Source : http://www.zdnet.co.kr/news/network/security/0,39031117,39169379,00.htm

 

회사원 박모(33·남)씨는 28일 새로 산 정품 SW를 PC에 설치하던 중 어이없는 일을 겪었다. PC백신이 박씨가 사온 SW에 악성코드가 담겼다며 요동친 것. 박씨는 전문가에게 상담을 의뢰했고, 결과는 SW에 악성코드가 실제 있는 것으로 나타났다.

박씨는 “분명 중고가 아닌 새 제품을 사서 포장도 집에서 뜯었고, 구입처는 누구나 아는 유명매장인데 어떻게 이런 일이 생기는지 이해할 수 없다”고 말했다.

■ 유명 제품서 악성코드 줄줄이 등장

사실 박씨와 비슷한 피해자들은 쉽게 흔히 볼 수 있다. SW와 HW를 막론하고 정품에서 악성코드가 종종 발견된다. 악성코드를 피한다고 ‘어둠의 경로’ 이용을 자제했는데 이런 피해를 입는다면 억울할 수밖에 없다.

최근 대표적 사례로는 HP가 출시한 USB서 악성코드가 나온 일이 있다. 지난달 HP는 1GB USB 제품에서 PC정보를 갈취해 공격자에게 보내는 악성코드 ‘W32.Fakerecy’와 ‘W32.SillyFDC’가 검출돼 곤욕을 치렀다.

HP는 사건 파장이 커지자 서둘러 유명 보안연구소 AusCERT에 감염된 샘플을 제공하고 해결책을 모색했지만 기업 이미지는 이미 상처 입은 뒤였다.

또 작년에는 시게이트 하드디스크서 온라인 게임 계정 탈취용 트로이목마가 나왔고, 2006년 애플은 아이팟에 악성코드가 포함된 사실을 공식 발표했다. 2004년에는 러시아 보안기업 카스퍼스키랩이 우리나라 ‘아이리버’ MP3에 악성코드가 담겼음을 지적하기도 했다.

좀 더 과거 사례를 보면 1995년 마이크로소프트가 배포한 윈도우95 데모에서 ‘모양 바이러스(Form)’가 발견된 것이나, 1990년 영국 컴퓨터 잡지 ‘PC투데이’가 ‘디스크 살해 바이러스(Disk_Killer)’가 담긴 씨디 6만5천장을 부록으로 지급한 일이 아직 회자된다.

■ 제조 과정서 검수 소홀이 원인

물론, 유명 업체들이 악성코드가 담긴 제품을 일부로 배포했을 가능성은 희박하다. 하지만 제품관리를 제대로 못한 책임에서는 자유로울 수 없다.

그렇다면 대체 제조과정에서 무슨 일이 있었기에 정품이 악성코드에 감염될까. 안철수연구소 차민석 연구원은 이런 원인을 크게 3가지로 분류한다.

첫째, 제조사가 제품 출시 전 보안검사를 철저히 하지 않는 경우가 있다. 차민석 연구원은 “정품에서 발견된 악성코드 상당수가 기존 백신에서 진단 가능한 유형이었다”며 “제품 출시 전 검사만 꼼꼼히 했어도 피해를 막을 수 있었다”고 설명했다.

둘째, 외부와 분리되지 않은 제조 환경이 문제이다. 특히 HW의 경우 테스트나 자료 초기화를 위해 PC에 종종 연결하는데 이때 악성코드에 감염될 가능성이 있다. 특히 MP3 플레이어나 PMP는 대부분 마이크로소프트 FAT32 방식으로 포맷돼 윈도우 악성코드가 저장될 수 있다.

셋째, 내부자의 고의적 소행 가능성도 간과할 수 없다. 간혹 접근이 극히 어려운 부분이 변조된 제품이 보이는데, 이는 제작자 중 누군가 악의를 품고 벌인 일이 거의 확실하다. 차민석 연구원은 “내부자 소행을 막기 위해서는 제품 검수 과정에서 어떤 코드가 들어갔는지 치밀한 리뷰를 해야 한다”고 강조했다.

일반 소비자들은 이런 피해를 막기 위해 할 수 있는 일이 그리 많지 않다. 일단 제품을 PC로 확인하기 전까지는 악성코드 감염 사실을 알 방도도 없다. 때문에 피해를 최소화 하려면 인스톨이 완전히 되기 전 악성코드 감염 여부를 확인해야 한다.

차민석 연구원은 “어떤 제품이든 백신을 실기산 감시모드로 설정한 상태로 인스톨해야 한다”며 “최신 백신이라면 아이팟이나 USB도 PC에 연결 즉시 악성코드 감염 여부를 알려줄 것”이라고 말했다. @

Array

◇ 정품에서 발견된 악성코드 목록. (자료제공 : 안철수연구소)

신고

Source : http://www.parkoz.com/zboard/view.php?id=my_tips&no=11570

 

Array
Image size : 320 x 290, Saturday May 24, 2008 01:55:01 pm, Uploaded by 김현강

PC의 데이터를, USB 이동식 저장 장치를 이용한 유출로부터 차단하는 초보적인!!! 방법입니다.
(혹시 중복이면 알려주세요...)

