태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2011.01.26 20:11


1. 바이로봇 신제품 출시와 맞물려..

2011년 01월 25일 오늘은 2003년 국내 인터넷망을 마비시켰던 1.25 인터넷 대란이 발생한지 8년째가 되는 날입니다. 당시에 국내 보안업체들은 인터넷 대란 유발의 주범인 슬래머 웜 파일 분석에 많은 고생을 했었지요. 하우리 역시 중요한 역할을 수행했던 것으로 기억됩니다.

그렇게 8년이 지난 지금 하우리에서 "바이로봇 인터넷 시큐리티 2011(ViRobot Internet Security 2011)" 이라는 이름의 신제품을 공개했네요! 정확히는 01월 24일 정식으로 출시를 했습니다. 

참혹했던 1.25 국가적 재앙을 상기하며, 악성파일이 일으킬 수 있는 아픈 현실을 다시 한번 회상하며, 이러한 사건 사고가 재발되지 않도록 바이로봇과 같은 Anti-Virus 제품의 필요성을 다시금 느낄 수 있었으면 좋겠습니다.


더불어 하우리에서는 1월 24일 신라호텔에서 바이로봇 신제품 발표회를 통해서 중앙관리솔루션인 바이로봇 매니지먼트 시스템 4.0, 서버 방역솔루션인 바이로봇 서버 프로텍션 2011 등 총 3종의 신제품 출시를 함께 발표했습니다.

공식 출시된 바이로봇 신제품 어떤 모습일까요?


VRIS 2011 은 하우리가 12년간의 Anti-Virus 경험 노하우를 기반으로 새롭게 개발한 New S3(Smart, Small, Speed) Engine 을 탑재한 것으로 특장점 소개를 하고 있습니다.
 
특히, Intelligent Scan 기술을 적용하여 경쟁사 대비 가장 빠른 검사 속도를 제공한다고 밝히고 있네요. 더불어 향상된 Heuristic Engine 기술로 악성 의심 파일을 사전에 탐지하고, 특허 출원중인 Stealth Finder(Generic Anti-Rootkit) 기술을 통해서 은폐형 악성 파일에 대한 효과적인 대응이 가능하다고 소개하고 있습니다.

http://www.hauri.co.kr/NewViRobot/vris/event.html


2. 바이러스를 잡는 로보트? 바이로봇

이번 바이로봇 신제품은 하우리의 홈페이지를 통해서 공개용 체험판을 무료로 다운로드하여 사용해 볼 수 있습니다.

      http://www.hauri.co.kr/customer/download/trial_vris.html?show_div=4

    다운로드 파일명 : VRIS2011_Trial_R1_20110124.exe


설치본(Setup Launcher Unicode)은 약 203MB(212,938,736 바이트)의 크기를 가지고 있으며, 파일버전(2011.1.24.0)은 제품 공개일인 날짜 방식으로 표기를 하고 있습니다.

3. VRIS2011 설치 과정 리뷰

VRIS2011_Trial_R1_20110124.exe 파일을 실행하면 다음과 같이 설치 화면이 보여집니다.


그런데...헉!!

Microsoft Virtual PC 2007 가상의 한글 윈도우XP SP3 버전에서 설치 중이었는데, 다음과 같이 임시경로에 InstallShield 마법사가 MSI 압축을 풀어주는 중 오류가 발생했습니다.


다시 [확인] 버튼을 누르고, 동일한 문제가 또 발생하는지 재확인 해보기 위해서 설치 재시도를 하였습니다.

휴~~!! 이번엔 오류가 없네요.^_^*

다시 설치본 파일을 실행했더니 압축 푸는 과정이 문제없이 진행되었고, 아래 화면과 같이 정상적으로 설치가 이루어졌습니다. 변경한 설정은 전혀 없는 상태에서 바로 재설치를 시도했습니다. 이에 정확한 원인을 파악하기는 힘들지만 아마도 설치본 압축 푸는 과정상에 예기치 못한 장애가 있었나 봅니다.


압축이 정상적으로 해제되고, Windows Installer 기능의 설치가 별 무리없이 진행되었습니다.


자! 이제 본격적으로 설치를 시작해 보도록 하지요. 우선 초기 설치 화면에서 프로그램 저작권법에 대한 주의문구를 볼 수 있듯이, 우리나라는 아직도 소프트웨어 불법 복제율이 매우 높은 편입니다. 정품을 구매하여, 보안 소프트웨어 시장에 활기를 주입할 수 있었으면 하는 바램입니다.

다음(N) 버튼을 클릭하면 사용권 계약서 증서와 동의 설정을 완료한 다음에 설치를 계속하실 수 있습니다.


다음 화면에서는 사용자 정보를 입력할 수 있는 구성을 볼 수 있으며, 사용자 이름과 조직 등을 직접 입력할 수 있습니다.


사용자의 개인적인 정보를 입력한 후에 계속 설치를 진행하면 ViRobot Internet Security 2011 제품을 어느 경로에 설치할 것인지 보여주는 화면이 나옵니다. 기본 초기 설정 경로는 C:\Program Files\HAURI\ 입니다.


설치 대상 폴더가 지정되고, 다음 버튼을 클릭하면 구성요소가 다음과 같이 설치되기 시작합니다. 설치 과정 중에는 시작 옵션이라는 작은 창이 나오는 것이 이례적이네요. 서비스 시작 옵션 선택 메뉴에는 방화벽과 실시간 검사를 선택할 수 있도록 해줍니다.


