태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

2011.03.11 04:56

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

보안관련소식2010.09.01 13:15


Anti-Virus 제품의 오진문제는 어제 오늘일은 아니지만, 종종 유명 메이저 급 제품들의 오진 뉴스가 새로운 이슈로 부상하고 있고, 그에 따른 많은 의견들이 게시 되고 있기도 합니다. 이러한 오진 사고는 제품 사용자층이 많으면 많을 수록 좀더 다양하게 알려질 수 있겠지요.

출처 - http://blogsabo.ahnlab.com/15


많은 Anti-Virus 업체들과 연구원들은 이러한 오진(오탐지)을 최소화하기 위해서 부단히 노력하고 있고, 그에 필요한 다양한 기술연구에 매진하고 있습니다.

오진 위험성에 대해서 100% 완벽하게 자유롭거나 완전 무결성한 패턴을 만들기가 쉽지 않은 것은 발전되는 Anti-Virus 기술과도 전혀 무관하다고 볼 수도 없습니다.

이는 Anti-Virus Engine, Scanner, Pattern 기술 등이 다양하게 발전함과 동시에 사용자의 요구를 충족시키기 위한 기반기술이 필요해짐에 따라 더욱 더 증가하고 있다고 볼 수 있습니다.

왜냐하면 악성코드의 기하급수적인 변종 출현과 국지성 공격 등은 사전 방역시스템적인 Anti-Virus 기술적 변화를 꽤하고 있고, 그에 따라 다양한 변형/사전/일괄 탐지 기술(Heuristic, Generic, Proactive, Behave Detection 등)이 도입되거나 논의 되고 있기 때문이지요.

보고되지 않은 변종에 대한 대응능력이 증가하면 증가할 수록 비례적으로 오진의 확률도 증가하게 되며, 이는 한시적인 문제가 아닌 연속성을 내포하고 있습니다.

어떠한 악성코드와 100% 매칭되는 코드를 Pattern(Signature)화 하였을 경우 오진의 확률은 0%에 근접하게 되겠지만 변종에 대한 능력을 향상시키기 위해서는 99.9%~??.?% 매칭되는 악성코드까지도 탐지할 수 있도록 하는 기술적 접근을 시도하게 됩니다.

0.1%의 코드가 다른 변종을 탐지하기 위한 충족조건 과정 중에는 반대로 0.1%의 오차로 인한 오탐지가 발생할 수 있다는 결론이 가능 한것이지요.

SHA1 이나 MD5 등의 HASH 로 100% 매칭되는 무결성한 악성코드만 패턴화 한다면 그 만큼 오진의 확률은 감소하겠지만 변종에 대한 사전 방역 기능은 전무하거나 상대적으로 줄어든다고 볼 수 있을 것입니다.

오진을 0%화하기 위해서 100% 매칭되는 악성코드만 Database화 한다면 매우 Ideal한 Anti-Virus 제품이 될지도 모르지만, 현실적으로 이러한 방식은 단순 변형을 진단하지 못하는 상대적 딜레마에 놓이게 되며, 1개를 막고 2개를 놓치는 상대성 오류를 범하게 될지도 모르겠지요!

실행압축을 하거나, 다형성 악성코드이거나, 변종이 수시로 제작되어 유포되는 형태가 있다면 사용자와 Anti-Virus 제작사 모두 이를 업데이트하지 않고 탐지하고 무력화하기를 원하기 때문입니다.

따라서 이러한 악성코드의 시대적 트랜드와 이를 적절히 차단하기 위한 Anti-Virus 기술이 지속적으로 연구되고 발전되어야 하는 이유일 것이고요.

 우리 속담에 "빈대 잡으려다 초가 삼간 태운다"라는 말이 있지요.

만약 Anti-Virus 제품이 시스템의 중요 파일을 악성코드라고 탐지하고 삭제한다면? 어떠한 일이 발생할까요?

사용자 입장에서는 자신의 컴퓨터에 존재하는 악성코드를 제거하기 위한 목적으로 Anti-Virus 제품을 사용하지만 반대로 한번의 오진사고는 사용자의 중요한 Data를 손실시키거나 운영체제에 치명적인 오류를 유발시켜 오히려 사용자에게 피해를 주는 악성프로그램으로 전락하는 최악의 운명을 맞게 될지도 모릅니다.


이러한 사고를 사전에 예방하고 최소화하기 위한 일련의 과정은 보통 White List 나 Black List 라고 구분된 검증 시스템을 활용하여 시스템의 중요 파일을 진단하지 않도록 예외처리하거나 진단목록에 포함되지 않도록 하는 형태로 이용될 수 있으며, 일명 Clean Set 이라는 것도 이와 유사하다고 보면 됩니다.