0. 가정

일반적인 사용 환경을 가정합니다.

USB 포트를 물리적으로 차단할 수 없는 상태 및 당사자도 USB 장치를 곧잘 쓰는 상황.
그러므로 USB 포트를 땜질해버린다거나

BIOS에서 USB 컨트롤러를 비활성화하는 방법은 제외입니다.

1. USB 이동식 저장장치를 Read-Only 상태로 설정
이 경우 USB 이동식 저장장치를 PC에 연결하면 제대로 인식은 됩니다만 읽기만 가능해집니다.
이를테면 저장장치의 데이터를 PC로 복사할 수는 있지만 PC의 데이터를 저장장치로 복사는 불가능해집니 다.
1) 가능한 OS

SP2 이상이 설치된 Windows XP, Vista
아쉽게도 제 여건상 위의 OS들에서 확인은 못 해봤습니다.
현재 테스트할 수 있는 시스템은 오로지 2003만 설치되어 있는 관계로...
2003에서는 동작하지 않았습니다. 2003은 XP와 유사점이 많은 OS임에도 불구하고
이것은 XP SP2 이상 또는 Vista에만 포함되는 특정한 보안 정책을 이용한 방법이기 때문인 듯 합니다.
해당 보안 정책을 2003에 포팅할 수 있다면 결과가 어찌될런지는 모르겠지만
기본적으로는 2003에서는 안 됩니다. 2000의 경우도 아직 테스트해보지 못 했습니다.
2) 절차 :
- 레지스트리 편집기 실행 (시작-실행-regedit)
- 다음으로 이동 : HKLM-System-CurrentControlSet-Control
- Control 하위에 다음 명칭의 키가 없다면 생성 : StorageDevicePolicies
- 생성한 StorageDevicePolicies 키 하위에 DWORD로 WriteProtect를 생성
- 생성한 DWORD WriteProtect의 값을 1로 변경
- 시스템 리부팅
3) 특징 :
시스템 리부팅 절차를 거쳐야 효과가 발휘됩니다. 단점이라고 할 수 있죠.
어느 정도 반영구적(?)으로 효과를 지속하고자 할 때 유용하리라 생각됩니다.
Read-Only 효과를 제거하고 싶다면 생성한 DWORD의 값을 0으로 변경하거나
해당 키(StorageDevicePolicies)를 통채로 삭제한 후 리부팅하면 됩니다.

※ 추가로 이러한 USB Write-Block 용 툴들이 몇가지 있는 것으로 압니다.

그 중 몇가지는 위의 방법을 그대로 사용한 것으로 보이더군요.

그런 툴의 경우라면 2003에서는 효과가 없겠지요.

XP와 2003 모두에서 동작 가능한 툴들을 찾아봤으나 아직은 쓸만한 결과를 얻지는 못 했습니다.

또한 2003에서 다른 방식으로 가능한 툴 하나를 발견했으나 도메인 환경(AD 환경)에서만 가능해보였습니다.

2. USB 이동식 저장장치를 인식하지 못하도록 하는 방법#1
이 방법은 원천적으로 USB 이동식 저장장치를 연결해도 시스템이 인식하지 못 하도록 하는 방법입니다.
다만 1번의 방법과는 달리 이 방법은 리부팅 과정이 불필요하므로 좀 더 간편합니다.
1) 가능한 OS

SP2 이상이 설치된 XP, Vista, 그리고 2000도 가능하다는데 정확한 서팩 버전까지는 모르겠습니다.
2003의 경우 SP2에서 테스트해본 결과 제대로 동작했습니다.
(SP1이나 순정상태의 2003은 어떨지 모르겠군요.)
2) 절차
- 레지스트리 편집기 실행 (시작-실행-regedit)
- 다음으로 이동 : HKLM-System-CurrentControlSet-Services-USBSTOR
- USBSTOR 하위에 DWORD Start가 존재하고 기본값이 3으로 되어 있을 겁니다.
이 값을 4로 변경 시 효과가 발휘됩니다.
3) 특징
앞서 언급했듯이 효과의 On/Off가 발휘되는데 시스템 리부팅이 필요치 않습니다.
그러므로 평소에는 Off(Start=4) 시켰다가 자신이 USB 이동식 저장장치를 쓸 때만
On(Start=3)으로 변경하고 사용이 종료되면 다시 Off 시키면 될 것 같습니다.
아래와 같이 2가지 상태에 대한 레지스트리 파일 2개를 생성해두면 편하겠죠.
또한 배치 파일 작성에 익숙하신 분이라면 배치파일도 추가로 생성해서
하나의 파일만 실행하여 선택항을 통해 조작할 수도 있겠고요...