시작 옵션을 선택하고 확인 버튼을 누르면, 잠시 후에 실시간 검사가 활성화 되었다는 내용이 시스템 트레이 오른쪽 하부에 안내 창이 잠깐 올라왔다가 내려갑니다. 그리고 InstallShield 완료 화면을 볼 수 있고, 바이러스 검사 시작 기능을 바로 수행할 수 있습니다. 바탕화면에 생성된 바로가기 아이콘은 예전 푸른색에서 붉은색의 V 자로 변화된 것을 볼 수 있습니다.



상기와 같은 화면이 나와 있는 상태에서 아직 마침 버튼을 누르지 않았는데, 갑자기 실시간 검사 화면이 나타나더니 제가 사용하는 분석 프로그램을 가뿐히 삭제해 주시네요. 위협요소명이라고 표기되어 있는 악성파일 진단명을 보니 Packed.Win32.UPack 이네요.

네 맞습니다. UPack 으로 실행압축되어 있는 분석도구 인데, 압축된 형태 자체를 진단해서 삭제한 것입니다. 보통 UPack 으로 실행압축된 형태는 대다수가 악성파일이지만 정상적인 프로그램도 존재하기 때문에 좀더 신중한 판단과 정책이 필요한 부분이었는데, 사용자에게 삭제 여부를 묻지 않고 바로 삭제해서 다소 아쉬운 부분입니다.


악성 파일 분석용 프로그램 1개가 오진으로 삭제되었지만, Packed 형태의 파일 (의심)진단 기능을 기본적으로 탑재하는 형식은 여러 Anti-Virus Vendor 에서 공통적으로 사용 중이기도 합니다. 개인적으로는 초기 실시간 검사 기능에서 악성파일 탐지시 즉시 삭제보다는 사용자에게 삭제 동의 여부를 묻도록 해주면 어떨까 싶기도 합니다.

그리고 설치 후에 패턴 버전이 아직 2010-12-29.00 으로 표기되는데, 가장 먼저 패턴/엔진 업데이트를 진행할 수 있도록 사용자에게 유도해 주면 좋을 것 같다는 생각이 듭니다. 현재 제품 설치후 재부팅 없이 업데이트 버튼을 눌러도 업데이트가 진행되지는 않습니다. 체험판이라서 그런건가?? 이건 좀더 확인해 봐야 겠네요!!

메인화면의 [업데이트] 버튼으로는 아무런 동작을 안하더니 트레이 아이콘 바이로봇의 오른쪽 버튼 메뉴로 [업데이트]를 선택하니 업데이트 시도 창이 나타나네요^^;;; 이건 약간 버그가 있는 듯!


[2011년 01월 25일 추가 정보]

새로 설치해서 테스트해 본 결과 메인 화면에서 [업데이트]버튼 클릭을 통한 업데이트가 정상적으로 진행되었습니다.


최신 업데이트 파일 다운로드 현황 (일부 IP 주소 생략 처리)

http://211.xx.xx.34//virobot2011//ENGINE/VRENGINE/egn000001.ucf - 바이로봇 엔진
http://211.xx.xx.34//virobot2011//ENGINE/VRPATTERN/egn000093.ucf - 바이로봇 패턴
http://211.xx.xx.34//virobot2011//BITENGINE/PLUGINS/bit000010.ucf - 비트디펜더 엔진/패턴
이후 생략..

업데이트 서버의 보안설정 등을 확인해 보고자, 메인 주소로 접속을 시도해 봤는데, 다음과 같이 나오네요.

http://211.xx.xx.34/ 메인 접속 퍼미션을 변경해 두도록 하면 좋을 것 같습니다.



[2011년 01월 26일 추가 정보]

하우리에서 해당 도메인에 대한 접속 권한 퍼미션을 변경하여, 현재는 다음과 같이 액세스가 불가능하도록 보안이 강화되었습니다. IP주소와 도메인 모두 접속 차단으로 변경이 완료된 상태입니다.신속한 수정이 되었다는 점에서 제 점수는요? 100점.


다시 본론으로 돌아와서..

설치 완료 화면에서 "□ 바이러스 검사 시작" 부분에 V 체크가 된 상태에서 변경없이 실시간 검사 종료를 했더니 아래와 같이 빠른 검사가 진행되었습니다.


빠른 검사 화면에서 "자세히 보기"라는 부분을 클릭하면 실시간 검사 화면과 동일하게 구성된 UI 를 볼 수 있습니다. 실시간 검사 화면과 빠른 검사 화면은 동일한 화면을 사용한 것 같아 보입니다. 동일한 인터페이스를 사용해서 리소스 절약 효과가 있을 수 있으며, 사용자 입장에서 통일된 느낌을 줄 수 있습니다. 다만 사용자 입장에 따라서 실시간 검사 화면인지 빠른 검사 화면인지 혼동하거나 디자인적인 측면에서 다양한 화면을 볼 수 없는 아쉬움이 있네요.

4. VRIS2011 실행 화면 들춰보기!

설치를 끝내고, 바탕화면에 생성된 바로가기 버튼을 실행하면 아래와 같은 심플한 디자인으로 바뀐 ViRobot Internet Security 2011 제품을 만날 수 있습니다.

 
전체적으로 붉은톤으로 구성되어 있는데, 이것을 보니 예전에 하우리 본사가 유한양행 빌딩에 있을 때에 붉은색의 간판을 사용했던 기억이 나는군요! 그때 근무하셨던 직원분들과 부대찌개 먹었던 기억이 아직도 생생하네요. 

