태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2010.09.01 13:15


Anti-Virus 제품의 오진문제는 어제 오늘일은 아니지만, 종종 유명 메이저 급 제품들의 오진 뉴스가 새로운 이슈로 부상하고 있고, 그에 따른 많은 의견들이 게시 되고 있기도 합니다. 이러한 오진 사고는 제품 사용자층이 많으면 많을 수록 좀더 다양하게 알려질 수 있겠지요.

출처 - http://blogsabo.ahnlab.com/15


많은 Anti-Virus 업체들과 연구원들은 이러한 오진(오탐지)을 최소화하기 위해서 부단히 노력하고 있고, 그에 필요한 다양한 기술연구에 매진하고 있습니다.

오진 위험성에 대해서 100% 완벽하게 자유롭거나 완전 무결성한 패턴을 만들기가 쉽지 않은 것은 발전되는 Anti-Virus 기술과도 전혀 무관하다고 볼 수도 없습니다.

이는 Anti-Virus Engine, Scanner, Pattern 기술 등이 다양하게 발전함과 동시에 사용자의 요구를 충족시키기 위한 기반기술이 필요해짐에 따라 더욱 더 증가하고 있다고 볼 수 있습니다.

왜냐하면 악성코드의 기하급수적인 변종 출현과 국지성 공격 등은 사전 방역시스템적인 Anti-Virus 기술적 변화를 꽤하고 있고, 그에 따라 다양한 변형/사전/일괄 탐지 기술(Heuristic, Generic, Proactive, Behave Detection 등)이 도입되거나 논의 되고 있기 때문이지요.

보고되지 않은 변종에 대한 대응능력이 증가하면 증가할 수록 비례적으로 오진의 확률도 증가하게 되며, 이는 한시적인 문제가 아닌 연속성을 내포하고 있습니다.

어떠한 악성코드와 100% 매칭되는 코드를 Pattern(Signature)화 하였을 경우 오진의 확률은 0%에 근접하게 되겠지만 변종에 대한 능력을 향상시키기 위해서는 99.9%~??.?% 매칭되는 악성코드까지도 탐지할 수 있도록 하는 기술적 접근을 시도하게 됩니다.

0.1%의 코드가 다른 변종을 탐지하기 위한 충족조건 과정 중에는 반대로 0.1%의 오차로 인한 오탐지가 발생할 수 있다는 결론이 가능 한것이지요.

SHA1 이나 MD5 등의 HASH 로 100% 매칭되는 무결성한 악성코드만 패턴화 한다면 그 만큼 오진의 확률은 감소하겠지만 변종에 대한 사전 방역 기능은 전무하거나 상대적으로 줄어든다고 볼 수 있을 것입니다.

오진을 0%화하기 위해서 100% 매칭되는 악성코드만 Database화 한다면 매우 Ideal한 Anti-Virus 제품이 될지도 모르지만, 현실적으로 이러한 방식은 단순 변형을 진단하지 못하는 상대적 딜레마에 놓이게 되며, 1개를 막고 2개를 놓치는 상대성 오류를 범하게 될지도 모르겠지요!

실행압축을 하거나, 다형성 악성코드이거나, 변종이 수시로 제작되어 유포되는 형태가 있다면 사용자와 Anti-Virus 제작사 모두 이를 업데이트하지 않고 탐지하고 무력화하기를 원하기 때문입니다.

따라서 이러한 악성코드의 시대적 트랜드와 이를 적절히 차단하기 위한 Anti-Virus 기술이 지속적으로 연구되고 발전되어야 하는 이유일 것이고요.

 우리 속담에 "빈대 잡으려다 초가 삼간 태운다"라는 말이 있지요.

만약 Anti-Virus 제품이 시스템의 중요 파일을 악성코드라고 탐지하고 삭제한다면? 어떠한 일이 발생할까요?

사용자 입장에서는 자신의 컴퓨터에 존재하는 악성코드를 제거하기 위한 목적으로 Anti-Virus 제품을 사용하지만 반대로 한번의 오진사고는 사용자의 중요한 Data를 손실시키거나 운영체제에 치명적인 오류를 유발시켜 오히려 사용자에게 피해를 주는 악성프로그램으로 전락하는 최악의 운명을 맞게 될지도 모릅니다.


이러한 사고를 사전에 예방하고 최소화하기 위한 일련의 과정은 보통 White List 나 Black List 라고 구분된 검증 시스템을 활용하여 시스템의 중요 파일을 진단하지 않도록 예외처리하거나 진단목록에 포함되지 않도록 하는 형태로 이용될 수 있으며, 일명 Clean Set 이라는 것도 이와 유사하다고 보면 됩니다.

특히, 최근에는 다량의 악성코드를 개별적으로 연구원이 정밀분석을 거치고 업데이트를 하지 못하는 환경적 구조가 있고, 자동화 업데이트 기능을 통한 자동 패턴 추출 프로그램 등이 활용되고 있습니다.

다른 제품의 진단 여부를 기준화하여 그 기준에 부합될 경우 악성코드 판단을 하는 것인데 그 과정에서 연쇄적인 오진사고 등이 발생하는 경우도 종종 발생하기도 합니다.

자체적인 검증, 품질 관리 시스템을 도입하고 꾸준히 관리하는 것이 이러한 사고를 미연에 예방할 수 있는 밑거름이 되지 않을까 싶습니다.