- 파일#1(인식가능) : USBSTOR_On.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR]

"Type"=dword:00000001

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,

  52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,

  00,52,00,2e,00,53,00,59,00,53,00,00,00

"DisplayName"="USB 대용량 저장소 드라이버"

"Start"=dword:00000003

- 파일#2(인식불가) : USBSTOR_Off.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR]

"Type"=dword:00000001

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,

  52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,

  00,52,00,2e,00,53,00,59,00,53,00,00,00

"DisplayName"="USB 대용량 저장소 드라이버"

"Start"=dword:00000004

3. USB 이동식 저장장치를 인식하지 못하도록 하는 방법#2
이것은 2번 방법과 똑같은 방법입니다만 그룹관리정책(gpedit.msc)에서 제어하는 방법입니다.
물론 그룹관리정책에 2번과 같은 효과를 발휘하는 기존의 정책은 없는 것으로 압니다.
정책을 생성해서 그룹관리정책에 추가하는 것이죠.
1) 적당한 텍스트 에디터를 엽니다. 메모장이라던가...
2) 다음의 내용을 입력합니다. (일부 내용은 유저 입맛에 맞게 수정하셔도 됩니다.)

CLASS MACHINE
CATEGORY "Custom Policies"
KEYNAME "SYSTEMCurrentControlSetServicesUsbStor"
  POLICY "USB Mass Storage Installation"
   EXPLAIN "When this policy is enabled, USB mass storage device permissions can be changed by using the drop down box.
Selecting 'Grant Permission' will allow USB mass storage devices to be installed.  Selecting 'Deny Permission' will prohibit
the installation of USB mass storage devices.
IF REMOVING THIS POLICY: Reset to original setting and let policy propegate before deleting policy."
     PART "Change Settings:" DROPDOWNLIST REQUIRED
       VALUENAME "Start"
       ITEMLIST
        NAME "Grant Permission" VALUE NUMERIC 3 DEFAULT
        NAME "Deny Permission" VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
END CATEGORY

3) 위의 내용을 확장자 ADM으로 저장합니다. USBSTOR.ADM이라던가... 저장 위치 아무래도 상관 없습니다.
4) 그룹관리정책을 실행합니다. 시작-실행-gpedit.msc
5) 컴퓨터구성-관리템플릿 을 우클릭하여 템플릿 추가/제거 를 택합니다.
Array

6) 추가를 선택한 후 브라우징 창에서 앞서 저장한 *.ADM 파일을 불러옵니다.
Array
7) 현재 정책 템플릿 목록에 USBSTOR가 추가된 것을 확인한 후 닫기를 누릅니다.
8) 아래 그림처럼 Custom Policies 라는 항목이 추가되었습니다.
우클릭하여 보기-필터 사용 중을 택합니다.
Array

9) 필터링 화면에서 마지막의 완전히 관리가 가능한...의 체크를 해제 후 확인을 누릅니다.
Array
10) 이제 다시 Custom Policies를 클릭하면 아래 그림처럼 우측 창에
USB Mass Storage Installation이 보일 겁니다.
Array
이후 gpedit.msc를 재실행할 때마다 9)번 조치를 해줘야
USB Mass Storage Installation이 보이더군요. 단점인지 장점인지 모르겠습니다 ㅡ.ㅡ;

11) USB Mass Storage Installation을 더블클릭하면

다른 정책관리 창과 다를 바 없는 창이 뜹니다. 아래처럼...
Array
12) 총 4가지의 선택이 가능합니다.
- 구성되지 않음, 사용 안 함, 사용-Deny Permission
이상의 3가지를 택하면 USB 이동식 저장장치를 연결해도 PC가 인식을 안 합니다.

- 사용-Grant Permission을 택하면 USB 이동식 저장장치를 인식합니다.

여러모로 부족한 글 끝까지 읽어주셔서 감사합니다.
이상의 내용은 대부분 이미 웹상에 게시되어 있는 글들을 모아둔 것에 불과하고요...

1번과 2번 방법은 특별히 출처를 어디로 적기 어려울 정도로 여러곳에 게시되어 있으며
3번 방법은 아래 주소의 영문 글을 해석한 것입니다.
http://www.pragmaticutopia.com/content/view/89/125/

그리고 여러 OS와 SP 상태에서 테스트한 글들이 피드백으로 달렸으면 좋겠습니다만 호응이 어떨지 모르니 ^^;
XP는 나중에라도 제가 테스트해볼 수 있지만 비스타나 2000은 다른 분들의 반응에만 의존해야 할 것 같군요.

신고

Source : http://www.zdnet.co.kr/news/enterprise/etc/0,39031164,39169123,00.htm

 

안철수연구소(대표 오석주)는 23일 이메일로 확산되며, 감염될 경우 중국의 특정 웹사이트를 겨냥해 DDoS(분산서비스거부) 공격을 하는 악성코드가 발견돼 사용자의 주의가 필요하다고 경고했다.

제픽.69306(Dropper/Zepik.69306)이라는 이름의 이 악성코드는 ‘어도비(lAdobe)사 고소장 접수에 대한 안내문’이라는 제목의 이메일에 ‘고소장접수결과보고.zip’ 파일이 첨부되어 특정 메일 주소로 대량 발송되는 것으로 알려져 있다.

이메일에 첨부된 ‘고소장접수결과보고.zip’ 파일을 실행해 그 안의 ‘고소장접수결과보고.exe' 파일을 실행하면 윈도 시스템 폴더에 nbjs.dll 파일이 만들어진다. nbjs.dll 파일은 DDoS 공격을 하는 트로이목마 파일로서 중국에 위치한 특정 시스템으로 다량의 패킷을 발송하는 형태로 DDoS 공격을 한다. 감염된 PC가 DDoS 공격에 이용되는 것이다.