메인 화면은 빠른 검사, 정밀 검사, 시스템 보호 등의 3가지 메뉴로 구성되어 있는데 복잡했던 Anti-Malware GUI 방식에서 심플한 방식으로 변경되는 최근의 디자인 트랜드가 반영된 것으로 보여지네요.

참고로 저는 바이로봇 데스크탑 5.0 버전(이전)과 데이터 메딕을 2002년도 부터 꾸준하게 사용해 오고 있는 상태입니다.


메인 화면 중에 바이로봇의 이름에 걸맞게(?) EASY ROBOT 이라는 기능이 눈에 띄는데요.

이것을 실행했더니 빠른 검사라는 작업이 진행되었습니다. 구성된 화면을 보니 "빠른검사 결과" 와 "시스템 최적화" 탭이 있는데 아마도 간편하게 체크할 수 있는 기능을 제공하기 위해서 만든 것인가 봅니다. 근데 한가지 문제점이 있습니다.

EasyRobot 이 중복적(쌍둥이 로봇?)으로 실행이 가능하도록 구성되어 있습니다. 아래 화면과 같이 다수의 실행이 가능한 상태인데 리소스 부담 및 오클릭으로 인한 비효율적 실행이 될 것 같아 보입니다. 중복 실행 방지를 추가하면 좋을 듯 싶네요. 추가로 정밀 검사 등도 중복적으로 검사 진행이 가능한 것으로 확인되었습니다. 전체적으로 중복 검사 등이 진행되지 않도록 개선되면 좋을 것 같습니다.


다음으로 빠른 검사를 해보았는데, 진행 중에 강제로 중단/종료하면 안내 화면에 사용자가 검사를 도중에 중단했습니다라는 문구가 아닌, 모든 검사를 수행 하였습니다라는 내용으로 보여주네요.

검사 도중에 X 버튼이나 검사 종료 버튼을 이용해 검사 자체를 중간에 정지시켰을 때 모든 검사 수행 내용의 문구 보다는 도중에 사용자에 의해서 중단되었다고 문구를 조금 변경하면 좀더 이해하는데 도움이 될 것 같아 보이네요.


환경설정 부분을 살펴보면 총 5가지 형태로 구성되어 있으며, 각각의 설정 탭마다 세부적인 기능 설정을 할 수 있습니다. 특히 눈에 띄는 기능은 네트워크 보호 => 인터넷 보호라는 부분인데 피싱 사이트 차단 및  웹 사이트 차단을 사용자가 설정할 수 있는 기능입니다. 방화벽 사용자의 경우는 규칙 리스트를 추가하실 수도 있습니다.


이어서 시스템 보호 부분을 살펴보았는데, 해당 기능에는 크게 ▶네트워크 보호, ▶시스템 최적화, ▶보안 취약점, ▶데이터 보호, ▶부가 기능 등의 탭으로 구성되어 있습니다.

네트워크 보호에는 인터넷 보호(피싱 사이트 차단, 웹 사이트 차단)와 방화벽 등의 실행/중지 등을 설정할 수 있네요.


시스템 최적화 부분에는 시스템 정리, 액티브엑스 관리, 시작프로그램 관리 등을 기능을 제공하며, 보안 취약점 부분에는 윈도우 취약점, 계정 취약점, 공유 폴더 관리 등의 기능을 제공합니다. 그리고 데이터 보호에는 파일 영구 삭제 기능이 있고, 부가 기능 부분에는 프로세스 관리, 시스템 설정, 컴퓨터 사용 제어 등을 통해서 보호자가 아이들의 컴퓨터 사용을 제한/관리할 수 있도록 만들어져 있네요.

고객센터 부분을 클릭하면 제품 정보와 엔진 버전 등의 내용을 볼 수 있습니다. 더불어 듀얼엔진/패턴으로 사용하는 비트디펜더 상표권 내용이 포함되어 있네요. 근데 SOFTWIN 회사명이 Bitdefender 로 변경되지 않았나 싶기도 합니다. 사실 우리도 바꿔야 하는데..ㅜㅜ 그리고 도움말 사용기한이 사용방법 을 알려드립니다. 라는 부분이 좀 이상하네요!


하우리는 오래전 부터 Major 급 Anti-Virus 엔진인 Bitdefender(루마니아) Dual 로 탑재하여 사용하고 있는데, 비트디펜더 패턴과 엔진 모듈들은 다음의 경로에 설치되고 있으며, 패턴은 비트디펜서 서버에서 실시간으로 적용하는 방식은 아니고, 하우리 서버에서 받아지도록 구성되어 있습니다.


또한, update.txt 파일을 통해서 비트디펜더 패턴 수량과 최종 업데이트 시간 등을 체크해 볼 수 있습니다.


사용 중인 비트디펜더의 엔진 버전은 11.0.0.42 입니다.


다음으로.. 메인 화면에서는 실시간 감시라는 용어를 사용하고 있는데 반해서 트레이 메뉴에는 실시간 검사 시작이라는 문구를 사용하고 있네요. 뭐 완전 다른 말은 아니지만 실시간 검사 시작을 실시간 감시 시작으로 통일해 주면 좀더 보기 좋지 않을까 싶네요.