[취재수첩] 백신 오진과 기업경쟁력
http://www.ddaily.co.kr/news/news_view.php?uid=63121



 

Posted by viruslab
신종악성코드정보2010.08.12 11:51


우선 아래 관련 내용을 참고하시면 좋겠습니다.

참고로 안드로이드에서 발견되고 있는 악성 어플들은 "바이러스"라는 용어 표현보다는 "스파이웨어", 또는 "트로이목마" 류로 구분하는 것이 적절해 보입니다.

다음은 관련 뉴스 클리핑입니다.

First SMS Trojan detected for smartphones running Android (Kaspersky Lab)

http://www.kaspersky.com/news?id=207576152

First SMS Trojan for Android is in the wild (The Register)
http://www.theregister.co.uk/2010/08/10/android_sms_trojan/

‘돈 가져가는’ 안드로이드폰용 트로이목마 첫 발견 (쿠키뉴스)

http://news.kukinews.com/article/view.asp?page=1&gCode=eco&arcid=0004001639&cp=nv

안드로이드 노린 트로이목마 공격, 현실로? (ZDNet Korea)
http://www.zdnet.co.kr/Contents/2010/08/11/zdnet20100811080217.htm

안드로이드폰 공격 바이러스 발견 (서울경제신문)
http://economy.hankooki.com/lpage/worldecono/201008/e2010081208335469760.htm

러서 안드로이드폰 공격 바이러스 발견... 보안 ‘비상’ (헤럴드경제)
http://biz.heraldm.com/common/Detail.jsp?newsMLId=20100812000012

스마트폰용 SMS 악성프로그램 발견 (디지털 타임스)
http://www.dt.co.kr/contents.html?article_no=2010081102010960746008

카스퍼스키랩, 안드로이드폰용 SMS 트로이목마 발견 (디지털 데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=66912

안드로이드 스마트폰 전용 SMS 트로이목마 발견! (보안뉴스)
http://www.boannews.com/media/view.asp?idx=22311&kind=0

최초의 안드로이드용 트로이목마 Anti-Virus 업체들 패턴 추가 중
http://viruslab.tistory.com/2037
http://viruslab.tistory.com/2033

블랙햇을 통해서 알려진 Wall Paper 앱들을 Test 로 진단한 화면입니다.


아래는 러시아에서 보고된 최초의 안드로이드용 SMS 트로이목마 샘플 진단한 화면입니다.




Posted by viruslab
보안관련소식2010.06.15 14:19


소셜네트워크 서비스 겨냥한 스팸 공격 증가세
- 5월 전체 메일 가운데 89.81%가 스팸 메일
- 사용자간 신뢰도가 높은 소셜네트워크 서비스를 악용한 스팸 공격 급증

symantec.com

사실 트위터, 페이스북 등을 통한 Spam Mail, 악성코드 유포 등이 어제 오늘 일은 아니죠!



사용자 삽입 이미지

시만텍(www.symantec.com)이 2010년 5월 한 달 동안 전세계 스팸 및 피싱 동향을 조사 분석한 ‘시만텍 월간 스팸 및 피싱 현황 보고서’ 6월호를 통해 소셜네트워크 서비스 (Social Network Service)를 노린 스팸 공격이 급증하고 있어 사용자들의 주의가 요구된다고 밝혔다.

현재 전세계적으로 4억 명의 사용자를 확보하고 있는 SNS는 기업과 기업, 사람과 사람이 사회화돼 서로 정보를 교환하고, 새로운 가치를 창조하면서 기존의 물리적인 시간과 공간, 관계의 경계를 허무는 메가 트렌드로 자리잡았다.

하지만 이러한 속성으로 인해 SNS는 사이버 범죄자들에게 강력한 공격 매개체로 인기를 끌고 있다. SNS를 통해 손쉽게 악성 코드나 악성 링크를 퍼뜨릴 수 있으며, 다양한 피싱 공격도 가능하다. 이는 SNS가 온라인 범죄활동에 가장 좋은 표적이 되는 사용자 수와 사용자간의 높은 신뢰도 등 두 가지 요건을 모두 충족하기 때문이다.

예를 들어, 스팸 공격자들이 SNS 웹사이트에서 발송하는 메시지와 유사한 스팸 메시지를 만들어 전송하게 되면 대부분의 사용자들은 별다른 의심없이 메시지 상의 URL 링크를 클릭해 공격자들이 만들어 놓은 악의적인 웹사이트를 방문하게 된다.

이 같은 방법으로 스팸 공격자들은 URL 평판에 기반한 필터링 방식을 우회할 수 있으며, 악용된 도메인에 위치한 HTML 파일을 스팸 컨텐츠를 전송하는 수단으로 이용할 수도 있다. 또한 친구, 지인 간의 친밀한 인간관계로 이어지는 SNS의 특성상 사용자들의 스팸 메시지에 대한 의심이 다소 느슨하다는 점 역시 스팸 증가의 주요 원인으로 분석된다.

시만텍이 파악한 SNS에 대한 스팸 공격자들의 공격 유형은 다음과 같다.