이 밖에도 제작자가 명령하는 대로 파일을 다운로드하거나 실행하는 증상도 있다. nbjs.dll 파일의 내부 문자열 등으로 미루어 중국에서 제작된 것으로 추정된다.

사용자는 ‘고소장접수결과보고.zip’ 파일이 첨부된 이메일을 받은 경우 즉시 삭제해야 하며, 최신 버전의 보안 소프트웨어를 설치해두고 실시간 감시 기능을 켜두는 것이 안전하다. 윈도 XP나 비스타에서 '윈도 시스템파일 변경 경고창'이 나타나는 경우 감염됐을 가능성이 높으니 반드시 검사하는 것이 좋다. 이 악성코드는 ‘V3 365 클리닉’ 등의 V3 통합보안 제품군과 무료 온라인 백신인 ‘빛자루’ 최신 버전으로 진단,치료할 수 있다.

안철수연구소 시큐리티대응센터(ASEC) 조시행 상무는 “이 악성코드는 중국에서 제작된 것으로 추정되는데 이메일 제목과 첨부 파일명 등에 한글을 사용한 것이 특징이다. 최근 기업의 고객 정보 유출 등으로 집단 소송에 대한 관심이 높아지자 이를 악용한 것으로 보인다. 이메일 수신자가 관심을 가질 만한 내용으로 현혹해 악성코드 유포에 악용하는 것이므로 각별한 주의가 필요하다”라고 설명했다.

신고

출처 : http://www.zdnet.co.kr/news/network/security/0,39031117,39167787,00.htm

 

회사원 최모(33)씨는 최근 자신의 보낸 편지함을 보고 크게 놀랐다. 자신이 하루에 수천 통씩 불법음란사이트 광고 스팸을 보내고 있던 것. 뿐만 아니라 각종 미니홈피와 블로그에도 최씨 명의로 같은 광고 글이 올려지고 있었다. 최씨는 이런 사실을 까맣게 몰랐다고 하소연 한다.

최근 최씨와 같이 자신도 모르게 스패머가 된 피해자들이 늘고 있다. 이는 누군가 최씨의 로그인 정보를 빼낸 뒤 아이디를 불법 사용한 결과이다.

지난 달 경찰청 사이버테러대응센터는 이렇게 남의 아이디를 도용해 스팸과 광고글을 올린 혐의(정보보호법 위반)로 불법 도박사이트 운영자 강모(25)씨를 구속하고 이모(22)씨 등 6명을 불구속 입건했다.

이들은 지난해 6월부터 11월까지 약 100만명의 개인정보를 도용, 총 12억2천회에 걸쳐 무차별 스팸을 뿌렸다는 혐의를 받고 있다. 여기서 나온 수입은 약 1억여원. 그리고 이와 비슷한 사건들은 아직도 알게 모르게 계속되고 있다.

포털서 악성코드 감염

이런 범죄는 로그인 정보를 갈취할 악성코드만 구했다면, 쉽게 저지를 수 있어 더 충격이다.

우선 범인은 포털에 만든 자신만의 비밀 카페 게시판에 악성코드를 첨부한 글을 올린다. 이때 첨부파일 곧 악성코드는 게시물과 별도 URL을 갖게 되며, 일반 사용자가 접속하는 순간 자동 다운로드 된다. 이렇게 들어온 악성코드는 사용자 PC내 로그인 정보를 모아 주인인 범인에게 전송한다.

곧, 사용자가 악성코드 URL을 피해 다닌다면 안전하겠지만 이것이 쉽지가 않다. 범죄자들은 순진한 사용자들을 악성코드 URL에 접속시키려 별의 별 낚시질을 동원하고 있다.

Array

◇사진설명 : 악성코드를 이용한 로그인 정보 갈취 방식. 제공 : 경찰청 사이버테러대응센터

가장 흔한 방법이 스팸메일을 이용하는 것이다. 클릭하면 공짜 음란물이나 자료가 나온다는 내용의 메일 상당수가 악성코드 함정이다. 클릭 버튼 뒤에는 악성코드 URL이 연결돼 있다.

또 웹 사이트를 열고 액티브X로 악성코드를 심는 방식도 있다. 방문자에게 ‘별도 프로그램이 필요하다’는 메시지를 띄우며 클릭하면 악성코드가 자동 설치되게 한다. 이런 사이트들은 대부분 도박과 음란물 등 자극적 주제를 걸고 있다.

경찰청 사이버테러대응센터 정석화 팀장은 “상당수 불법 도박사이트들이 이런 수법을 사용하고 있다”며 “특히 스포츠 토토와 관련된 비공식 사이트가 많이 적발 된다”고 밝혔다.

중국 등지에 서버 놓고 추적 피해

문제가 이렇게 심각하지만 범인 색출은 쉽지 않다. 범인 대부분이 중국이나 태국 등 우리나라 사법권 밖에 서버를 두고 있기 때문이다. 지난 달 구속된 강모씨도 중국에서 활동해 왔다.

정석화 팀장은 “범죄 서버 상당수가 해외에 위치해 검거가 쉽지 않다”며 “범인 대부분은 현지 거주하는 한국인”이라고 밝혔다.

