Microsoft Word - AntiVirus 2008_FAQ.doc

Similar documents
*2008년1월호진짜

Studuino소프트웨어 설치

Endpoint Protector - Active Directory Deployment Guide

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

Internet Explorer 11 자동업데이트방지 사용자가이드 작성일 : Version 1.0

Xcovery 사용설명서

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

슬라이드 1

System Recovery 사용자 매뉴얼

08_spam.hwp

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

CODESYS 런타임 설치과정

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

NTD36HD Manual

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

ICAS CADWorx SPLM License 평가판설치가이드

슬라이드 1

Windows 8에서 BioStar 1 설치하기

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

Cubase AI installation guide

ActFax 4.31 Local Privilege Escalation Exploit

Install stm32cubemx and st-link utility

!K_InDesginCS_NFH

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

슬라이드 1

Internet Explorer 11 Blocker Toolkit FAQ Internet Explorer 11 의자동전달 비활성화를위한도구키트 : FAQ IE 자동업데이트배포프로세스 Q. 이번 Internet Explorer 11 자동업데이트는어떤사용자에게중요한업데이트

MF3010 MF Driver Installation Guide

<4D F736F F D D31312D30312D53572D30312DBBE7BFEBC0DABCB3B8EDBCAD5FBFDCBACEB9E8C6F7BFEB2E646F63>

슬라이드 1

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

MF5900 Series MF Driver Installation Guide

1

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

Microsoft Word - src.doc

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 -

B.3 JDBC 설치 JDBC Java DataBase Connectivity 는자바에서 DBMS의종류에상관없이일관된방법으로 SQL을수행할수있도록해주는자바 API Application Program Interface 다. 이책에서는톰캣과 SQL Server 간의연결을위

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

JDK이클립스

Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL: E-M

var answer = confirm(" 확인이나취소를누르세요."); // 확인창은사용자의의사를묻는데사용합니다. if(answer == true){ document.write(" 확인을눌렀습니다."); else { document.write(" 취소를눌렀습니다.");

슬라이드 1

네이버 블로그 :: 포스트 리스트

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

소프트웨어공학 Tutorial #2: StarUML Eun Man Choi

API - Notification 메크로를통하여어느특정상황이되었을때 SolidWorks 및보낸경로를통하여알림메시지를보낼수있습니다. 이번기술자료에서는메크로에서이벤트처리기를통하여진행할예정이며, 메크로에서작업을수행하는데유용할것입니다. 알림이벤트핸들러는응용프로그램구현하는데있어

Microsoft PowerPoint - 안드로이드 개발 환경 구축(170411)

공지사항

PowerPoint Template

tiawPlot ac 사용방법

슬라이드 1


iii. Design Tab 을 Click 하여 WindowBuilder 가자동으로생성한 GUI 프로그래밍환경을확인한다.

목차 개요...3 iusb 만들기...5 iusb 사용 보안영역에로그인 보안영역에서로그아웃 하드웨어안젂하게제거 비밀번호변경 설정...19 USB 초기화...21 iusb 정품등록...24 iusb 의기타기능

Contents 1. 설치하기 1 2. 환경설정실행하기 4 3. PC사용시간설정 5 4. 게임사용시간설정 7 5. 유해동영상차단설정 8 6. 유해사이트차단설정 게임사이트차단설정 프로그램차단설정 정보변경 기타설정

고객 카드

MaxstAR SDK 2.0 for Unity3D Manual Ver

ThinkVantage Fingerprint Software

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

vRealize Automation용 VMware Remote Console - VMware

KEB 외국환 서식관리 프로그램 사용자 메뉴얼

View Licenses and Services (customer)

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

鍮뚮┰硫붾돱??李⑤낯

목 차 1. 드라이버 설치 설치환경 드라이버 설치 시 주의사항 USB 드라이버 파일 Windows XP에서 설치 Windows Vista / Windows 7에서 설치 Windows