5. 악성파일 진단/치료 테스트

자 그럼 이제 본격적으로 Anti-Virus 제품의 본연의 기능인 악성파일 진단/치료 테스트를 해볼까 합니다. 이러한 테스트는 다양한 환경에 따라서 결과나 현상이 다르게 나타날 수 있으므로, 참고용으로만 봐주시면 좋겠네요.

제일 먼저 실시간 감시 기능을 활성화 해두고 최신 패턴인 상황에서 지난 주 네이트온쪽지 사용자들을 대상으로 국내에 유포된 샘플을 넣어보겠습니다.

처음에는 JPG 확장명으로 넣었는데, 진단하지 않더군요! 그래서 EXE 확장명으로 변경하여 넣었더니 다음과 같이 정상적으로 진단/치료를 하였습니다. 실시간 감시는 실행파일 형태를 주로 감시하는 것을 알 수 있습니다. 이 부분은 환경설정의 실시간 검사에서 [주요 감염 대상 선택]을 통해서 사용자가 수정하실 수 있으므로, 큰 문제는 아닙니다.


실시간 감시 및 치료기능이 제대로 작동하는 것을 확인했으니, 감염된 상태에서도 제대로 치료하는지 확인해 보도록 하지요. 일단 실시간 감시 기능을 비활성화 하고, 다른 악성 파일을 감염시킨 상태에서 테스트해 보았습니다.


다수의 악성파일을 정상적으로 탐지해 냈으며, 애드웨어로 분류된 것은 치료 가능으로 표시되었고, 바이러스 형태로 구분된 것은 바로 치료(삭제)시도가 되었습니다. 애드웨어와 바이러스 형태 치료 정책이 다소 다르게 적용되고 있는 듯 싶습니다. 이 과정에서 치료하기 버튼을 누르면 치료 가능으로 표시되었던 애드웨어만 치료 대상이 되고 있으며, 별다른 변화 동작이 없어서 사용자 입장에서 체감할 수 있는 변화가 적어 보입니다. 치료가 완료된 항목은 컬러를 다르게 표시해 주거나 해주면 좀더 이해하는데 도움이 될 것 같기도 합니다. 또한, 일부  DLL 형태의 악성파일은 재부팅 후 삭제로 표기가 되어 재부팅을 진행했습니다.
 
재부팅 후 시스템 폴더(System32) 폴더에 들어가 봤습니다. 이런 LO0Cvkl10.dll 파일이 삭제되지 않고 그대로 남아 있네요. 이런 경우는 몇 가지 이유가 있을 수 있습니다.


빠른 검사에서 dll 악성 파일을 생성하는 Main Dropper 를 탐지/치료하지 못한 경우, 또 하나는 재부팅 후 삭제가 제대로 작동하지 않는 경우입니다. Main Dropper 를 탐지하지 못한 경우에는 지속적으로 재감염 현상이 반복될 수 있으며, 악성 파일 감염 특성으로 인한 부분이기 때문에 정밀 검사 등의 전체 검사를 수행하는 과정이 반드시 필요합니다.

실시간 감시나 빠른 검사에서 악성 파일이 발견된 경우에는 꼭 전체 드라이브 검사를 해보시길 권해드립니다. 이번 테스트에서는 시간 관계상 전체 검사 수행은 생략합니다. 다만, 관련 악성파일 샘플을 하우리 관계자분에게 전달하였고 정확한 원인 조사가 진행될 수 있도록 한 상태입니다.

참고로 해당 악성 dll 파일을 마우스 오른쪽 버튼 검사로 다시 재확인했는데도 재부팅 후 삭제 라는 상태를 보여줍니다.

6. ViRobot Internet Security 2011 사용 소감 및 총평

클라이언트 통합 보안 솔루션의 명성에 부합되도록 VRIS2011 은 다양한 악성 파일을 탐지하고 자동으로 치료하도록 설정되어 있습니다. 그 동안 바이로봇을 버전별로 사용해 본 경험을 비추어 보면 이번 제품에서는 사용자 편의성이 상대적으로 높아진 것으로 느껴집니다. 다만, 일부 업데이트 기능과 악성 파일 치료 실패 경험은 다소 아쉬운 부분으로 남으며, 정확한 원인 파악을 거쳐서 문제가 있는 부분이 검증되고 다음 버전에서 조속히 개선된다면 사용자들에게 좀더 발전된 보안 서비스를 제공해 줄 수 있을 것으로 기대됩니다.

[참고자료] 

① 타사 제품 대비 주요 기능 비교표


출처 : 하우리


② ViRobot Internet Security 2011 제품 사용 설명서 

사용 설명서는 제품을 설치하면 다음 경로에 PDF 파일로 생성이 됩니다.

C:\Program Files\HAURI\VRIS2011\Help


※ 잘못된 부분이나 수정이 필요한 부분이 있다고 생각되시면 댓글이나 shuny2k@naver.com 메일로 내용 남겨주시고요. 이 내용은 지속적으로 수정/보완될 수 있습니다.

Posted by viruslab
보안관련소식2010.09.01 13:15


Anti-Virus 제품의 오진문제는 어제 오늘일은 아니지만, 종종 유명 메이저 급 제품들의 오진 뉴스가 새로운 이슈로 부상하고 있고, 그에 따른 많은 의견들이 게시 되고 있기도 합니다. 이러한 오진 사고는 제품 사용자층이 많으면 많을 수록 좀더 다양하게 알려질 수 있겠지요.