- 가짜 초대: SNS의 인지도를 이용, 가짜 초청장을 개발해 사용자들에게 메시지를 발송, 악의적인 스팸 웹사이트로 유도

- 계정 통합: 알림 메시지를 사칭해 사용자에게 계정 통합을 내세워 개인 정보 탈취

- 사진 관련 댓글: 합법적인 SNS 웹사이트의 사진 관련 댓글 알림창을 만들어 사용자에게 전송하고 메시지 상의 URL 링크를 클릭해 스팸 웹사이트로 이동하도록 유도

- 애플리케이션 정보: SNS 웹사이트에서 제공되는 인기게임 등의 정보를 알려준다고 위장

- 악성코드 유포: 악성코드를 퍼뜨리기 위한 다양한 스팸 메시지 등장. 일례로 SNS 툴바 다운로드 안내 메시지로 가장한 트로이목마 바이러스가 탐지되기도 함

- 개인 사생활보호: 개인 사생활보호를 위해 개인정보 관리 실태에 대한 조사가 필요하다고 속이며 개인정보 요구

- 가짜 설문조사: SNS 사용자 대상 설문조사로 위장한 메시지를 통해 사용자들에게 개인 정보 공유를 요청하거나 스팸 웹사이트로의 방문을 유도

이처럼 SNS 사용자를 겨냥한 스팸 피해를 예방하기 위해 시만텍은 이메일 정보를 요구하는 웹사이트는 먼저 신뢰할 만한 곳인지 체크해야 하며, 의심가는 이메일이나 인터넷 메신저 상의 링크는 직접 클릭하지 말 것을 당부했다. 또한 업데이트를 통해 운영체제를 항상 최신 상태로 유지하고, 개인정보나 금융관련 정보, 또는 비밀번호를 묻는 이메일에는 절대 응하지 말아야 한다고 조언했다. 

 

Posted by viruslab
신종악성코드정보2010.06.11 10:01


악성코드 이메일 내용 보기
메일로 뿌려지는 악성코드 지긋지긋하다.
viruslab.tistory.com

최근 일본에서 감염 사례가 목격된 바 있었던 형식의 악성코드 이메일이 6월 11일 오전 국내에서도 발견되었습니다.

제목과 내용 등에 사용된 문구는 조금씩 변경되어 변형 악성코드가 유포될 수 있습니다.

제목 :
Changelog 07.06.2010

내용 :
Dear Sirs,
as promised,
Diana

첨부 파일 :
Changelog_07.06.2010.zip



사용자 삽입 이미지

첨부되어 있는 Changelog_07.06.2010.zip 파일은 압축된 형태이며, 내부에 악성코드를 포함하고 있습니다.

사용자 삽입 이미지

악성코드의 아이콘은 워드 파일처럼 위장하고 있습니다.

사용자 삽입 이미지

악성코드 진단 현황 보기

http://www.virustotal.com/analisis/906b7e145852f72a6843ba7ab87ce42d943623b15812faac617b4fcc11291790-1276217781

Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.10 Trojan.Win32.Bredolab!IK
AhnLab-V3 2010.06.11.00 2010.06.11 Win-Trojan/Oficla.52224
AntiVir 8.2.2.6 2010.06.10 TR/Bredolab.BZ
Antiy-AVL 2.0.3.7 2010.06.08 -
Authentium 5.2.0.5 2010.06.11 W32/Bredolab.EY
Avast 4.8.1351.0 2010.06.10 -
Avast5 5.0.332.0 2010.06.10 Win32:SuspBehav-C
AVG 9.0.0.787 2010.06.10 Downloader.Crypter.AE
BitDefender 7.2 2010.06.11 Trojan.Bredolab.BZ
CAT-QuickHeal 10.00 2010.06.10 -
ClamAV 0.96.0.3-git 2010.06.10 Trojan.GenericFD.3208
Comodo 5055 2010.06.11 Heur.Suspicious
DrWeb 5.0.2.03300 2010.06.11 Trojan.Oficla.38
eSafe 7.0.17.0 2010.06.10 -
eTrust-Vet 36.1.7627 2010.06.10 -
F-Prot 4.6.0.103 2010.06.11 W32/Bredolab.EY
F-Secure 9.0.15370.0 2010.06.11 Trojan-Downloader:W32/Oficla.DD
Fortinet 4.1.133.0 2010.06.10 -
GData 21 2010.06.11 Trojan.Bredolab.BZ
Ikarus T3.1.1.84.0 2010.06.11 Trojan.Win32.Bredolab
Jiangmin 13.0.900 2010.06.10 -
Kaspersky 7.0.0.125 2010.06.10 Trojan-Dropper.Win32.Agent.cern
McAfee 5.400.0.1158 2010.06.11 Cutwail
McAfee-GW-Edition 2010.1 2010.06.10 Artemis!8C1F1AD6C0BD
Microsoft 1.5802 2010.06.10 Trojan:Win32/Meredrop
NOD32 5188 2010.06.10 Win32/Oficla.GN
Norman 6.04.12 2010.06.10 -
nProtect 2010-06-10.01 2010.06.10 Trojan.Bredolab.BZ
Panda 10.0.2.7 2010.06.10 Trj/Sinowal.XBQ
PCTools 7.0.3.5 2010.06.11 Trojan.Sasfis
Prevx 3.0 2010.06.11 High Risk Cloaked Malware
Rising 22.51.03.05 2010.06.10 Trojan.Win32.Generic.5208270C
Sophos 4.54.0 2010.06.10 Mal/Zbot-U
Sunbelt 6432 2010.06.11 Trojan.Win32.Meredrop
Symantec 20101.1.0.89 2010.06.10 Trojan.Sasfis
TheHacker 6.5.2.0.297 2010.06.11 -
TrendMicro 9.120.0.1004 2010.06.10 TROJ_DROPPR.ASB
TrendMicro-HouseCall 9.120.0.1004 2010.06.11 TROJ_DROPPR.ASB
VBA32 3.12.12.5 2010.06.10 -
ViRobot 2010.6.10.3879 2010.06.10 -
VirusBuster 5.0.27.0 2010.06.10 Trojan.DR.Agent.WLRE

Posted by viruslab
보안관련소식2010.06.10 15:10


Kaspersky 제품은 매 버전마다 향상되는것을 체감할 수 있는것 같습니다.

