IT 사이다

LovGate 악성코드란?

1. 악성코드 개요

LovGate는 2003년경 발견되었으며, 메일 내 첨부파일, 취약한 관리자 계정 암호에 의한 관리목적 공유 폴더에 의해 주로 감염된다.

해당 악성코드는 전파 위험이 높으며 메일 내 악성코드파일을 심어 강제로 발송하거나,

공유폴더를 이용하여 주변 기기에 대해 악성코드를 감염시킨다.

LovGate 악성코드의 감염 시 사용자의 PC 설정에 따라 다음과 같은 증상이 나타날 수 있다.

1.     특정 포트(Port)을 외부에 열어 BackDoor 기능으로 악용

2.     읽지않은 메일에 대하여 악성코드 복사하여 전파

3.     프린터 공유로 인해 비정상적인 인쇄물 계속 출력

LovGate 악성코드 감염되지 않기 위해서는 비정상적인 메일 제목 (Reply to this!’ ‘Last Update, for you’ ‘Attached one Gift for u’ ‘Hi Dear’ 등)

과 수상한 첨부파일이 있는 메일에 대하여 읽지 않고 삭제해야하며, 관리자 암호를 복잡성이 높게 설정하여야 한다.

2. 악성코드 감염 증상

LovGate 악성 코드 감염 시 다음과 같은 증상이 나타날 수 있다.

1.   특정 포트(Port)을 외부에 열어 BackDoor 기능으로 악용

->  악성코드 변종에 따라 다르지만, TCP_20168, TCP_10168 등 특정포트에 대하여 외부통신을 허용시켜

     BackDoor 및 P2P통신으로 PC 내 정보 탈취 및 심화된 시스템 감염될 가능성이 있다.

2.   읽지않은 메일에 대하여 악성코드 복사하여 전파

->  이메일을 이용하여 다른 PC에 대하여 LovGate 악성코드를 점염시킨다.

(Documents, Roms, Evaluation copy,Reply to this!’ ‘Last Update, for you’ ‘Attached one Gift for u’ ‘Hi Dear’ 등)

3.   프린터 공유로 인해 비정상적인 인쇄물 계속 출력

->  프린터 공유기능 사용중 LovGate 감염시 비정상적인 문자열 (깨진 문자열)의 프린트가 계속 출력된다.

3. 악성코드 치료 방법

LovGate 악성 코드 치료 방법은 국내/해외 백신 프로그램으로 치료 가능하다

1. AhnLab_LovGate 전용백신

https://www.ahnlab.com/kr/site/download/product/productVaccineView.do?seq=35

2. (주)하우리 전용백신

https://www.hauri.co.kr/download/vaccine_view.html?uid=26&page=5&keyfield=&key=

4. 악성코드 예방 방법

LovGate 악성 코드 예방방법은 다음과 같다

1. 관리자 계정 복잡성 높은 비밀번호 변경

2. 의심스러운 메일 읽지 않기

Kashu 악성코드란?

1. 악성코드 개요

Kashu는 2003년에 처음 발견되었으며, Microsoft의 Windows 시스템 파일을 감염시키는 바이러스이다.

다양한 이름을 가지고 있으며 EP코드가 모두 다르고, 바이러스 분기방법(CALL, JMP, RETN) 도 달라 진단/치료가 어려운 바이러스다.

Kashu에 주로 감염되는 경로는 악성코드 파일 실행 및 네트워크, 다른 악성코드를 통해 감염되며

Kashu에 감염된 시스템은 스팸 중계 , 통신 프록싱, 민감한 데이터 추출, 웹 서버 손상 및 

비밀번호 cracking 목적의 P2P ( peer-to-peer ) 통신을 할수도 있으며, 2010년 이후 특정 변종은 루트킷 (Rootkit) 기능까지 발전했다.

또한 Windows\system32 內 정상 PE 파일 코드를 암호화 하고 바이러스 코드를 삽입하여 악성 파일을 생성한다.  

Kashu는 지속적인 개발 및 발전으로 인해 현재까지 가장 복잡하고 강력한 형태의 멀웨어 중 하나이다.

※ 해당 악성코드의 별칭의 종류는 다음과 같다.

Win32/Kashu (AhnLab), Virus.Win32.Sality.v (Kaspersky), W32.Sality.AE (Symantec), PE_SALITY.AM (Trend Micro), 

W32/Sality.AD (McAfee), W32/Sality-AM (Sophos) 

2. 악성코드 감염 증상

Kashu 악성 코드 감염 시 다음과 같은 증상이 나타날 수 있다.

1.      Windows 시스템 내 EXE, SCR 확장자를 가진 정상 PE 파일을 감염시킨다.  

2.      시스템 경로에 루트킷 파일을 생성한다.