출처 - http://blogsabo.ahnlab.com/15


많은 Anti-Virus 업체들과 연구원들은 이러한 오진(오탐지)을 최소화하기 위해서 부단히 노력하고 있고, 그에 필요한 다양한 기술연구에 매진하고 있습니다.

오진 위험성에 대해서 100% 완벽하게 자유롭거나 완전 무결성한 패턴을 만들기가 쉽지 않은 것은 발전되는 Anti-Virus 기술과도 전혀 무관하다고 볼 수도 없습니다.

이는 Anti-Virus Engine, Scanner, Pattern 기술 등이 다양하게 발전함과 동시에 사용자의 요구를 충족시키기 위한 기반기술이 필요해짐에 따라 더욱 더 증가하고 있다고 볼 수 있습니다.

왜냐하면 악성코드의 기하급수적인 변종 출현과 국지성 공격 등은 사전 방역시스템적인 Anti-Virus 기술적 변화를 꽤하고 있고, 그에 따라 다양한 변형/사전/일괄 탐지 기술(Heuristic, Generic, Proactive, Behave Detection 등)이 도입되거나 논의 되고 있기 때문이지요.

보고되지 않은 변종에 대한 대응능력이 증가하면 증가할 수록 비례적으로 오진의 확률도 증가하게 되며, 이는 한시적인 문제가 아닌 연속성을 내포하고 있습니다.

어떠한 악성코드와 100% 매칭되는 코드를 Pattern(Signature)화 하였을 경우 오진의 확률은 0%에 근접하게 되겠지만 변종에 대한 능력을 향상시키기 위해서는 99.9%~??.?% 매칭되는 악성코드까지도 탐지할 수 있도록 하는 기술적 접근을 시도하게 됩니다.

0.1%의 코드가 다른 변종을 탐지하기 위한 충족조건 과정 중에는 반대로 0.1%의 오차로 인한 오탐지가 발생할 수 있다는 결론이 가능 한것이지요.

SHA1 이나 MD5 등의 HASH 로 100% 매칭되는 무결성한 악성코드만 패턴화 한다면 그 만큼 오진의 확률은 감소하겠지만 변종에 대한 사전 방역 기능은 전무하거나 상대적으로 줄어든다고 볼 수 있을 것입니다.

오진을 0%화하기 위해서 100% 매칭되는 악성코드만 Database화 한다면 매우 Ideal한 Anti-Virus 제품이 될지도 모르지만, 현실적으로 이러한 방식은 단순 변형을 진단하지 못하는 상대적 딜레마에 놓이게 되며, 1개를 막고 2개를 놓치는 상대성 오류를 범하게 될지도 모르겠지요!

실행압축을 하거나, 다형성 악성코드이거나, 변종이 수시로 제작되어 유포되는 형태가 있다면 사용자와 Anti-Virus 제작사 모두 이를 업데이트하지 않고 탐지하고 무력화하기를 원하기 때문입니다.

따라서 이러한 악성코드의 시대적 트랜드와 이를 적절히 차단하기 위한 Anti-Virus 기술이 지속적으로 연구되고 발전되어야 하는 이유일 것이고요.

 우리 속담에 "빈대 잡으려다 초가 삼간 태운다"라는 말이 있지요.

만약 Anti-Virus 제품이 시스템의 중요 파일을 악성코드라고 탐지하고 삭제한다면? 어떠한 일이 발생할까요?

사용자 입장에서는 자신의 컴퓨터에 존재하는 악성코드를 제거하기 위한 목적으로 Anti-Virus 제품을 사용하지만 반대로 한번의 오진사고는 사용자의 중요한 Data를 손실시키거나 운영체제에 치명적인 오류를 유발시켜 오히려 사용자에게 피해를 주는 악성프로그램으로 전락하는 최악의 운명을 맞게 될지도 모릅니다.


이러한 사고를 사전에 예방하고 최소화하기 위한 일련의 과정은 보통 White List 나 Black List 라고 구분된 검증 시스템을 활용하여 시스템의 중요 파일을 진단하지 않도록 예외처리하거나 진단목록에 포함되지 않도록 하는 형태로 이용될 수 있으며, 일명 Clean Set 이라는 것도 이와 유사하다고 보면 됩니다.

특히, 최근에는 다량의 악성코드를 개별적으로 연구원이 정밀분석을 거치고 업데이트를 하지 못하는 환경적 구조가 있고, 자동화 업데이트 기능을 통한 자동 패턴 추출 프로그램 등이 활용되고 있습니다.

다른 제품의 진단 여부를 기준화하여 그 기준에 부합될 경우 악성코드 판단을 하는 것인데 그 과정에서 연쇄적인 오진사고 등이 발생하는 경우도 종종 발생하기도 합니다.

자체적인 검증, 품질 관리 시스템을 도입하고 꾸준히 관리하는 것이 이러한 사고를 미연에 예방할 수 있는 밑거름이 되지 않을까 싶습니다.

[취재수첩] 백신 오진과 기업경쟁력
http://www.ddaily.co.kr/news/news_view.php?uid=63121



 

Posted by viruslab
보안관련소식2010.07.28 13:11


국내에서 제작된 것으로 의심되는 악성코드가 잉카인터넷의 nProtect Anti-Virus 제품의 아이콘으로 교묘하게 위장하고 있는 것이 보고되었네요.

실제 정상적인 nProtect Anti-Virus/Spyware 제품의 아이콘 화면은 다음과 같습니다.