07 Jun 2010


Kaspersky Anti-Virus 2011 – the backbone of your PC’s security system, offering protection from a range of IT threats. Kaspersky Anti-Virus 2011 provides the basic tools needed to protect your PC.
Kaspersky Internet Security 2011 – the all-in-one security solution that offers a worry-free computing environment for you and your family. Kaspersky Internet Security 2011 has everything you need for a safe and secure Internet experience. Kaspersky Internet Security 11.0 – is a new line of Kaspersky Labs products, which is designed for the multi-tiered protection of personal computers. This product is based on in-house protection components, which are based on variety of technologies for maximum levels of user protection regardless of technical competencies. This product utilizes several technologies, which were jointly developed by Kaspersky Labs and other companies; part of them is implemented via online-services.

Our products for home and home office are specifically designed to provide hassle-free and quality protection against viruses, worms and other malicious programs, as well as hacker attacks, spam and spyware.

WHAT'S NEW IN KASPERSKY INTERNET SECURITY 2011

New in protection

* The Sandbox technology, which uses virtualization methods to create a safe environment for running applications (Safe Run for Applications), has been significantly improved. The application now features the option to run suspicious applications on a dedicated virtual desktop, which ensures reliable protection of the operating system. Safe Run for Websites (safe browser), which protects data being entered by the user, has been implemented to allow handling websites that require entering confidential information.
* The scope of the Web Anti-Virus component has been expanded thanks to the new modules that had been added:
o Online Banking identifies banking websites and allows the user to switch to Safe Run for Websites, which has been designed to handle this sort of web resources.
o Safe Surf consists of previously implemented Kaspersky URL Advisor enhanced with a new mode of blocking websites with high threat rating calculated by Kaspersky Lab. When this mode is enabled, access to dangerous websites will be blocked. When viewing unknown websites, the component will offer the user to switch to Safe Run for Websites.
o Geo Filter lets you block or allow access to regional domains depending on their infection level.
* A new technology named Wisdom of the Crowd has been implemented; it provides information about applications usage frequency and data on trust group distribution among the participants of the Kaspersky Security Network service. This information allows making a weighed decision when assigning a trust status to a new application.
* Users of Microsoft Windows Vista and Microsoft Windows 7 can enable Kaspersky Gadget, which displays the computer protection state and allows scanning objects for threats.
* System Watcher has been added, a new protection component, which analyzes file, registry, system and network activities on the computer, while collecting information about events detected by other protection components.
If any dangerous activity in the system is detected by Proactive Defense or File Anti-Virus (or in the course of virus scan), System Watcher rolls back the actions that have been performed by malicious programs.
System Watcher contains patterns of dangerous activity (BSS). Those patterns allows detecting both dangerous and suspicious activities on the computer. If any suspicious activity in the system is detected based on the patterns (or by Proactive Defense), a notification with information about the event is displayed on the screen.
* A new technology, which has been designed to run tasks on an idle computer, allows performing resource-intensive tasks, such as automatic update, scan of system memory, and scan of objects for rootkits, while the computer is turned on but remains idle.
* To improve reliability of the application, it provides protection against interception of DNS requests and substitution of network node addresses.
* In addition to HTTP traffic scan, Web Anti-Virus also scans FTP traffic now.
* Since new mail clients (such as Microsoft Live Mail) appear, Mail Dispatcher functionality is no longer supported.
What has been improved:
* The HIPS (Host-based Intrusion Prevention System) technology designed for controlling applications' activity has been significantly improved, which allows applying a unique set of restrictions and rules to an individual application, blocking run of untrusted applications until Kaspersky Internet Security is started, and excluding specified objects from the list of resources that should be controlled. The range of the application's privileges has been extended; a more accurate algorithm is now used to define application statuses.
* The Parental Control component has been enhanced and improved to better ensure control of messaging via social networks and IM clients, blockage of messaging with unwanted contacts and transfer of identity data, and restriction of computer and Internet usage time, file downloads, and run of various applications.
* The technologies of the Anti-Spam component have been enhanced. The image processing technology has been brought up to a new level of quality, the size of the databases has been reduced, and the text filtering technology for non-Latin languages has been improved.
* Advanced disinfection technology has also been improved. The AVPTool utility can be downloaded now. It scans the computer if any errors have been encountered when installing the application, thus giving rise to suspicions that the computer had been infected.
Thanks to a more efficient processing of installation errors detected when the computer is suspected of being infected, the rollback procedure has been improved for installation complicated by errors.
* The Rescue Disk creation service has been improved: an ISO image file can now be recorded on a CD or a USB data medium. The option to work in text mode has been added. When booting the system from the Rescue Disk, startup objects are scanned, in addition to boot sectors and file systems.
* The scope of the Kaspersky Security Network service has been extended. Protection and reliability of interaction with Kaspersky Security Network have been improved, including proxy server mode.
* The Urgent Detection System (UDS) technology has been enhanced by increasing the speed of adding new threats into the database and by improving the algorithm of UDS access.
* The application now scans the system for rootkits with higher efficiency. The new updatable component allows detecting a greater number of rootkits and adding entries of new rootkits into databases with a shorter response time. Fully updatable disinfection logic ensures quick counteraction to new types of rootkits.
* The Anti-Phishing technology has been enhanced thanks to use of analysis of images, HTML pages and URLs, as well as linguistic analysis of text content in messages.
* News Agent has been optimized still remaining the main tool of news delivery initiated by Kaspersky Lab.
* Automatic downloading and installation of a new version of the application have been implemented in addition to notification of release of a new version.
What's new in the application interface:
* The application interface has been optimized to simplify usage for beginners.
* Event notifications are completely redesigned to gain more intuitive and informative appearance.
* The context menu that provides access to the main features of the application has become more convenient and better structured.
* Starting from the 2011 version, custom component selection is not supported when installing the application. The application is installed in its entirety. If necessary, individual protection components can be excluded from the application interface


