IT 사이다

Mofei 악성코드란?

1. 악성코드 개요

Mofei는 2003년경 발견되었으며, 백도어 기능을 가진 네트워크 웜이며 SCardsvr로 불리기도 한다.

관리목적 공유폴더의 사용자 계정의 취약점을 이용하여 전파

메일 내 첨부파일 및 악성코드 파일 실행, 기타 악성코드에 의해서 감염되기도 한다.

Mofei 악성코드의 감염 시 사용자의 PC 설정에 따라 다음과 같은 증상이 나타날 수 있다.

1.     특정 포트(Port)을 외부에 열어 Back Door 기능으로 악용

2.     Windows 커맨드 라인에 대해 Access 가능

3.     TCP 1080, 8080 포트를 이용하여 외부에 SYN_SENT패킷을 보내어 네트워크 트레픽이 증가

4.     감염된 PC의 파일 실행가능

Mofei 악성코드 감염되지 않기 위해서는 Windows 보안 수시 업데이트 및 백신 사용

메일 및 수상한 파일에 대하여 의심하며 실행 하지않아야한다.

2. 악성코드 감염 증상

Mofei 악성 코드 감염 시 다음과 같은 증상이 나타날 수 있다.

1.   특정 포트(Port)을 외부에 열어 BackDoor 기능으로 악용

->  135, 159번 포트를 외부에 Open하여 BackDoor 기능으로 사용되게끔함

2.   Windows 커맨드 라인에 대해 Access 가능

->  cmd.exe 에 접근이 가능하며 다양한 악성행위의 명령어 수행가능

3.   TCP 1080, 8080 포트를 이용하여 외부에 SYN_SENT 패킷을 보냄

->  외부에 지속적으로 네트워크 트래픽을 유발시켜 속도를 저하시킨다.

4.   감염된 PC의 파일 실행 가능

3. 악성코드 치료 방법

Mofei 악성 코드 치료 방법은 국내/해외 백신 프로그램으로 치료 가능하다

1. McAfee_Mofei  전용백신

https://home.mcafee.com/virusinfo/virusprofile.aspx?key=100357

2. Symactec_Mofei  전용백신

https://www.symantec.com/security-center/writeup/2003-060511-2718-99

4. 악성코드 예방 방법

Mofei 악성 코드 예방방법은 다음과 같다

1. 관리목적 공유폴더 사용시 복잡도 높은 암호 사용

2. 의심스러운 사이트 및 메일 內 파일 열기 X

LovGate 악성코드란?

1. 악성코드 개요

LovGate는 2003년경 발견되었으며, 메일 내 첨부파일, 취약한 관리자 계정 암호에 의한 관리목적 공유 폴더에 의해 주로 감염된다.

해당 악성코드는 전파 위험이 높으며 메일 내 악성코드파일을 심어 강제로 발송하거나,

공유폴더를 이용하여 주변 기기에 대해 악성코드를 감염시킨다.

LovGate 악성코드의 감염 시 사용자의 PC 설정에 따라 다음과 같은 증상이 나타날 수 있다.

1.     특정 포트(Port)을 외부에 열어 BackDoor 기능으로 악용

2.     읽지않은 메일에 대하여 악성코드 복사하여 전파

3.     프린터 공유로 인해 비정상적인 인쇄물 계속 출력

LovGate 악성코드 감염되지 않기 위해서는 비정상적인 메일 제목 (Reply to this!’ ‘Last Update, for you’ ‘Attached one Gift for u’ ‘Hi Dear’ 등)

과 수상한 첨부파일이 있는 메일에 대하여 읽지 않고 삭제해야하며, 관리자 암호를 복잡성이 높게 설정하여야 한다.

2. 악성코드 감염 증상

LovGate 악성 코드 감염 시 다음과 같은 증상이 나타날 수 있다.

1.   특정 포트(Port)을 외부에 열어 BackDoor 기능으로 악용

->  악성코드 변종에 따라 다르지만, TCP_20168, TCP_10168 등 특정포트에 대하여 외부통신을 허용시켜

     BackDoor 및 P2P통신으로 PC 내 정보 탈취 및 심화된 시스템 감염될 가능성이 있다.

2.   읽지않은 메일에 대하여 악성코드 복사하여 전파

->  이메일을 이용하여 다른 PC에 대하여 LovGate 악성코드를 점염시킨다.

(Documents, Roms, Evaluation copy,Reply to this!’ ‘Last Update, for you’ ‘Attached one Gift for u’ ‘Hi Dear’ 등)

3.   프린터 공유로 인해 비정상적인 인쇄물 계속 출력

->  프린터 공유기능 사용중 LovGate 감염시 비정상적인 문자열 (깨진 문자열)의 프린트가 계속 출력된다.

3. 악성코드 치료 방법

LovGate 악성 코드 치료 방법은 국내/해외 백신 프로그램으로 치료 가능하다

1. AhnLab_LovGate 전용백신

https://www.ahnlab.com/kr/site/download/product/productVaccineView.do?seq=35

2. (주)하우리 전용백신

https://www.hauri.co.kr/download/vaccine_view.html?uid=26&page=5&keyfield=&key=

4. 악성코드 예방 방법

LovGate 악성 코드 예방방법은 다음과 같다

1. 관리자 계정 복잡성 높은 비밀번호 변경

2. 의심스러운 메일 읽지 않기

Kashu 악성코드란?

1. 악성코드 개요

Kashu는 2003년에 처음 발견되었으며, Microsoft의 Windows 시스템 파일을 감염시키는 바이러스이다.

다양한 이름을 가지고 있으며 EP코드가 모두 다르고, 바이러스 분기방법(CALL, JMP, RETN) 도 달라 진단/치료가 어려운 바이러스다.

Kashu에 주로 감염되는 경로는 악성코드 파일 실행 및 네트워크, 다른 악성코드를 통해 감염되며

Kashu에 감염된 시스템은 스팸 중계 , 통신 프록싱, 민감한 데이터 추출, 웹 서버 손상 및 

비밀번호 cracking 목적의 P2P ( peer-to-peer ) 통신을 할수도 있으며, 2010년 이후 특정 변종은 루트킷 (Rootkit) 기능까지 발전했다.

또한 Windows\system32 內 정상 PE 파일 코드를 암호화 하고 바이러스 코드를 삽입하여 악성 파일을 생성한다.  

Kashu는 지속적인 개발 및 발전으로 인해 현재까지 가장 복잡하고 강력한 형태의 멀웨어 중 하나이다.

※ 해당 악성코드의 별칭의 종류는 다음과 같다.

Win32/Kashu (AhnLab), Virus.Win32.Sality.v (Kaspersky), W32.Sality.AE (Symantec), PE_SALITY.AM (Trend Micro), 

W32/Sality.AD (McAfee), W32/Sality-AM (Sophos) 

2. 악성코드 감염 증상

Kashu 악성 코드 감염 시 다음과 같은 증상이 나타날 수 있다.

1.      Windows 시스템 내 EXE, SCR 확장자를 가진 정상 PE 파일을 감염시킨다.  

2.      시스템 경로에 루트킷 파일을 생성한다.

3.      비정상적인 레지스트리 생성

4.      추가적인 악성코드 다운로드

3. 악성코드 치료 방법

Kashu 악성 코드 치료 방법은 국내/해외 백신 프로그램으로 치료 가능하다.

1. AhnLab_Conficker 전용백신

https://www.ahnlab.com/kr/site/download/product/productVaccineView.do?seq=72

2. (주)하우리 전용백신

https://www.hauri.co.kr/download/vaccine_view.html?uid=55&page=3&keyfield=&key=