아래는 악성코드 파일들의 모습이며, 파일명은 안철수 연구소의 사이트가드 이름을 사용하고 있기도 합니다.

사용자 삽입 이미지



해당 악성코드의 진단 현황은 아래와 같습니다.

http://www.virustotal.com/analisis/80d928f4a1771e3b08bbcc676ae284c4cc96836b5f1b8d7302ad7288d83b5978-1280290059

Posted by viruslab
보안관련소식2010.07.06 18:19


국민백신 ? 무슨 제품일지 궁금하네요.

http://www.hankyung.com/news/app/newsview.php?aid=2010070685391&sid=0104&nid=004&ltype=1


지난해 7월7일 발생한 '7 · 7 DDoS(분산서비스거부공격) 대란' 이후 늘어나는 컴퓨터 보안사고에 대응하기 위해 정부 차원에서 '국민 백신'을 제작,배포한다.

방송통신위원회와 산하 한국인터넷진흥원(KISA)은 악성코드에 감염돼 DDoS, 개인 정보유출 등 사이버 공격에 동원되는 좀비 PC를 자동으로 치료하는 '감염 PC 사이버 치료체계'를 올해 말까지 구축키로 했다고 6일 밝혔다.

방통위는 두 곳 정도의 보안업체와 1년 단위로 계약을 맺고 개발을 의뢰하는 방식으로 이 사업을 운영하기로 했다. 계약을 맺은 보안업체는 악성코드 탐지 후 24시간 안에 긴급 대응 백신을 내놓게 된다. 업체 선정은 이달 말께 이뤄지며,11월부터 시범 운영에 들어간다.


사용자 삽입 이미지

Posted by viruslab
보안관련소식2010.06.15 10:41


KISA(한국인터넷진흥원)에서 운영하는 보호나라(http://www.boho.or.kr/)에 nProtect Anti Virus/Spyware 3.0 버전이 신규로 등록완료되었습니다.

다음 주 정도에 공식 발표될 예정이오나, 사정에 따라 변경될 수도 있습니다.



사용자 삽입 이미지

nProtect AVS3.0 제품은 기존 AVS2007 과 동일하게 악성코드 진단명에 따라 유/무료 치료로 분류하는 정책을 사용합니다.

물론 진단은 모두 무료입니다.

사용자 삽입 이미지


Posted by viruslab
보안관련소식2010.06.10 11:12


안랩 홈페이지의 보도자료
V3 Net 7.0 VB100 Award 획득
ahnlab.com

- 서버용 백신 V3 Net 7.0, VB 100 어워드 획득
- 기업 PC용 통합 백신 V3 IS 8.0, 5월 체크마크 인증 획득
- 국내 업체 유일, 순수 자체 기술로 지속적 인증 획득..제품 신뢰성 제고

사용자 삽입 이미지
 
V3가 국제 인증을 잇달아 획득하며 세계적 수준의 기술력을 과시하고 있다.  

글로벌 통합보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com]는 최근 윈도 서버용 백신인 V3 Net for Windows Server 7.0[이하 V3 Net]이 VB 100 어워드를, 기업 PC용 통합 백신인 V3 Internet Security 8.0[이하 V3 IS 8.0]이 체크마크를 획득했다고 밝혔다.  

VB 100 어워드의 경우 국제 안티바이러스 평가 공인 기관인 바이러스 블러틴[www.virusbtn.com]이 윈도우 서버 2008에서 테스트한 결과 ‘V3 Net’이 단 1개의 오진 없이 바이러스, 스파이웨어, 웜, 트로이목마 등 현재 활동 중인 각종 악성코드를 100% 진단해 받게 됐다. 안철수연구소는 지난 2003년 본격 해외 진출과 함께 처음 테스트에 참여한 이래 국내 보안 기업 중 가장 많은 13번의 국제 인증을 받게 됐다. 국내 보안 업체 중 유일하게 참여해 거둔 성과이며, 순수 자체 기술로 지속적인 인증 획득을 하고 있다는 점에서 의미가 크다.  

‘체크마크’는 영국의 바이러스 연구기관인 웨스트코스트랩[www.westcoastlabs.com]이 주관하는 보안 제품 인증 및 비교 테스트이다. 안철수연구소는 2003년부터 지속적으로 체크마크 인증을 받아 신뢰성을 검증 받았으며, 이번에도 V3 IS 8.0이 각종 악성코드를 100% 진단해 받게 됐다.

VB 100 어워드를 획득한 ‘V3 Net 7.0’은 각종 악성코드와 해킹으로부터 윈도 서버를 보호함으로써 기업의 네트워크 환경을 안전하게 유지해주는 윈도 서버용 통합보안 솔루션이다. 안티바이러스와 안티스파이웨어 기능은 물론, 국내외 동종 제품 중 유일하게 네트워크 보안 기능을 제공한다는 것이 특장점이다. 이번 수상으로 국내 윈도 서버용 보안 시장의 선두를 고수하는 한편 해외 수출도 활기를 띨 것으로 전망된다.  

‘체크마크’를 획득한 V3 IS 8.0은 동종 제품 중 가장 가볍고 빠른 최경량 통합보안 솔루션으로서 신개념의 악성코드 탐지 신기술을 탑재해 감염 억제 능력을 강화하고 안티바이러스와 안티스파이웨어 통합 엔진의 완전한 제품화 적용으로 사용자 편의성이 높다. 안철수연구소의 독창적인 차세대 신기술인 ‘V3뉴 프레임워크[V3 New Framework]’를 적용해 악성코드 검사 속도가 빠르고, 메모리 점유율이 적다. 또한 블랙리스트[Blacklist] 기능과 트루파인드[TrueFind] 기술이 탑재돼 악성코드 감염 억제력이 높다.