사용자 삽입 이미지

 
사용자 삽입 이미지


Posted by viruslab
보안관련소식2010.06.03 10:13


아이디 4천 400만개 노출
유명 온라인 게임 계정정보 4천 400만개 노출
신속히 암호를 변경하세요.
www.zdnet.co.kr

시만텍의 악성코드 이름으로 Trojan.Loginck 라는 트로이목마가 이슈가 되고 있습니다.

현재 nProtect Anti-Virus 제품에서는 Trojan/W32.Agent.28160.LF 라는 진단명으로 진단/치료하고 있습니다.
주로 사용하는 암호는 정기적으로 복잡하게 변경하시면 외부의 잠재적 위협을 예방하는데 많은 도움이 될 수 있습니다.

바이러스 토탈 진단현황
nProtect Anti-Virus 진단 치료 가능
www.virustotal.com

a-squared 5.0.0.26 2010.06.02 Trojan.Msil!IK
AhnLab-V3 2010.06.02.00 2010.06.01 Win-Trojan/Loginck.28160
AntiVir 8.2.2.4 2010.06.02 TR/MSIL.Small.H
Antiy-AVL 2.0.3.7 2010.06.02 Trojan/MSIL.Small.gen
Authentium 5.2.0.5 2010.06.02 -
Avast 4.8.1351.0 2010.06.02 Win32:Malware-gen
Avast5 5.0.332.0 2010.06.02 Win32:Malware-gen
AVG 9.0.0.787 2010.06.02 Generic17.BYIM
BitDefender 7.2 2010.06.02 Trojan.Generic.3915841
CAT-QuickHeal 10.00 2010.06.02 Trojan.Agent.gen
ClamAV 0.96.0.3-git 2010.06.02 -
Comodo 4980 2010.06.01 TrojWare.MSIL.Small
DrWeb 5.0.2.03300 2010.06.02 -
eSafe 7.0.17.0 2010.06.01 -
eTrust-Vet 35.2.7524 2010.06.02 -
F-Prot 4.6.0.103 2010.06.02 -
F-Secure 9.0.15370.0 2010.06.02 Trojan.Generic.3915841
Fortinet 4.1.133.0 2010.06.01 W32/Small.H!tr
GData 21 2010.06.02 Trojan.Generic.3915841
Ikarus T3.1.1.84.0 2010.06.02 Trojan.Msil
Jiangmin 13.0.900 2010.06.02 -
Kaspersky 7.0.0.125 2010.06.02 Trojan.MSIL.Small.h
McAfee 5.400.0.1158 2010.06.02 Generic PWS.y!cpq
McAfee-GW-Edition 2010.1 2010.06.02 Generic PWS.y!cpq
Microsoft 1.5802 2010.06.02 PWS:Win32/OnLineGames
NOD32 5165 2010.06.02 MSIL/Loginck.A
Norman 6.04.12 2010.06.01 -
nProtect 2010-06-02.01 2010.06.02 Trojan/W32.Agent.28160.LF
Panda 10.0.2.7 2010.06.01 W32/Aliser.C
PCTools 7.0.3.5 2010.06.02 Trojan.Loginck
Prevx 3.0 2010.06.02 -
Rising 22.50.02.04 2010.06.02 -
Sophos 4.53.0 2010.06.02 -
Sunbelt 6390 2010.06.02 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.06.02 Trojan.Loginck
TheHacker 6.5.2.0.291 2010.06.01 Trojan/Small.h
TrendMicro 9.120.0.1004 2010.06.02 TROJ_GEN.UAE201Z
TrendMicro-HouseCall 9.120.0.1004 2010.06.02 TROJ_GEN.UAE201Z
VBA32 3.12.12.5 2010.06.01 Trojan.MSIL.Small.h
ViRobot 2010.6.1.2333 2010.06.01 MSIL.S.Small.28160
VirusBuster 5.0.27.0 2010.06.01 Trojan.PWS.OnLineGames.BVDT

사용자 삽입 이미지

Posted by viruslab
보안관련소식2009.06.13 10:29


2009년 6월 10일에 조사한 내용이므로, 현재는 내용이 다를 수 있습니다.