디럭스바이블 2005 설치가이드 ( 주 ) 미션소프트 TEL FAX 디럭스바이블 2005 설치가이드 DeluxeBible 2005

로거 자료실

Getting Started With Parallels Desktop¢ç 9

윈도우시스템프로그래밍

05 Agent 수동 업데이트 및 바이러스 검사 명령 실행

<4D F736F F F696E74202D20BFC0B7F920B4EBC3B320B8DEB4BABEF328C7D8C7C7BFA1B5E029205BC8A3C8AF20B8F0B5E55D>

미쓰리 파워포인트

Microsoft PowerPoint - AME_InstallRoutine_ver8.ppt

슬라이드 제목 없음

BEA_WebLogic.hwp

IRISCard Anywhere 5

MVVM 패턴의 이해

PowerPoint 프레젠테이션

Office 365 사용자 가이드

Slide 1

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

게임 기획서 표준양식 연구보고서

2 카메라의 펌웨어버전을확인합니다 카메라기종에따라표시되는화면이다를수있습니다. 1 카메라의전원을 ON으로합니다. 2 카메라의메뉴버튼 MENU을누르고메뉴화면을표시합니다. 3 [ 설정메뉴 ] 에서 [ 펌웨어버전 ] 를선택합니다. 4 카메라의 펌웨어버전이표시됩니다. 버전이업그

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

Microsoft PowerPoint - XUSB_제품메뉴얼_140206

TOOLS Software Installation Guide

문서의 제목 나눔고딕B, 54pt

PowerPoint Template

SBR-100S User Manual

<B0B3C0CE5043BAB8BEC8BCB3C1A4C6C4C0CF2E687770>

왜곡보정버전업그레이드순서 - Windows 판 - 니콘제품을애용해주셔서대단히감사합니다. 여기에서는왜곡보정의버전업그레이드에대해설명하고있습니다. 그리고니콘서비스센터에서의업데이트도받고있으므로사용하시는환경등으로펌웨어를업데이트할수없는사용자는이용하여주십시오. 사용하시는카메라사용법

1 인증서저장위치문의 원인 증상 인증서가보이지않습니다. ( 인증서선택창에서사용하던인증서가안보입니다.) 인증서가지정된위치에존재하지않거나인증서유효기간이 지난 ( 폐기된 ) 인증서로보이지않는것입니다. 1. 인증서가보이지않습니다. 1-1 인증서저장위치를확인합니다. 교육부 (E

1

Contents 1. 설치하기 1 2. 서비스이용방법및환경설정 1) 사용자정보입력 3 2) 프로그램설치 5 3) 유해사이트차단 6 4) PC사용시간관리 7 5) 프로그램차단관리 8 6) 음란물차단 / 음란물 PC검색 10 7) 유해정보차단기록 11 8) 환경설정 14

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

EEAP - Proposal Template

Transcription:

AntiVirus XP 2008 Fake Anti-Virus FAQ 질문 1. AntiVirus XP 2008 은어떤프로그램인가요? Antivirus 2008 은시스템에설치될경우시스템을검사하여악성코드에감염된것처럼허위로검사결과를사용자에게보여주고 치료하기위해서결제를유도함으로써금전적이득을취하기위한허위백신이다. 질문 2. AntiVirus XP 2008 은어떤경로를통해유포되나요? AntiVirus 2008 은아래경우처럼사회공학기법을사용하여유명연애인 ( 안젤리나졸리, 브리트니스피어스, 린제이로한 ) 또는 언론사 (CNN) 그리고정치 ( 부시 ) 등과관련된내용으로위장하여스팸메일의링크또는첨부파일형태로유포된다. 예1) 첨부파일형태의경우 - 제목 : Anjelina Jolie Free Video. - 본문 : 없음 - 첨부파일 : Angelina_Jolie.rar 예 2) 링크형태의경우 1 - 제목 : Lindsay Lohan and Paris Hilton lesbian video - 본문 : Click Here! (http://017cb18.net******st.com/index_12.html) 예 3) 링크형태의경우 2 - 제목 : Special video for plugins - 본문 : Be the first to watch it(http://017cb18.net******st.com/index_12.html) 예 4) 링크형태의경우 3 - 제목 : Britney did it again! Really funny. - 본문 : Click Here!( http://www.des*******.com/index_12.html) [ 그림 1. 동영상으로위장한 AntiVirus XP 2008] 사용자가링크를클릭할경우링크된사이트로이동하여메일내용과관련된동영상을재생하는것처럼 [ 그림 1.] 을보여주며 동영상을재생하기위해서는 [ 그림 2] 처럼 Codec 을다운로드하도록유도한다.