또 경찰은 이런 사건에 일반 범죄조직이 개입했다는 단서도 포착했다. 돈이 되는 도박/대출 사이트 등이 범죄조직의 새 사업대상이 됐고, 이를 위해 크래커들을 영입하고 있다는 설명이다.

정석화 팀장은 “경찰은 사건방지와 범인 검거를 위해 계속해서 노력하고 있다”며 “불법 사이트 이용을 자제하고, 첨부된 프로그램을 함부로 다운받지 않는 사용자 노력도 중요하다”고 강조했다. @

 

 

우리는 이미 스팸의 홍수 속에 살아가고 있다고 느끼는건 나 혼자만의 생각일까..

이렇게 뉴스 펌질하고 있는 내 블로그에 방문하는 방문객들도 일종의 스팸을 보는 느낌일수도 있다고 생각한다.

파워유저란, 여러가지 정보의 Dummy 홍수 속에서 진주를 골라내는 능력이 있어야 하는듯 하다..

신고

출처 : http://www.zdnet.co.kr/news/network/security/0,39031117,39167424,00.htm

 

K사는 최근 전 직원 PC에 새 백신을 보급한 후 업무가 마비됐다.
요즘 유명세를 떨친다기에 들인 새 백신이 K사 업무파일을 악성코드라며 삭제했기 때문이다.
덕분에 K사는 해당 백신회사 지원팀을 불러 문제해결에 한창이다.

이렇게 믿었던 백신의 배신사례가 종종 나타나고 있다.
심지어 윈도우 실행파일을 삭제해 시스템을 망가뜨리는 백신도 있다.

이런 오진 원인은 크게 두 가지로 설명된다.
첫째, 겉으로 보이는 탐지율을 높이기 위해 정상파일을 악성코드로 진단하는 고의적 악질 행위가 있다.
최근 검찰에 기소된 ‘닥터바이러스’의 경우 이런 식으로 92억원을 뜯어냈다는 혐의로 재판중이다.
닥터바이러스뿐 아니라 근래 우후죽순 생겨나는 생소한 백신들 대부분이 네티즌들로부터 같은 의심을 사는 것이 사실.

둘째는 검증된 유명백신이 일으키는 문제인데, 사용자 대부분이 믿고 쓰기에 그 심각성이 더 크다.
바이러스블러틴을 비롯한 각종 국제인증을 줄줄이 획득한 백신도 종종 오진을 남발한다.
특히 외산백신의 경우 낮선 한국 파일에 칼을 뽑는 경우가 있다.
이는 백신에 악의성이 있는 것이 아니라 악성코드 판단 기준이 저마다 다른데서 나온 결과이다.

아래 사진은 삼성전자 원격서비스 프로그램 파일을 백신들이 어떻게 진단하는지 ‘바이러스토탈’로 3일 조사한 것이다.
보다시피 AntiVir(독일), 비트디펜더(루마니아), 닥터웹(러시아), 이카루스(오스트리아) 등 유명 백신들이 해당 파일을 악성코드로 분류하고 있다.

Array

◇사진설명 : 빨간 줄로 표시된 유명백신들이 정상파일을 악성코드로 분류하고 있다.

Array

◇사진설명 : 삼성전자 원격서비스 프로그램 다운.
특히 닥터웹은 이런 문제로 여러 악성코드 연구모임에서 원성을 사고 있다.
얼마 전에는 엔젤인코더와 넥슨 파일을 악성코드로 오진해 ‘넷심’을 크게 잃었다.
게임왕국 우리나라서 넥슨 파일을 오진한 것은 문제가 크다.

Array

◇사진설명 : 닥터웹의 넥슨파일 오진 모습. (제공 : 네이버 카페 ‘바이러스 제로 시즌2’)
네티즌 사이서 한창 인기 몰이 중인 카스퍼스키도 이런 망신을 못 피했다.
지난 2월 카스퍼스키 엔진을 탑재한 네이버 ‘PC그린’이 네이버 웹사이트를 악성코드 ‘Virus.JS.Iframer.a’로 진단한 것.
결국 네이버 백신이 네이버를 잡은 어이없는 해프닝으로 남게 됐다.

물론, 백신기업들도 이미지 하락을 우려해 이런 문제를 해결하려 하지만, '오진률 제로'는 쉽지 않은 일이다.
때문에 백신의 검색결과도 다시 한번 의심해보는 사용자 주의가 강조되고 있다.
특히 백신진단 후 무조건 치료버튼을 누르는 것은 금물이다.

한 백신업계 관계자는 “치료버튼을 누르기 전에 진단목록에 있는 파일이 어떤 것인지 반드시 확인해야 한다”며 “웹상에서 알려진 높은 탐지율을 무조건 맹신하면 안된다”고 조언했다. @

바이러스토탈 : 특정 파일을 웹에 올리면 각종 백신으로 검사한 후 결과 값을 보여주는 사이트. 한국어 서비스는 http://www.virustotal.com/kr/에서 받을 수 있다.

 

 

잘 모르겠다.. 싶은 분은 그냥 쓰면 된다.

정말 악성코드가 아닌 경우 직접 회사에서 각각 백신 회사와 업무협조를 하기 때문에, 회사가 없어진 경우가 아니고서야 문제될것이 없다.