또한, 각 회사 정책에 따라서 카운트 기준이 다르고, 검사기술 방식 등에 따라서 1개의 패턴으로 10개의 악성코드를 잡는 업체도 있을 수 있고, 어떤 업체는 1개의 패턴으로 1개만 잡을 수도 있습니다. 더불어 악성코드 압축 모듈 해제 기능 등에 따라서 기술적으로 성능이 다를 수 있습니다.

따라서 카운트만 가지고 제품의 성능을 비교하는 것보단 각 제품의 기능, 업데이트 방식이나 기준, 긴급 대응 능력 등을 비교해 보시면 좋을 듯 싶습니다.

아래 카운트는 참고용으로만 인식하시면 좋겠네요.

사용자 삽입 이미지

Symantec : 4,119,481

Bitdefender : 3,347,379

V3 : 2,476,596

Kaspersky : 2,333,111

Panda : 1,848,719

Hauri : 650,258


 

Posted by viruslab
보안관련소식2009.06.13 10:12


http://www.boannews.com/media/view.asp?idx=16601&kind=1

사용자 삽입 이미지

MS의 모로는 이미 2008년도 쯤에도 언급되었던 것으로 기억한다.

최근 신종 악성코드들에 대한 MS Anti-Virus 진단현황들을 보면 수준이 매우 높은 것으로 생각되어지고 있다.

개인적으로 MS 제품은 차차 시장에 영향을 줄 것이라고 생각된다.


Posted by viruslab
보안관련소식2009.06.01 15:57


오늘 안철수 연구소에서 클라우드 컴퓨팅 개념의 보안 제품을 출시하였습니다.


사용자 삽입 이미지

이와 관련하여 개인적으로 생각해 왔었던 몇 가지 정리를 해보았습니다.

생각나는대로 몇 가지 필요 충분 조건을 나열해 보겠지만..혹시 누락되거나 보충하고자 하는 부분이 있다면 서슴치 마시고 댓글 부탁합니다.

- 온라인 상태 필수
기존 Anti-Virus 제품은 오프라인 상태일지라도 패턴을 수동으로 업데이트하거나 최신 버전이 아니더라도 기존에 보유하고 있는 데이터 베이스를 통해서 악성코드 -> 검사 -> 치료 과정을 거칠 수 있지만, 클라우드 컴퓨팅 보안 개념의 Anti-Virus 는 반드시 네트워크가 클라우드 서버와 양방향 통신을 해야 한다는 선결조건이 필요하겠네요.

- 네트워크 실시간 처리 기술
클라우드 Anti-Virus 서버의 실시간 처리 용량은 서비스 안정화에 있어서 매우 중요한 부분이며, 그 만큼 CDN(Contents Delivery Network), CCN(Cloud Computing Network) 운용 기술과 환경, 대용량 분산 처리 기술이 필요하겠지요.

- 다량의 Checksum / Pattern DB 보유, 비교 알고리즘
사용자의 컴퓨터에서 추출된 고유 Pattern 값들을 비교 분석시에 기준 값으로 사용될 Black List, White List 의 무결성 및 단위별 처리, 수집 기술이 확보되어야 악성여부 판별에 있어서 큰 도움이 될 것 같네요. 또한 오류로 인한 잘못된 판단은 사용자에게 큰 오해와 피해를 발생할 수도 있겠지요.

- 처리 결과와 응답속도
어느 웹 서비스이든 네트워크를 통한 접속 방식은 접근시도 정도에 비례적으로 안정화는 떨어지게 마련이겠고, 구름속에 수 많은 수분과 기압들이 결합하고 충돌하면 비구름이 되거나 번개나 천둥이 칠 수도 있겠지요. 클라우드 서버가 처리 결과에 지연, 병목현상, Over Load 등이 발생한다는 조건이 성립된다면 사용자에게 정상적인 서비스 결과값을 Feedback 해주지 못하는 결과가 초래될 위험도 있지 않을까 싶네요.

- 능동형 악성코드 판단 처리 기술
HIPS(Host-based intrusion-prevention system), HEUR(Heuristic Detection), Proactive Prevention, Virtualization Technology(SandBox), Behavior Analysis 등의 사전 탐지 기술을 통한 신변종 악성코드 판단 능력이 필요하겠네요.

- Rootkit, Bootkit 등 자가 보호기능 악성코드 접근 기술
루트킷 등과 같이 자신을 보호하고 은폐하고 있는 악성코드에 접근하여 고유 패턴을 추출하고 처리할 수 있는 기술이 필요하겠고, 악성코드에 접근조차 하지 못한다면 그에 대한 악성여부 판단 기준 시도조차 하지 못하는 벽에 부딪히게 될 것이 분명하므로, 기반기술 확보가 우선시 되어야 겠네요.

- 구름의 안정성 확보
클라우드 서버의 안정성과 데이터 보존성을 유지하기 위해서 실시간 다중 백업 및 동기화 시스템이 갖추어져야만 24시간 365일 하드웨어 오류로 인한 서비스 중단의 문제점을 예방할 수 있겠지요.

- 클라우드 서버의 보안
서비스 중심이 되는 클라우드 Anti-Virus 서버의 보안은 그 무엇보다 중요하다고 하겠네요. 외부의 비인가 공격(DDoS), 해커의 침입(자료 파괴/유출), 송수신 패킷의 위변조 및 탈취, 서버 접근 거부 기능(Hosts 파일 변조 및 악성코드 감시) 등에 대한 선결과제도 필요하겠네요.

