 의한 유출로 알려져 있네요.
www.asiae.co.kr

사실 이 뉴스는 5월 28일에 이미 전해드린바 있습니다.
아래 내용 참고하시면 좋겠습니다.

http://viruslab.tistory.com/1801

사용자 삽입 이미지

해외서 온라인 게임 계정 정보 4400만개를 저장한 서버가 발견됐다. 이 서버를 구축한 해커는 장기간에 걸쳐 악성코드를 이용해 해당 정보를 취합하고, 이를 판매하기 위해 계정의 유효 여부를 확인하는 악성코드도 배포한 것으로 전해져 이용자들의 주의가 요망된다.

1일 보안업체 시만텍에 따르면 최근 4400만개의 온라인게임 계정 아이디와 비밀번호 등을 저장하고 있는 불법 서버가 발견됐다.

시만텍 측은 특정 악성코드에 대한 신고를 접수하고 이를 추적한 결과 이 서버를 발견했다고 기업 블로그를 통해 밝혔다.

이 서버에는 국내 게임업체의 계정 정보도 저장돼 있는 것으로 알려졌다. 이밖에도 '월드 오브 워크래프트', 중국 와이엔터테인먼트 계정 등 전세계에서 수집한 게임 계정 정보가 4400만개에 달한다는 것이 시만텍 측의 설명이다.



 

Posted by viruslab