그냥 피드백 한번 해주면 된다. 악성코드가 우후죽순처럼 쏟아지는 이마당에, 백신 설치 안할수도 없는노릇 아닌가.

신고

출처 : http://windowsissue.com/56

 

오늘따라 이상하게 시스템이 느리다.

SoftGrid 때문에 Virtual PC를 3개나 올려놓고 쓰는데도 느리단 생각 별로 안 해 봤는데...

오늘은 서버 하나만 띄워놔도 엄청 느리다. 어라~ 누가 찝쩍거리는거야?

컴퓨터를 업으로 삼는 사람들은 다 안다. 내 컴이 조금만 느려져도....

마치 자동차 좋아하는 사람이 그날 차 상태가 조금 달라도 금방 낌새를 느끼는 것 처럼...(난 그점에 관해선 확실히 둔한 편이다)

Array

Process Explorer를 띄워보니 역시나 범인이 단번에 나타난다.

npkcmsvc.exe 가 메모리를 30%나 먹고 있는 것이다. npkcmsvc.exe는 잘 알려져 있다 시피 많은 사이트에서 사용되고 있는 키보드 보안 프로그램이다. 개인 정보를 취급하는 사이트(인터넷뱅킹, 카드, 증권, 결제)에서 키보드 해킹을 방지하기 위한 보안 프로그램인데... 이것이 계속 상주하면서 CPU 리소스를 차지하고 있는 것이다. CPU 점유율을 30% 이상 꼬박 차지하기 때문에 다른 작업을 한 두개만 하더라도 금새 80~90%를 찍을 수치이다(그러니 느리지). Intel 센트리노 리프레시 공정의 Dual Core 2.0GHz의 코어의 메모리라면 아직까진 노트북 치곤 상당히 빠른 편에 속하지만, 이보다 사양이 낮은 시스템들은 문제가 더욱 심각하게 느껴질 수 밖에 없다.

Array

nProtect는 설치가 되면 서비스로 등록되어 매번 부팅 때 마다 자동으로 실행되면서 이런 문제를 계속 일으킨다.

또 다른 문제는 이 프로그램이 그 사이트의 이용을 끝내더라도 계속 남아있다는 사실이다. 타경쟁사의 제품들은 시스템을 재부팅 하면 다시 로드되지 않지만, INCA의 경우는 아예 서비스로 등록해서 시스템에 상주한다. 이걸 죽이려면 프로그램 추가/제거(Windows Vista에서는 프로그램 및 기능)에서 반드시 Uninstall 해야만 한다.

Array Array

npkcmsvc.exe를 Process Kill 하기 전(좌측)과 후(우측)

결 국 프로세스를 강제 삭제 하는 방법도 임시 방편일 수 밖에 없고, 은행과 같은 사이트를 이용하면 이 프로그램을 제어판에 들어가서 삭제 해주는 과정을 매번 반복해야 한다. CPU 점유율 문제가 의도하지 않은 문제라고 한다면, 매번 서비스로 프로그램을 동작하는 것은 의도된 설계라고 볼 수 있다. 보안 프로그램이라고 하더라도 시스템이 이런 심각한 문제를 일으키는 것을 매번 시스템 부팅 때 마다 상주시켜두는 것은 상식적으로 이해할 수 없다.

벤더에서는 이 문제를 신속히 파악하고 문제를 해결 해 주었으면 하는 바람이다. 이 문제가 알려진 것이 어제 오늘의 문제는 아니지 않는가.

* 특정 프로그램의 불만과 문제점을 말했지만, 손해를 끼치기 위함은 아님을 전제합니다. 상당수의 유저들이 이로인해 많은 피해를 입고 있는 상태가 오랜 기간 방치되고 있고, 이런 정보를

Technorati 태그: nProtect,npkcmsvc,nProtect 키보드 보안 프로그램

접하지 못하는 유저들은 엉뚱한 문제로 생각하고 지금도 문제 해결을 위해 많은 비용을 지출하고 있습니다.

신고

'Application > Debug' 카테고리의 다른 글

해킹 툴  (1) 2008.12.08
정상파일 잡는 돌팔이 백신 사례  (0) 2008.04.06
nPotect 유감: nProtect 키보드 보안 프로그램의 CPU 리소스 점유, 시스템 상주 문제  (0) 2008.04.01
에디터 제작  (0) 2008.02.17
Game Hack 2.0  (0) 2008.02.17
Cheat O'Matic  (0) 2008.02.17

PE_PARITE.A (Trend) W32.Pinfi (Symantec) W32/Parite-B (Sophos) Win32.Pinfi.A (CA) W32/Parite.B (F-Prot) W32/Parite.B (Panda) Win32.Parite.b (AVP)

Type: Win32 polymorphic fileinfector virus
Affects: Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP

Upon infection the virus adds a new section (this section is randomly named with 3 letters followed by the ASC-II character 07) to the host file, which contains the main viral code in encrypted form. This file is later dropped as a randomly named temp-file into the TEMP folder using windows API function to retrieve this path.

The temp-file (around 172Kb in size) is injected into Windows Explorer. This means that if Explorer runs, the virus stays active in memory.