[ 그림 2. Codec 으로위장한 AntiVirus XP 2008] AntiVirus XP 2008 은 [ 그림 2] 처럼 Video codec Error 란가짜메시지창을출력하고사용자로하여금 Codec 을다운로드하 도록유도하며관련웹페이지소스를보면아래와같다. [ 그림 3. 다운로드관련웹페이지소스 ] [ 그림 3] 을보면 Continue를클릭하면 install.exe 가다운로드되지만 Cancel 를클릭할경우 Close() 함수를호출하여 "Click 'OK' to download and install media codec." 및 Click 'OK' to download and install media codec. 라는경고창을계속출력하게된다. 또한 Details를클릭하면 Details() 함수를호출, "Click 'OK' to download and install media codec." 를출력하고 install.exe 를다운로드하도록유도한다. 질문3. AntiVirus XP 2008를다운로드하지않았는데도설치되요! AntiVirus XP 2008은사용자가링크로부터파일을다운로드한후실행해야지만설치되는것은아니며이는사용자를속이기위한하나의위장수단이다. AntiVirus XP 2008 가유포되는사이트의웹페이지소스를보면 Exploit을통해서시스템에 AntiVirus XP 2008이다운로드및설치될수있도록 iframe이삽입되어있음을알수가있다. [ 그림 4. 삽입된 iframe]

* AntiVirus XP 2008 가유포시자주사용하는취약성을살펴보면다음과같다. COM 개체 (Msdds.dll) 로인한 Internet Explorer 의예상치못한종료 EC444CB6-3E7E-4865-B1C3-0DE72EF39B3F http://www.microsoft.com/korea/technet/security/bulletin/ms05-052.mspx MDAC(Microsoft Data Access Components) 기능의취약점으로인한원격코드실행문제점 BD96C556-65A3-11D0-983A-00C04FC29E36 http://www.microsoft.com/korea/technet/security/bulletin/ms06-014.mspx Microsoft Access Snapshot Viewer 에서사용하는 ActiveX 컨트롤의취약점으로인한원격코드실행문제점 F0E42D50-368C-11D0-AD81-00A0C90DC8D9 http://www.microsoft.com/korea/technet/security/bulletin/ms08-041.mspx Online Media Technologies NCTsoft NCTAudioFile2 ActiveX buffer overflow 77829F14-D911-40FF-A2F0-D11DB8D6D0BC http://www.kb.cert.org/vuls/id/292713 RealNetworks RealPlayer ActiveX controls property heap memory corruption 2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93 http://www.kb.cert.org/vuls/id/831457 위에서언급된취약성외에도다양한취약성을사용할수있으므로자신이사용하는 OS 및소프트웨어를주기적으로점검및 보안패치를적용해주는것이좋다. 질문 4. AntiVirus XP 2008 가설치되면시스템에어떤증상이발생하나요? AntiVirus XP 2008 가설치되었을경우대표적인증상을정리해보면다음과같다. (4-1) 바탕화면이변경됐어요! AntiVirus XP 2008 은자신이생성한그림파일을사용하여아래그림처럼시스템의바탕화면으로설정한다. ( 참고로그림파일은가변적이다.) [ 그림 5. 변경된바탕화면 ] 또한사용자가바탕화면을변경할수없도록레지스트리를변경하여 [ 그림 7] 에서보는것처럼바탕화면관련메뉴를안보이게 한다.

[ 그림 6. AntiVirus XP 2008 감염전 ] [ 그림 7 AntiVirus XP 2008 감염후 ] SpyZero 에서는 AntiVirus XP 2008 관련파일을진단및치료할수있는경우에한하여변경된레지스트리값을복원시켜준다. 만약사용자가수동으로복구를하고자할경우아래내용을참조하면된다. * 바탕화면메뉴관련레지스트리복구방법 : 시작 -> 실행 -> regedit.exe -> 레지스트리편집기실행 -> 아래경로로이동한후해당값들을선택한후마우스오른쪽 버튼을클릭하여삭제하거나아래와같이수정하면 [ 그림 6] 처럼복원할수있다 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System NoDispBackgroundPage="0x00000001" 에서 "0x00000000" 로수정 NoDispScrSavPage="0x00000001" 에서 "0x00000000" 로수정 (4-2) 주기적으로허위검사결과및팝업이출력되요!~ [ 그림 8. 허위검사화면 ] [ 그림 9. 시스템트레이팝업 ] AntiVirus XP 2008 의대표적인증상으로주기적으로검사결과및시스템트레이에팝업을보여줌으로써사용자에게불안감조 성및치료를위한결제를유도한다. (4-3) 화면보호기파일을이용한 Joke Blue Screen 발생해요!~ AntiVirus XP 2008 은정상화면보호기파일을사용하여일정시간이지나면아래처럼 Joke Blue Screen 및부팅화면을반복한 다.

