Win32:Skyper.B는 스카이프처럼 보이게 위조하여 스카이프에 접속하는 사용자ID와 비밀번호 정보를 훔치는 악성 프로그램입니다.

Skyper.B는 스카이프 디펜더(defender)라는 보안 플러그인으로 위장하고 있으며 자체 압축인 UPX 3.0으로 되어 있으며 볼랜드 델파이로 제작된 것으로 알려져 있습니다.

이 악성 프로그램이 실행되면 아래와 같이 경고 메시지를 보이고 스카이프 로그온 화면을 위장하는 가짜 화면이 나타납니다.
사용자 삽입 이미지

사용자 삽입 이미지

로그온을 시도하면 아래와 같이 올바르지 않다고 경고 메시지를 보여 줍니다.
사용자 삽입 이미지

아래는 실제 스카이프의 로그온 화면으로 Sign in 버튼 부분이 다른 것을 볼 수 있습니다.
사용자 삽입 이미지

스카이프 사용자가 가짜 로그온 화면에서 정보를 입력하고 Sing in 버튼을 클릭하면 악성 프로그램은 계정정보를 [xxx.rxfly.net]으로 전송을 시도합니다. 또한, 윈도우 보호 스토리지 서비스(Windows Protected Storage Service)에서도 계정 정보를 취득하려고 시도합니다.

다행인 것은 자기 자신을 이메일, 메신저 등을 통해 다른 곳으로 전송하는 기능이 빠져있습니다.

노턴 등의 최신 안티바이러스에서 이 악성 프로그램을 진단 처리할 수있지만, 아무래도 조심하는 편이 나을 것으로 보입니다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    인터넷 전화로 유명한 SKYPE에서 새로운 웜이 창궐하는 현상이 발생하고 있습니다.

    w32/Ramex.A 웜은 SKYPE의 공개 API(Application Program Interface)를 사용하여 PC를 액세스합니다.

    SKYPE 사용자가 .jpg 이미지로 유도하는 채팅 메시지를 받으면서 감염이 시작되며, 물론 이 메시지는 출처를 알 수 없는 곳에서 발송되며 보통 이 웜에 감염된 친구 중 하나일 수 있습니다.

    이 링크는 바이러스 파일로 유도되며, 사용자가 이 링크를 클릭하면 저장할 지 또는 .scr 파일을 실행할지 물어 봅니다. 사용자가 파일을 다운로드하지 않는 경우에는 다행이도 감염되지 않습니다.

    F-Secure, 카스퍼스키, 시만텍과 같은 바이러스 벤더에서는 이미 이 웜 샘플을 입수하여 데이터베이스를 업데이트한 상태입니다.
    사용자 삽입 이미지

    그리고, 다음의 방법을 이용하여 직접 w32/Ramex.A 웜을 제거할 수 있습니다.

    1. 안전 모드로 부팅합니다.

    2. 레지스트리 편집기를 실행합니다.(regedit.exe)

    3. HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnce에서 mshtmldat32.exe 엔트리를 찾아 삭제합니다.

    4. 탐색기를 열고 WIndows\System32 폴더에서 wndrivs32.exe, mshtmldat32.exe, winlgcvers.exe, sdivew32.exe 파일을 삭제합니다.

    5. Windows\System32\drivers\etc 폴더에서 hosts 파일을 찾아 메모장으로 엽니다.

    6. 모든 항목을 삭제합니다.(localhost 만 제외)

    7. 재부팅합니다.

    출처:
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      유명한 컴퓨터 잡지 중 하나인 컴퓨터 쇼퍼에서는 인터넷에서 사용할 수 있는 무료 보안 제품과 유틸리티를 선정하여 발표하였습니다. 이 중에서는 국내에서는 그리 사용되지 않는 생소한 제품도 있습니다. 간략히 정리해서 올려 드립니다.

      1. AVG Anti-Virus Free Edition 7.5

      2. Bazooka Adware and Spyware Scanner 1.13.03

      3. DowntheMall 0.9.9.7

      4. Klipfolio 4.01

      5. ParentalControl Bar 4.0.3.344

      6. Skype 3.1.0.150

      7. Stumbleupon Toolbar for Internet Explorer 3

      8. Trillian 3.1

      9. Xnews 5.08

      10. ZoneAlarm 7

      출처: 컴퓨터 쇼퍼

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        우리나라에서는 '한글'이라는 언어 덕분에, MSN  메신저와 같이 메신저로 전파되는 웜에 그리 심각한 영향을 받지는 않습니다. 물론, 전파될 때 링크에 영어로 써 있기 때문이며, 대부분 그냥 창을 닫게 됩니다.

        최근, Stration(또는, Warezov, Stratio) 웜의 새로운 변형 버전이 스카이프 유저 뿐만 아니라 다른 메신저까지도 전파되고 있다고 합니다. 스카이프 웜은 명칭 그대로 스카이프 네트워크를 통해 전파되는 것으로, 이번 주초에 발견된 최신 변형 웜은 ICQ와 MSN 유저에게도 전파됩니다.

        웜에 감염되기 위해서는 먼저, 사용자가 링크(Check this out. Give me your opinion")를 클릭하고 실행 파일을 다운로드하는 것을 동의합니다. 일단 웜이 설치된 후에는 연락처에 있는 다른 사람에게 메시지를 꾸준히 보내게 된다고 합니다.

        기존의 메신저를 통해 전송되는 웜들은 자기 메신저 네트워크에서만 전파됐지만, 이 변형웜은 스카이프에서 다른 네트워크로 전파되는 첫번째 웜이라고 합니다.

        출처: PCWORLD




        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus


          Web Analytics Blogs Directory