한편, V3는 2007년 세계 백신 업계 최초로 최고 등급인 EAL4[Evaluation Assurance Level 4] 등급으로 국제정보보호평가기준인 CC[Common Criteria; 국제공통평가기준]인증을 획득하는 등 국제적 보안 제품 평가 기관에서 글로벌 수준의 기술력과 성능을 공인받고 있다. 또한, V3는 우리나라를 대표하는 국내 최장수 소프트웨어이자 아시아 최고의 보안 소프트웨어를 넘어 해외 각국에 수출되어 세계적 소프트웨어로 성장해 나가고 있다.

Posted by viruslab
보안관련소식2009.10.08 12:13


http://www.ddaily.co.kr/news/news_view.php?uid=54888

두 업체의 분석자료를 비교해 보니 재밌네요^^

사용자 삽입 이미지
사용자 삽입 이미지


Posted by viruslab
TAG 백신
보안관련소식2009.09.04 10:39


http://news.naver.com/main/hotissue/read.nhn?mid=hot&sid1=105&gid=321625&cid=298842&iid=133555&oid=001&aid=0002845956&ptype=011

악성프로그램 확산 방지법을 제정한다고 하네요.

인터넷 게시판의 악성 프로그램 삭제 명령권을 도입

인터넷 침해사고 발생시 인터넷서비스사업자(ISP)로 하여금 악성프로그램 감염PC의 인터넷 접속서비스를 점검, 조치를 취하도록 하는 내용 포함

이용자 컴퓨터의 보안프로그램 설치 및 업데이트를 강화할 수 있는 방안

우수백신 프로그램의 선정 및 장려, ISP의 악성프로그램 정기점검

사용자 삽입 이미지






Posted by viruslab
감염대처법2009.08.27 17:12


이런 경험을 하시는 분이 많이 있으신 것 같아서 짧게 정리해 봅니다.

컴퓨터를 켜고, 게임을 열심히 하고 있는데 갑자기 오른쪽 아래 트레이쪽에서 악성코드 탐지 화면이 나옵니다.

내 컴퓨터에 악성코드가 있었네..치료해야 겠다.!!


편의상 수동검사 화면으로 대체합니다.

사용자 삽입 이미지

그래서 발견된 악성코드를 삭제합니다.

그런데 좀 있다가 컴퓨터를 재부팅 했는데 또 악성코드 탐지창이 나타납니다.

뭐야? 이거!!
치료도 못하고...



실제로 이런 문제를 호소하시는 컴퓨터 사용자분이 참 많이 계십니다.

실시간 감시란 실행되거나 접근할려는 파일이 악성코드인지 파악하는 방식이겠지요.

그러다보니 몰래 숨어 있는 악성코드들이 있을 경우에는 전체 디스크 검사를 통해서만 탐지가 가능한 경우가 있지요.

참고 : 폴더 옵션 변경을 통해서 숨김 속성의 악성코드를 볼 수 있습니다.


특히 재부팅 시에만 레지스트리 변조를 통해서 EXE 악성코드 숙주를 자동으로 실행시키고, DLL 악성코드를 로드시킨 후 스스로 종료되는 형태가 많이 있습니다.

물론 EXE 가 실시간 감시에서 진단될 수 있는 것이라면 재부팅 시점에서 탐지하여 숙주 EXE 를 제거할 수 있겠지만, 만약에 변종 EXE 라 이 녀석이 설치하고 실행하는 DLL 만 감지할 수 있는 경우라면 지속적으로 DLL 만 진단하고 치료하는 상황이 반복되겠지요.

더불어 악성코드보다 실시간 감시로드가 지연될 경우 진단되는 숙주 EXE 일지라도 실행 시점에서 차단을 실패할 수도 있겠지요.

자 그렇다면..실시간 감시만 믿고 있다간 계속 악성코드가 남아 있을 수 있다는 것을 알 수 있겠네요.

더군다나 USB 이동식 디스크나 네트워크를 통해서 실행되는 악성코드 숙주가 있을 경우엔 재진단(감염)으로 인한 불편은 겪어보신 분들은 아실겁니다.


참고 : USB 드라이브에 숨어 있는 악성코드 실행을 중지 시키기 : Shell Hardware Detection 서비스 사용 안함 (중지시킴)


USB 이동식 디스크에 진단안되는 EXE 숙주가 있고, 이 녀석이 설치하는 DLL 파일이 진단 가능한 형태라면요!

근본적인 해결을 하기 위해서는 진단못하는 숙주 EXE 를 찾아서 진단할 수 있도록 업데이트가 필요하겠고요.

그 다음으로는 몰래 숨어 있을지 모르는 숙주 EXE 등을 찾아내기 위해서 전체 로컬 디스크 검사가 필수이겠죠.

실시간 감시에서 지속적으로 악성코드 탐지 화면이 나타나서 불편하시다면..

꼭 전체 검사 하세요!


특히 사용중인 이동식 디스크도 모두 연결해 두신 상태에서 함께요~~~!!