The virus takes the Original Entry Point (OEP) from the infected file out of the Fileheader, encrypts the old Entry Point with a randomly generated 32bit value, and stores this calculated entrypoint value in the encrypted last section of the file, where the virus writes itself.

It needs the original entry point to execute an infected file after the viral code has been executed - otherwise infected programs would not be able to run after the virus runs.

Note: In the following text, %windir% denotes Windows directory (e.g. C:WINDOWS) and %system% denotes Windows System directory (e.g. C:WINDOWSSYSTEM32) as they differ on various versions of Microsoft Windows.

The virus creates the following Registry key:

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerPINF

Parite uses 2 different, randomly generated, 32bit values, at 2 random addresses in the original host file, and it overwrites these addresses if the file does not run.
If the infected file is active, the virus restores this data out of the encrypted section into the program code. This is a special mechanism to make the cleaning of infected files more difficult.
The virus enumerates and scans all network shares and tries to infect all Windows32 executables and screensaver files.

Other Details

The polymorphic Dropper is written using TASM, and the virus part itself is written with Borland C++ and packed with UPX, a executable file compressor.

 

 

V3로 치료되지 않는다(고 한다. 본인은 V3를 사용하지 않고 NOD32를 사용한다). 2008년 2월 14일. 그러나 그 이후는 잘 모르겠다.

Kaspersky와 NOD32는 확실히 잡아내는것 같다.

신고

'Application > Debug' 카테고리의 다른 글

Hex 방식의 에디트  (0) 2008.02.17
Text 방식의 에디트  (0) 2008.02.17
W32/Parite.B  (0) 2008.02.15
Goodcode(?) 정보  (0) 2007.11.10
Good Code(?) 정보.  (0) 2007.08.28
SearchFree라는 프로그램은..  (0) 2007.07.16
□ 개요

o 국내외 1,000 여개 홈페이지를 해킹하여 홈페이지 방문 PC를 감염시키는 사례가
확인되어 개인 사용자 및 웹서버 관리자의 주의가 필요함

□ 설명

o MS 보안취약점인 MS06-014에 대한 보안패치를 적용하지 않은 인터넷 사용자가
악성코드 경유사이트로 이용된 1,000여개 홈페이지를 방문할 경우 자동으로
트로이목마 프로그램이 설치됨

o 해당 트로이목마는 국내 온라인게임인 한게임과 메이플스토리의 접속 ID 및 패스워드를
해외 공격자에게 유출시킴

□ 예방책

o 개인 PC 사용자 예방책
- 해당 취약점(MS06-014)에 대한 마이크로소프트사의 보안패치 적용
(http://www.microsoft.com/technet/security/bulletin/MS06-014.mspx)

- 보호나라의 PC 자동 보안 업데이트 프로그램 설치
(http://download.pcsmile.co.kr/pcsmile/PCSmileInstaller.exe)

- 최신 바이러스 백신을 이용한 주기적인 점검

o 웹서버 보안 관리 대책
- 안전한 웹 프로그램 개발
* 웹 어플리케이션 보안 템플릿 :
http://www.krcert.or.kr/cyberSecureManual/webapp.jsp
* 홈페이지 개발보안 가이드 :
http://www.krcert.or.kr/cyberSecureManual/hpdev.jsp

- 공개 웹 방화벽을 이용한 웹 보안 강화
* 공개 웹 방화벽 다운로드 :
http://www.krcert.or.kr/cyberSecureManual/pre_firewall.jsp

- 웹 취약점 점검
* 원격 점검 서비스 신청 :
http://webcheck.krcert.or.kr/index.html

- ARP Spoofing 예방 및 탐지
* 게이트웨이에서 동적 ARP Table 대신 정적 ARP Table 사용
* arpwatch(http://ee.lbl.gov) 등 도구를 이용한 ARP cache 모니터링

- 웹 해킹 사고 발생시 분석 절차
* 침해사고 분석절차 가이드 :
http://www.krcert.or.kr/docDown.jsp?dn=10


□ 개인 PC 감염 시 수동 치료 방법
※ 2007년 2월 7일 현재 대부분의 바이러스 백신에서 해당 악성코드의 탐지 및 치료가
가능하며, 바이러스 백신이 없을 경우 아래의 치료방법 사용을 권장함

▷ 감염 시 치료 절차 요약
① 안전모드로 부팅 → ② 악성코드 alg.exe 삭제 →
③ 악성코드에 의하여 손상된 Winsock 복구 →
④ 악성코드 okviewer4.dll 삭제 → 재 부팅


▷ 상세 치료 절차

① 안전모드로 부팅
윈도우를 다시 시작하여 안전 모드로 부팅한다.(부팅시 F8을 누른 후 안전모드 선택)

② 악성코드 alg.exe 삭제
트로이목마가 윈도우 폴더(Windows NT/2000의 경우 c:winnt, Windows XP의 경우
c:windows)에 생성한 alg.exe를 삭제한 후 재부팅 한다.