- 사용자 컴퓨터의 안정성
악성코드에 감염되어 네트워크가 비정상적인 조건이라면 클라우드 Anti-Virus 서비스 자체는 의도적이든 간접적이든 영향을 받을 수 있고, 이 과정에서 원할한 양방향 통신에 방해가 될 수 있겠네요.

- 로컬 모듈의 무결성
사용자 컴퓨터에서 작동되는 모듈의 변조(Crack, Patch)에 의하여 허가되지 않은 기능이 작동되어 사용자의 개인 정보가 외부로 유출되거나 제 3자에 의해서 컨트롤되는 문제가 발생되지 않도록 자체보호기능이 필요하겠네요.

- 허위 클라우드 보안 제품의 출현 대비
허위 안티 바이러스 제품들이 기승을 부리듯이 클라우드 컴퓨팅 보안과 관련한 허위 제품(개인 정보 유출 가능)이 출현할 가능성이 높고, 정상적인 서비스를 방해하는 공격형 악성코드가 제작될 수 있으므로, 이에 대한 사용자 측면의 인증 보호 시스템이 필요하겠네요.

- Anti Cloud Anti-Virus 제품 대응
이미 Panda Security 의 Cloud Anti-Virus 제품에 대한 Anti 프로그램이 소스와 함께 발견되기도 했으니, 이와 관련된 대비책도 요구되어지겠네요. (참고 : http://viruslab.tistory.com/735)






Posted by viruslab
보안관련소식2009.05.23 17:07


클라우드 컴퓨팅(cloud computing)을 통한 Anti-Virus Service는 실효성이 충분할 것인가에 대해서 많은 논의가 있다.

사용자 삽입 이미지
앞으로 계속해서 증가할 많은 양의 Malware Pattern 을 좀더 효율적으로 운용하기 위한 고민이 이에 해당된다고 볼 수 있다.

그 때문에 클라우드 컴퓨팅 기술에 Anti-Virus 서비스 구조가 차츰 융합될 것이라 예측되고 있으나, 다양한 약점에 대한 해결과제도 있기 때문에 쉽게 변경되지는 못하는 듯 싶다.

얼마전 스페인의 Anti-Virus 업체인 PANDA Security 에서는 클라우드 Anti-Virus 제품을 선보이기도 하였다.

http://www.cloudantivirus.com/
http://blog.cloudantivirus.com/

http://viruslab.tistory.com/735

예상대로 설치 프로그램의 용량이 매우 작은 편이다.

사용자 삽입 이미지

사용자 삽입 이미지

Kaspersky Lab
클라우드 컴퓨팅과 in-the-cloud 보안의 밝은 미래

http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=Products&wr_id=217

악성 소프트웨어 탐지의 전통적인 방법은 이른바 시그니쳐(signature)를 사용하는 것입니다.

시그니쳐는 지문과 같습니다. 만약 그것이 악성 프로그램의 조각과 일치하면 그 악성 프로그램은 탐지 될 것입니다. 그러나 사람의 지문과 시그니쳐 사이에는 차이가 있습니다. 지문은 오직 한 사람만 일치하는데 반하여 좋은 시그니쳐는 단지 하나의 유일한 파일로 들어맞는게 아니라 여러개 수정된 파일로 식별합니다. 높은 품질의 시그니쳐는 더 높은 감지율을 뜻하는 것뿐만이 아니라 필요한 시그니쳐의 수를 감소시켜 결과적으로 낮은 메모리의 소비를 가져옵니다. 이것이 안티 바이러스 기업들이 일반적으로 알려진 악성 프로그램 파일의 총 숫자보다 훨씬 낮은 시그니쳐 숫자를 제공하는 이유입니다.
 
물론, 좋은 시그니쳐도 시그니쳐 데이터 베이스를 작게 유지하는데 도움을 줄 수는 있습니다. 그러나 이것이 근본적인 문제를 다루고 있지 않습니다. 악성 파일이 많을 수록 더 많은 시그니쳐들을 필요로 할 것입니다. 그리고 위의 그래프는 시그니쳐의 수가 지난 몇 년 동안 악성 프로그램의 수의 폭발적인 증가에 맞춰 증가되고 있는 것을 보여줍니다.
 
증가하는 수많은 시그니쳐들은 성능 검사의 감소뿐만 아니라 높은 메모리 소비와 추가 다운로드 트래픽을 유발하지 않습니다. 이 글을 쓰고 있는 지금, 개인용 제품에서 사용된 카스퍼스키 랩의 시그니쳐 데이터베이스는 45MB에 이릅니다. 이러한 추세가 아래에 설명된 것처럼 계속된다면(그리고 믿지 않을 이유가 없다면), 이 데이터베이스는 이후 3, 4년 이내에 1,000MB까지 증가할 것입니다. 이는 일부 컴퓨터가 갖고 있는 RAM보다 더 많은 메모리입니다. 이 정도 크기의 데이터베이스는 운영체제, 브라우저 또는 게임, 단지 PC 자신을 검사하기 위한 컴퓨터 자원의 사용에 대한 공간을 두지 않을 것이며 이는 현명한 해결책은 아닙니다.
 