특히, 최근에는 다량의 악성코드를 개별적으로 연구원이 정밀분석을 거치고 업데이트를 하지 못하는 환경적 구조가 있고, 자동화 업데이트 기능을 통한 자동 패턴 추출 프로그램 등이 활용되고 있습니다.

다른 제품의 진단 여부를 기준화하여 그 기준에 부합될 경우 악성코드 판단을 하는 것인데 그 과정에서 연쇄적인 오진사고 등이 발생하는 경우도 종종 발생하기도 합니다.

자체적인 검증, 품질 관리 시스템을 도입하고 꾸준히 관리하는 것이 이러한 사고를 미연에 예방할 수 있는 밑거름이 되지 않을까 싶습니다.

[취재수첩] 백신 오진과 기업경쟁력
http://www.ddaily.co.kr/news/news_view.php?uid=63121



 

Posted by viruslab
보안관련소식2008.02.15 09:20


http://vod.naver.com/movieMain.nhn

------------------------------------------------------------

<script language=javascript>
<!--
if (document.domain.match(/\.naver\.com$/))
document.write("<iframe src='http://lcs.naver.com/u{"+document.URL+"}' width=0 height=0 frameborder=0></iframe>");
else if (document.domain.match(/\.hangame\.com$/))
document.write("<iframe src='http://lcs.hangame.com/u{"+document.URL+"}' width=0 height=0 frameborder=0></iframe>");
//-->
</script>

------------------------------------------------------------

라는 부분이 있는 네이버 웹 페이지를 네이버 무료백신의 Kaspersky Lab 엔진에서 Virus.JS.Iframer.a 라는 이름으로 진단을 하고 있다.

자바스크립트 형식 자체가 실제 아이프레임을 사용하는 악성코드 패턴과 너무나 유사하다.

누구도 오진(False Positive)으로 부터 완벽하게 자유롭진 못하겠지만 Ideal 하게 최소화 하는 노력이 필요하겠다.

이런 경우 오진이긴 하지만 악성코드 패턴과 너무 유사하긴하다..

NHN 에 전달되었으니, 수정될 것으로 보인다.


Posted by viruslab
보안관련소식2007.12.21 14:00


2007년 12월 20일 Kaspersky 제품의 오진으로 윈도우 탐색기(Explorer.exe)가 삭제되는 사고가 발생했습니다.

실시간(자동치료)감시가 작동중인 경우 부팅할 때 정상파일이 제거되어 바탕화면에 아이콘이 나타나지 않는 현상이 발생하였으며, 국내외에서 다수의 피해가 보고되었습니다.

Kaspersky Lab 에서는 긴급 공지를 발표했습니다.

오진파일 => Explorer.exe : Worm.Win32.Huhk.c

---------------------------------------------------------------------------------------------------

False positive detection - system file explorer.exe 

Last night, on the 20th of December 2007, there was a false positive detection by Kaspersky Lab products on one of Windows system files: explorer.exe. Presently false positive has been corrected in anti-virus bases.

The following consequenses can happen:

  • Desktop is not visible
  • Start menu and system tray are absent

To solve the issue locally you need to do the following steps:

  • press on the keyboard simultaneously Ctrl, Shift and Esc 
  • in Task Manager select menu File 
  • click on New task (Run) 
  • click Browse 
  • locate the folder with installed product: 
    • Kaspersky Anti-Virus 7.0 - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0 
    • Kaspersky Internet Security 7.0 - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0 
    • Kaspersky Anti-Virus 6.0 - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 
    • Kaspersky Internet Security 6.0 - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0 
    • Kaspersky Anti-Virus 6.0 for Windows Workstations - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations 
    • Kaspersky Anti-Virus 6.0 for Windows Servers - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers
  • select file avp.exe

  • click button OK two times

  • repeat above described steps again to launch main program window 
  • after Kaspersky product window appears - update anti-virus databases 
  • in the main program window go to Reports and data files
  • in the right part of the screen select Backup 
  • select file C:\Windows\explorer.exe 
  • click on the button Restore
  • click YES 
  • as a target folder to which the file will be saved select folder C:\Windows 
  • click on button Save 
  • click on Close
    InformationOn the below picture as an example you can see file C:\Windows\explorer.com


  • minimize main program window 
  •  open up Task Manager again (press simultaneously Ctrl, Shift and Esc
  • in Task Manager go to menu FIle 
  • click on New Task (Run) 
  • click on Browse 
  • select folder C:\Windows
  • select file explorer.exe

  • click OK two times

If on your computer menu Start and Desktop are visible and working, you simply need to update anti-virus databases.

To correct the issue remotely on computer with Kaspersky Administration Kit 6.0 installed you need to do the following:

  • create/open policy for Network Agent
  • go to tab Settings
  • check the box Transfer information about objects: http://support.kaspersky.com/faq?qid=205057289#set
  • open in Console -> Storage -> Backup
  • restore file explorer.exe on computers with this problem
Posted by viruslab