안녕하십니까?
이스트소프트 알약 보안대응팀입니다.
최근 해외 유명 업체들을 사칭한 영문 스팸메일이 증가하고 있습니다.
구글의 채용, 트위터의 초대장, Hallmark 전자 카드 도착 메일, hi5 친구 맺기 내용으로 위장한 것이 특징이며
이 스팸메일에 첨부된 파일은 윈도우 시작시 자동실행, 시스템 설정 변경, 이동식 디스크
(USB 메모리 등) 감염, 키로거(KeyLogger) 등의 기능을 수행하는 악성코드 입니다.
이미 알약에서는 V.WOM.Prolaco.cr, V.TRJ.Tatters-A라는 진단명으로 업데이트를 완료해 현재는
해당 악성코드에 대한 진단 및 치료가 가능하며 실시간 감시를 통해 충분히 예방 가능합니다.
또한, 계속 출현할 수 있는 변종에 대해서도 긴급 업데이트를 실시하고 있으니 항상 알약의 최신 DB 사용을
권장합니다.
[감염증상]
- 아래의 경로에 악성코드 파일 복사
WINDOWS\system32\GoogleUpdate.exe
WINDOWS\system32\stacsv.exe
Documents and Settings\USER\Application Data\SystemProc\lsass.exe
- 아래의 경로에 레지스트리 값 추가
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{4207UWF4-
IXEP-UTPF-2TDE-6606643L1T10}
- 오류보고 서비스, 윈도우 보안 센터 서비스 종료 및 레지스트리 제거
- 악성코드 프로세스 숨김
- 이동식 디스크를 감염시키기 위한 autorun.inf와 실행 파일 생성
- 키로거 기능
- 스팸 메일 발송
[제거 방법]
현재 알약에서는 해당 악성코드를 V.WOM.Prolaco.cr과 V.TRJ.Tatters-A로 진단하고 있으며,
제거가 가능합니다.
이미 V.WOM.Prolaco.cr과 V.TRJ.Tatters-A에 감염된 PC에서는 반드시 알약을 설치하여 최신DB로 업데이트
한 후 수동으로 검사를 실시해야합니다.
<알약 공개용 다운로드>
[예방 방법]
1) 알약 DB업데이트 상황을 항상 최신으로 유지해야 합니다.
2) 알약의 실시간감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다.
3) "Jessica would like to be your friend on hi5!"
"You have received A Hallmark E-Card!"
"Thank you from Google!"
"Your friend invited you to twitter!"
위의 4가지 제목으로 작성된 메일은 되도록 클릭하지 말고 삭제하며, 첨부파일은 절대로 실행하지
않습니다.
'IT 보안소식' 카테고리의 다른 글
주말을 노린 국내사이트 변조 (0) | 2010.02.08 |
---|---|
무료백신 V3 Lite 업그레이드(AhnLab Smart Defense, ScreenReader) (2) | 2010.02.04 |
Best Performing (Speed and Memory Usage) Antivirus and Internet Security for 2010 (1) | 2010.02.03 |
박근혜 의원, 홈페이지 해킹당해 (0) | 2010.02.03 |
도로 광고판에 '포르노' 영상상영, 해킹의 위험도 높아져! (0) | 2010.02.03 |
댓글