그리고 검사 진행 중에는 인터넷이나 다른 프로그램 실행은 안하시는게 백신이 좀더 빨리 일할 수 있도록 도와주고, 웹을 통해서 또 다른 악성코드가 들어오는 것도 막을 수 있겠지요.





Posted by viruslab
보안관련소식2009.07.21 09:02


http://www.etnews.co.kr/news/detail.html?portal=001_00001&id=200907200191

예전부터 여러 번 거론되었던 얘기지요.

사용자 삽입 이미지

다만 이러한 제도를 역이용해서 가짜 백신이 더욱 더 난립하지 않을까 우려됩니다.

보안제품의 필요성은 개개인의 의식개선이 우선시 되어야 하고, 강제 의무화에 따른 문제점도 최소화될 수 있도록 많은 검토가 있으면 좋겠네요.



Posted by viruslab
보안관련소식2009.05.24 01:44


http://www.virustotal.com/ko/sobre.html

사용자 삽입 이미지

  • AhnLab (V3)
  • Antiy Labs (Antiy-AVL)
  • Aladdin (eSafe)
  • ALWIL (Avast! Antivirus)
  • Authentium (Command Antivirus)
  • AVG Technologies (AVG)
  • Avira (AntiVir)
  • Cat Computer Services (Quick Heal)
  • ClamAV (ClamAV)
  • Comodo (Comodo)
  • CA Inc. (Vet)
  • Doctor Web, Ltd. (DrWeb)
  • Emsi Software GmbH (a-squared)
  • Eset Software (ESET NOD32)
  • Fortinet (Fortinet)
  • FRISK Software (F-Prot)
  • F-Secure (F-Secure)
  • G DATA Software (GData)
  • Hacksoft (The Hacker)
  • Hauri (ViRobot)
  • Ikarus Software (Ikarus)
  • INCA Internet (nProtect)
  • K7 Computing (K7AntiVirus)
  • Kaspersky Lab (AVP)
  • McAfee (VirusScan)
  • Microsoft (Malware Protection)
  • Norman (Norman Antivirus)
  • Panda Security (Panda Platinum)
  • PC Tools (PCTools)
  • Prevx (Prevx1)
  • Rising Antivirus (Rising)
  • Secure Computing (SecureWeb)
  • BitDefender GmbH (BitDefender)
  • Sophos (SAV)
  • Sunbelt Software (Antivirus)
  • Symantec (Norton Antivirus)
  • VirusBlokAda (VBA32)
  • Trend Micro (TrendMicro)
  • VirusBuster (VirusBuster)

  • Posted by viruslab
    보안관련소식2008.01.29 11:02


    일반적으로 사용자들의 편의성을 도모하기 위해서 Anti-Virus 제품에는 기본(빠른)검사와 전체(정밀)검사 등으로 메뉴를 구분하는 경우가 있다.

    기본검사의 경우 실행중인 파일(프로세스)들과 악성코드들이 자주 설치되는 경로 등을 선택적으로 검사를 진행한다.

    보통 윈도우폴더(Windows)와 시스템폴더(System32), 디스크 상위폴더(C:\), 프로그램 폴더(Program Files), 임시폴더(Temp), 사용자 계정폴더(C:\Documents and Settings\사용자계정) 등을 선택적으로 지정해 둔다.

    해당 경로들에는 상대적으로 악성코드들이 많이 숨겨져 있어서 쉽고 빠르게 탐지가 가능한 장점이 있지만 지정되지 않은 다른 경로에 악성코드가 존재할 경우에는 완벽한 치료가 되지 않는 문제를 가지고 있다.

    그렇다면 기본검사와 전체검사를 효율적으로 사용하는 방법은 무엇일까?

    각각의 기능을 이해한다면 좀더 쉽고 빠르게 악성코드를 차단할 수 있을것이다.

    이를 위해서는 Anti-Virus 를 통한 악성코드 방역시스템 구축에 있어서 우선순위를 다음과 같이 지정한다.

    1. 실시간 감시 (자동업데이트)
    2. 기본검사
    3. 전체검사

    기본적으로 실시간 감시를 통해서 외부로 부터 유입되거나 실행되는 파일을 체크하며, 컴퓨터에 이상현상이 있을 경우에는 기본검사를 진행한다. 전체검사는 휴식시간이나 일주일에 한번 정도 시간을 투자하여 진행한다.

    여기서 놓치지 말아야 할 것이 있는데..

    기본검사 중에 악성코드가 발견되었을 경우이다.

    기본검사는 프로세스에 존재하는 악성코드(EXE, DLL) 등을 발견해 낼 수 있는데, 보통 이러한 경우에 기본검사 경로에 존재하지 않는 파일이 발견될 수 도 있다.

    악성코드가 EXE 와 DLL 을 설치했고, 부팅 시 EXE 에 의해서 DLL 이 실행되는 경우 EXE(숙주) 를 찾아 제거해야만 DLL 이 재생성되는 것을 막을 수 있기 때문인데, 보통 기본검사에서 Injection 되어 있던 DLL 만 감지하고 치료하는 경우가 있다.

    EXE 가 존재하는 곳이 기본검사 경로가 아닐 경우 Anti-Virus 는 완벽하게 악성코드를 제거했다고 볼 수 없는 상황이 나타나고, 사용자는 지속적인 발견 메시지 창을 목격할 수 있기 때문이다.

    결론적으로 기본검사에서 악성코드가 발견되면 전체검사를 통해서 시스템을 무결성 상태로 유지하는 노력이 필요한 것이다.
    Posted by viruslab