※ 주의 : 정상적인 alg.exe는 시스템 폴더(Windows NT/2000의 경우 c:winntsystem32,
Windows XP의 경우 c:windowssystem32)에 있으며 이 파일을 삭제해서는 않됨

③ 악성코드에 의하여 손상된 Winsock 복구(MS社 권장 Winsock 복구방법)

※ 주의 : Winsock 복구 후, 바이러스 백신의 인터넷 감시기능, 개인방화벽 또는
프록시 클라이언트 등 인터넷에 액세스하거나 인터넷을 모니터링하는 프로그램들이
올바르게 작동하지 않을 수 있으며, 이러한 문제 발생 시에는 해당 프로그램을
다시 설치하여 기능을 복원하여야 함

▶ 윈도우 XP SP2 일 경우의 Winsock 복구방법
[Step1] 시작 → 실행 → cmd.exe 를 입력 후 확인

[Step2] netsh winsock reset 명령 실행

[Step3] 재 부팅

▶ 윈도우 XP SP1 일 경우의 Winsock 복구방법

[Step1] 시작 → 실행 → regedit 를 입력 후 확인

레지스트리 편집기에서 아래 경로의 키를 찾아 마우스 오른쪽 버튼을 눌러 삭제
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWinsock
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWinsock2


[Step2] TCP/IP 설치
시작 → 제어판 → 네트워크 및 인터넷 연결 → 네트워크 연결
→ 로컬영역 연결(마우스 오른쪽 버튼 클릭하여 속성 선택)
→ 설치 클릭 → 프로토콜 선택 후 추가 → 디스크 있음
→ c:Windowsinf 를 입력한 다음 확인 을 클릭

[Step3] 인터넷 프로토콜(TCP/IP) 선택 후 확인 클릭

[Step4] 재 부팅

▶ 윈도우 2000 일 경우의 Winsock 복구방법

[Step1] 인터넷 프로토콜(TCP/IP) 제거
시작 → 설정 → 제어판 → 네트워크 및 전화접속 → 로컬영역 연결(마우스 오른쪽
버튼 클릭하여 등록정보 선택) → 인터넷프로토콜 (TCP/IP) 선택한 후
제거 메뉴 클릭

[Step2] 재 부팅

[Step3] 인터넷 프로토콜(TCP/IP) 재 설치
시작 → 설정 → 제어판 → 네트워크 및 전화접속 → 로컬영역 연결(마우스 오른쪽
버튼 클릭하여 등록정보 선택) → 설치 클릭 → 프로토콜 선택 후 추가
→ 인터넷 프로토콜(TCP/IP) 선택 후 확인

④ 악성코드 okviewer4.dll 삭제
[Step1] 악성코드 okviewer.dll 삭제
윈도우 시스템 폴더(Windows NT/2000의 경우 c:winntsystem32,
Windows XP의 경우 c:windowssystem32)에 생성된 okviewer4.dll를 삭제

[Step2] 재 부팅
신고

'Application > Debug' 카테고리의 다른 글

Text 방식의 에디트  (0) 2008.02.17
W32/Parite.B  (0) 2008.02.15
Goodcode(?) 정보  (0) 2007.11.10
Good Code(?) 정보.  (0) 2007.08.28
SearchFree라는 프로그램은..  (0) 2007.07.16
[해킹] 테트리스 블럭 조작 기법  (0) 2007.07.11
컴이 부쩍 느려졌다 싶어 프로세스를 확인해 보니까 요런게 있더군요.

C:program FilesCommon FilesGRETECHEnginev12gretech12.exe 194560byte 190kb
C:program FilesCommon FilesMacromedianvdiavb.exe 194560byte 190kb
C:program FilesCommon FilesInstallShieldEngine2iexplore.exe 194560byte 190kb
C:program FilesDirectXbinv12directx12.exe 194560byte 190kb

파일 크기가 완전히 같고, 여기저기 숨겨놓은 것을 보아 바이러스나 악성코드로 추정됩니다.
또한 msconfig의 서비스 란에 enginev12, lsass_b라는 정체불명의 서비스를 등록합니다.

이 파일들은 삭제해도 부팅시마다 계속 생성됩니다.
이상한 점은

C:Program Filesmicrosoft frontpageversion2.0binlsass.exe 171008byte 167kb

요런 파일이 존재하고 있더란 겁니다. 저는 frontpage를 깐적이 없습니다. -- ;
안전모드(명령 프롬프트)로 부팅해서 del 명령으로 지워주면 그 다음 부팅부터는 위 파일들이 생성되지 않았습니다 ' '


이 파일들에 대해서는 아무것도 못찾았습니다. 무슨 일을 하는 건지, 어느 경로로 침입한건지도 모르겠고.. 근데 뭔가 찜찜해서 말이죠 -_-;

신뢰할만한 자료가 나오거나 혹은 단순히 제 착각이었거나 하는게 밝혀지면 이 포스팅은 방법하도록 하겠습니다

출처 : http://com0021.oranc.co.kr/tt/entry/enginev12-%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4?(구글 검색)
신고

'Application > Debug' 카테고리의 다른 글

W32/Parite.B  (0) 2008.02.15
Goodcode(?) 정보  (0) 2007.11.10
Good Code(?) 정보.  (0) 2007.08.28
SearchFree라는 프로그램은..  (0) 2007.07.16
[해킹] 테트리스 블럭 조작 기법  (0) 2007.07.11
악성코드 만들기.. -ㅅ-;;  (0) 2007.07.07

+ Recent posts