태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2010.06.15 10:41


KISA(한국인터넷진흥원)에서 운영하는 보호나라(http://www.boho.or.kr/)에 nProtect Anti Virus/Spyware 3.0 버전이 신규로 등록완료되었습니다.

다음 주 정도에 공식 발표될 예정이오나, 사정에 따라 변경될 수도 있습니다.



사용자 삽입 이미지

nProtect AVS3.0 제품은 기존 AVS2007 과 동일하게 악성코드 진단명에 따라 유/무료 치료로 분류하는 정책을 사용합니다.

물론 진단은 모두 무료입니다.

사용자 삽입 이미지


Posted by viruslab
보안관련소식2009.09.10 16:43


http://www.mt.co.kr/view/mtview.php?type=1&no=2009090714453108459&outlink=1

PC그린도 서비스 개선 예정이라고 하네요.

사용자 삽입 이미지
사용자 삽입 이미지

Posted by viruslab
분석도구2009.08.28 08:40
감염대처법2009.05.25 09:21


비트디펜더(http://www.bitdefender.com) 엔진/패턴을 사용하는 제품 사용자들에 의해서 Trojan.IFrame.GZ 라는 바이러스가 갑자기 많이 나온다는 문의가 증가하고 있어 정리해 본다.

무료 백신 제품 등 간접적으로 비트디펜더 패턴 사용자들이 그 만큼 국내에 많이 있다는 얘기이기도 하겠다.

이 상황은 국내 하나포스 닷컴 도메인으로 운영되는 특정 자료실 사이트에 존재하는 악의적인 아이프레임을 진단하고 있기 때문이다.

사용자 삽입 이미지

해당 사이트에 접속하게 될 경우 다음의 스크립트가 연결된다.

http://qbic.hanafos.com/js/openwin.js

openwin.js 파일은 일부 Anti-Virus 제품 등에서 다음과 같이 진단된다.

BitDefender 7.2 2009.05.24 Trojan.IFrame.GZ

따라서 해당 웹 페이지를 접속할 때 마다 비트디펜더 제품/패턴이 사용되는 제품의 실시간 감시 기능이 활성화 되어 있을 경우 지속적으로 악성코드 진단 화면이 출력되게 된다.

그렇다면 해당 스크립트는 악성인가?

결론부터 말하자면, 악성은 맞지만 현 조건과 시점상에서 정상적으로 악의적인 기능이 수행되지는 못하는 형태이다. 따라서 악성코드(바이러스/트로이목마/웜 등)에 감염된 것은 아니다.

더불어 Trojan.IFrame.GZ 라는 형태는 진단명에도 포함되어 있지만 "(컴퓨터) 바이러스"라는 용어보다는 스크립트 형태의 "트로이목마"로 사용하는 것이 정확하다고 하겠다.

사용자에 따라 "(컴퓨터) 바이러스"를 일반적으로 악성코드의 총칭으로 사용하고 있긴 하지만 실질적인 용어 정의상 다르게 표현되고 있기 때문이다. 물론 업체 진단명 명명 정책에 따라 일부 상이한 경우도 존재한다.


이외에도 사용자에게 유해한 형태의 프로그램이 매우 다양하게 존재하는데, 이는 각 업체의 분류 정책에 따라 구분된다.

바이러스라는 총칭보다는 악성코드(프로그램)라는 통합적 용어로 사용하면 좀더 명확하다고 할 수 있으며, 구체적으로 바이러스인지, 트로이목마인지, 웜인지 등으로 세분화하여 구분하면 이해하는데 큰 도움이 될 수 있다.

openwin.js 파일에는 악의적인 사이트로 연결을 시도하는 아이프레임 코드가 존재한다.

그러나 관리자 등에 의해서 정상적으로 실행되지 못하도록 주석처리된 것으로 보여진다.

사용자 삽입 이미지

또한, 해당 아이프레임 사이트 역시 현재는 정상적으로 작동되지 않고 있다.

사용자 삽입 이미지

이는 결과적으로 오진은 아니지만, 악의적인 코드부분이 정상적으로 작동되지 않고 있기 때문에 미진단도 아니다.

물론 각 Anti-Virus 업체의 진단 범위 정책에 따라 가변적인 부분이다.

이러한 경우 다음과 같이 진행되면 어떨까 싶다.

해당 웹 페이지 관리자가 해당 코드를 신고접수 또는 직접 발견한 경우 단순 주석처리 대응이 아니라, 우선적으로 비정상적인 코드를 제거하고 서버의 외부 침입 흔적을 분석하며, 보안상 취약점이 발견 된 경우 근본적인 문제 해결을 위한 진행을 한다.

물론 자료 기록을 위한 용도로 변조된 스크립트는 별도로 보관하는 것도 중요한 부분이다.

다음으로 Anti-Virus 제품들은 주석처리된 아이프레임 코드를 좀더 정밀하게 진단(예외처리)할 수 있도록 한다면 임의로 변경되어 정상적으로 작동되지 않는 악의적인 아이프레임 코드를 지속적으로 진단하는 문제를 해소할 수도 있을 것으로 보여진다.


Posted by viruslab
보안관련소식2008.02.15 09:20


http://vod.naver.com/movieMain.nhn

------------------------------------------------------------

<script language=javascript>
<!--
if (document.domain.match(/\.naver\.com$/))
document.write("<iframe src='http://lcs.naver.com/u{"+document.URL+"}' width=0 height=0 frameborder=0></iframe>");
else if (document.domain.match(/\.hangame\.com$/))
document.write("<iframe src='http://lcs.hangame.com/u{"+document.URL+"}' width=0 height=0 frameborder=0></iframe>");
//-->
</script>

------------------------------------------------------------

라는 부분이 있는 네이버 웹 페이지를 네이버 무료백신의 Kaspersky Lab 엔진에서 Virus.JS.Iframer.a 라는 이름으로 진단을 하고 있다.

자바스크립트 형식 자체가 실제 아이프레임을 사용하는 악성코드 패턴과 너무나 유사하다.

누구도 오진(False Positive)으로 부터 완벽하게 자유롭진 못하겠지만 Ideal 하게 최소화 하는 노력이 필요하겠다.

이런 경우 오진이긴 하지만 악성코드 패턴과 너무 유사하긴하다..

NHN 에 전달되었으니, 수정될 것으로 보인다.


Posted by viruslab
보안관련소식2008.01.22 16:36


설치율이 엄청나게 올라갈 것 같다.

알약 따라잡기는 시간문제일 듯..

사용자 삽입 이미지

Posted by viruslab
보안관련소식2008.01.05 11:12


아이뉴스24 [무료 백신 '알약' 인기에 가짜 사이트 등장]
http://www.inews24.com/php/news_view.php?g_serial=305206&g_menu=020200

실제 알약 도메인 주인의 해명
http://www.sir.co.kr/bbs/board.php?bo_table=cm_free&wr_id=229282

서로간의 오해 없이 잘 해결되었으면 좋겠네요.

Posted by viruslab
보안관련소식2007.12.22 10:23


http://downloads1.kaspersky-labs.com/devbuilds/AVPTool/

최신 버전을 받아서 설치하면 된다.

삭제(Uninstall)를 원할 경우에는 설정 -> 옵션에서 Enable Self-defense (자기방어)기능을 해제하고 하면 된다.

Posted by viruslab
보안관련소식2007.11.09 10:45