3.      비정상적인 레지스트리 생성

4.      추가적인 악성코드 다운로드

3. 악성코드 치료 방법

Kashu 악성 코드 치료 방법은 국내/해외 백신 프로그램으로 치료 가능하다.

1. AhnLab_Conficker 전용백신

https://www.ahnlab.com/kr/site/download/product/productVaccineView.do?seq=72

2. (주)하우리 전용백신

https://www.hauri.co.kr/download/vaccine_view.html?uid=55&page=3&keyfield=&key=

Conficker 악성코드란?

1. 악성코드 개요

컨피커(Conficker)는 2008년 말부터 확산되기 시작한 악성코드로

Conficker, Kido, DownUp 등 다양한 이름으로 알려져 있으며, 악성코드 변종도 매우 다양하다.

컨피커(Conficker) 악성코드는 Windows 서버 서비스 취약점을 이용해 주로 감염되며

해당 취약점의 경우 MS08-067 – 긴급 보안 패치를 이용하여 대처 가능하다.

또한 공유 폴더, USB 등을 통해 감염 가능성이 있다.

Conficker 악성코드의 감염 시 사용자의 PC 설정에 따라 다음과 같은 증상이 나타날 수 있다.

1.     계정 잠금 정책이 자동적으로 초기화된다.

2.     백신 프로그램 제작사 웹사이트 혹은 윈도 시스템 업데이트 홈페이지에 접속할 수 없다.

3.     시스템 네트워크가 비주기적으로 혼잡 해져 속도가 느려 진다.

4.     도메인 컨트롤러가 클라이언트의 요청에 느리게 대답한다.

해당 악성코드의 경우 2008년 말부터 존재하는 악성코드로, Windows 보안 패치 및 백신 프로그램으로 간단하게 치료 가능하나, 사용자 환경이 폐쇄적인 시스템 혹은 업데이트 불가능할 경우, 악성코드 감염되지 않도록 주의해야한다.

2. 악성코드 감염 증상

컨피커(Conficker) 악성 코드 감염 시 다음과 같은 증상이 나타날 수 있다.

1.     계정 잠금 정책이 자동적으로 초기화된다.

è  관리자 계정 암호를 해독하기 위해 무차별 대입 공격 기법(brute force attack)을 사용하여, 관리자 계정을 탈취 시도하며 성공할 경우 계정 비밀번호 변경 및 다음 악성행위를 위해 사용자 PC 환경을 강제로 변경한다.

    ※ 관리자 계정 탈취시 공유폴더 (ADMIN$)에 요청하여 Windows\System32 內 랜덤한 이름의 악성코드 파일 생성하며,

       악성파일이 동작할수있도록 작업스케줄러를 생성하게된다.

2.     백신 프로그램 제작사 웹사이트 혹은 윈도 시스템 업데이트 홈페이지에 접속할 수 없다.

è  MS08-067 – Windows 긴급 보안 패치 및 백신 프로그램에 치료되지 않게

Windows 및 백신 사이트에 접속할 수 없게 인터넷 환경(DNS)을 강제로 변경시킨다

3.     시스템 네트워크가 비주기적으로 혼잡 해져 속도가 느려 진다.

è  Conficker 악성코드 감염 시 랜덤 IP 혹은 B 클래스 IP 대역을 대상으로

TCP 445(SMB) 포트를 이용하여, 대량의 트래픽을 발생시켜 네트워크 속도를 저하시킨다.

4.     도메인 컨트롤러가 클라이언트의 요청에 느리게 대답한다.

3. 악성코드 치료 방법

컨피커(Conficker) 악성 코드 치료 방법은 국내/해외 백신 프로그램으로 치료 가능하며

백신 프로그램으로 악성코드 제거후 반드시 재부팅을 해야한다.

è  재부팅을 하지않을경우 시스템 메모리에 동작하는 Conficker가 다시 생성될 가능성이 있다.

1. AhnLab_Conficker 전용백신

https://www.ahnlab.com/kr/site/download/product/productVaccineView.do?seq=80

2. (주)하우리 전용백신

https://www.hauri.co.kr/download/vaccine_view.html?uid=90

3. 수동 제거 방법

https://support.microsoft.com/ko-kr/help/962007/virus-alert-about-the-win32-conficker-worm

4. 악성코드 예방 방법

컨피커(Conficker) 악성 코드 예방방법은 간단하다.

1. 관리자 계정 복잡성 높은 비밀번호 변경

2. Windows 보안 업데이트

구버전일경우 해당 페이지에서 긴급 보안 업데이트 

https://docs.microsoft.com/ko-kr/security-updates/SecurityBulletins/2008/ms08-067