[ 그림 10. 가짜블루스크린 ] [ 그림 11. 가짜부팅화면 ] [ 그림 10] 에서보면 Blue Screen 원인이되는파일은임의로변경되며실제해당파일에문제가있는것은아니지만위두그 림만놓고보면사용자입장에서는마치자신의시스템에문제가있는것으로충분히오해할수있는소지가있다. (4-4) 내컴퓨터에들어가보면드라이브가안보여요!~ 현재 AntiVirus XP 2008 은수많은변종이존재하는데일부변종에서는드라이브의속성이 Fixed( 보통, HDD) 일경우사용자가 볼수없도록숨기는경우도있다. [ 그림 12. 변경전과후 ]

* 드라이브속성복구방법 : 시작 -> 실행 -> gpedit.msc 를입력한후확인 -> 그룹정책편집기실행 -> 사용자구성 -> 관리템플릿 -> Windows 탐 색기 -> [ 내컴퓨터 ] 에있는지정된드라이브숨기기더블클릭 -> 사용안함 (D) -> 적용 -> 구성되지않음 (C) -> 적용 (4-5) 시스템복원해도 AntiVirus XP 2008이재감염되요! AntiVirus XP 2008은 %Temp% 폴더에 VBS(Visual Basic Script) 로작성된스크립트를생성및실행하여시스템복원이사용중이라면복원기능을비활성화하여기존의복원시점을삭제한후재활성화시킨후복원시점을 AntiVirus XP 2008이설치된시점으로설정한다. 이렇게되면사용자가시스템복원기능을사용하여복구하더라도계속재감염되는문제가발생하므로일시적으로시스템복원 기능을해제하여복원시점을초기화시킨후백신으로치료하고복원시점을재설정해야한다. (4-6) 시스템복원기능을사용할수없어요! AntiVirus XP 2008 의일부변종은사용자가시스템복원기능을제어할수없도록아래그림처럼그룹정책을조작하여시스템 복원시점을초기화할수없도록비활성화시킨다. [ 그림 13] 시스템복원시점초기화불가 * [ 시스템복원사용안함 ] 옵션이비활성화된경우복구방법 : 시작 -> 실행 -> gpedit.msc 를입력한후확인 -> 그룹정책편집기실행 -> 컴퓨터구성 -> 관리템플릿 -> 시스템 -> 시스템복구 -> 구성을사용하지않음더블클릭 -> 사용안함 (D) -> 적용 -> 구성되지않음 (C) -> 적용 만약그룹정책편집기실행이불가능하다면아래방법을사용하여시스템복원모니터링을사용안함으로설정할수있다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\ DisableSR="1" 로설정 (4-7) 바탕화면아이콘이사라졌어요!~ AntiVirus XP 2008 의일부변종은바탕화면의아이콘표시기능을해제하여안보이도록한다. * 바탕화면아이콘복구방법 : 바탕화면에서마우스오른쪽버튼클릭 -> 아이콘정렬순서 (I) -> 바탕화면아이콘표시 (D) 를클릭하면사라졌던바탕화면아 이콘을복구할수있다.

[ 그림 14. 사라진바탕화면아이콘 ] (4-8) 특정사이트에접속하면 AntiVirus XP 2008 사이트로이동해요!~ 사용자가특정사이트에접속할경우간헐적으로해당사이트를차단하고아래그림처럼경고메시지를출력한다. [ 그림 15. 특정사이트차단 ] * 사이트차단목록 mac.com/nytimes.com/download.com/gamespot.com/partypoker.com/mediafire.com/geocities.com/ 56.com/ about.com/deviantart.com/yourfilehost.com/apple.com/adobe.com/imagevenue.com/livejournal.com/ go.com mininova.com/redtube.com/craigslist.com/tinyurl.com/adultfriendfinder.com/skyrock.com/friendster.com flickr.com/wordpress.com/youporn.com/imdb.com/amazon.com/photobucket.com/aol.com/hi5.com/ebay.com/rapid share.com/orkut.com/blogger.com/facebook.com/wikipedia.org/microsoft.com/myspace.com/msn.com/live.com/ya hoo.com/google.com/ megaupload.com [ 그림 15] 에서보이는두링크를클릭할경우 [ 그림 16] 처럼 AntiVirus XP 2008 구매사이트로접속을유도한다.

[ 그림 16. AntiVirus XP 2008 구매사이트 ]