그럼 정답은 무엇일까요? MS-DOS악성코드와 관련된 기존 데이터베이스 레코드를 삭제해도 도움이 되지 않을 것입니다. 늘어난 메모리의 양은 매일 증가한 새로운 시그니쳐보다 더 작을 것입니다. 위에서 언급했듯이, 좀 더 효율적인 시그니쳐가 도움이 될지라도 이는 원인보다 오히려 증상에 대한 싸움입니다. 그리고 궁극적으로 데이터베이스 레코드의 증가는 멈추지 않을 것입니다.
 
2007년 일부 AV 기업들은 in-the-cloud 보안이 이러한 상황을 해결하기 위한 유일한 방법임을 깨달았습니다. 데스크톱의 보안 솔루션과 비교했을 때 언제나 온라인 연결이 필요한 점은 여전히 단점으로 남아있으나, 궁극적으로 이 기술의 장점은 단점보다 큰 것이 사실입니다.

in-the-cloud 보안의 장점

카스퍼스키 랩에서 정의한 in-the-cloud 보안의 전체 개념은 잠재적으로 악성인 파일이나 웹사이트를 컴퓨터 자체에 저장된 로컬 시그니쳐로 확인하는 대신 온라인으로 체크하는 것입니다. 이 일을 하기 위한 가장 쉬운 방법은 파일의 체크섬을 계산하여 이 체크섬을 지닌 파일이 이미 악성으로 판단되었는지 지정된 서버로 요청합니다. 이에 대한 답이 “네” 라면 사용자는 경고 메시지를 보게 되고 악성코드는 격리됩니다.
 
사용자의 입장에서 볼 때 이러한 접근방식과 기존의 접근방식 사이의 차이점은 개선된 컴퓨터의 성능 이외에는 큰 차이가 없습니다. 파일에 대한 체크섬을 생성하기 위해 많은 프로세서 자원이 필요하지 않는 것은 복잡한 시그니쳐 기반의 검사를 수행하는 것보다 여러 번 수행하는 것이 더 빠르다는 것을 의미합니다. 처음에는 사용자의 주목을 받지 못할지도 모르미나 다음과 같은 여러 잠정들이 있습니다.
 
낮은 메모리 소비와 더 작은 다운로드 풋프린트. 위에서 언급한 바와 같이 앞으로 몇 년간 고전적인 시그니쳐 데이터베이스는 사용자가 수용할 수 있는 범위의 한계를 뛰어 넘을 것입니다. in-the-cloud 솔루션은 쉽게 이 문제를 해결합니다. 서버에 저장된 모든 “지문”은 안티 바이러스 회사에 포함되어 있습니다. 사용자의 컴퓨터에 저장되는 것은  안티 바이러스 소프트웨어에 추가된 정보들입니다. 아직 판단되지 않은 프로그램은 로컬 디스크에서 검색되기 때문에, 서버는 새로운 것을 발견한 경우에만 연결을 취합니다. 만일 사용자가 어떠한 새로운 프로그램을 설치하지 않는다면, 새 데이터를 다운로드 할 필요가 없습니다. 오늘날 새 프로그램(악성일지도 모를) 이 설치된 경우 시그니쳐가 지속적으로 업데이트를 해야 하는 상황과는 뚜렷이 다릅니다.
 
더 나은 응답 시간. 응답 시간은 항상 안티 바이러스 업계에서 핫 이슈로 다루어져 왔습니다. 이는 새로운 시그니쳐를 사용할 수 있도록 하지만 이 시그니쳐가 사용자가 감염된 첨부파일을 연 후에 도착한다면 너무 늦어버리게 됩니다. 컴퓨터는 아마 이미 봇넷의 일부가 되고 아직 탐지되지 않는 추가 악성 구성 요소를 다운로드 할 것입니다. 많은 안티 바이러스 회사들이 여전히 일일 업데이트 사이클을 고수할때, 카스퍼스키 랩은 왜 매시간 업데이트를 제공하기 시작했는지에 대한 이유이기도 합니다. 그럼에도 불구하고, 새로운 바이러스의 등장과 시그니쳐의 등장 사이에는 아직 한 시간이나 더 걸릴 수 있습니다. 사전 감지 방식과 클라이언트 측면의 에뮬레이션 기술이 이러한 격차를 보완할 수는 있지만 문제는 지속될 수 밖에 없습니다. in-the-cloud 보안의 강점은 시그니쳐 확인이 실시간 수동 검사로 진행되고 반응 시간은 상당히 좋아졌기 때문에 확실하다고 볼 수 있습니다. 파일이 악성인지 아닌지 분석가에 의해 판명되자마자 이 정보는 분 또는 초 단위로 응답 시간을 전달하여 클라이언트에서 사용할 수 있습니다.
 
그것은 단지 in-the-cloud 기술을 사용하여 전송될 수 있는 트로이 목마, 바이러스와 웜에 대한 시그니쳐가 아니라 정기적인 시그니쳐 업데이트의 한 부분을 형성하는 모든부분입니다. 위험한 웹사이트의 URL, 최근 스팸 메일에서 나타나고 있는 제목과 키워드, 그리고 카스퍼스키 인터넷 시큐리티 2009와 같은 호스트 침입 방지 시스템(HIPS)에 의해 사용될 수 있는 완벽한 프로그램의 프로 파일이 해당됩니다. 이 기술은 어느 PC에나 제한되지 않습니다. 특히 한 PC에서 많은 RAM을 갖고 있지 않은 스마트폰과 모바일 장치를 보호하기 위해 이러한 기술을 사용하는 것이 가능하도록 하므로 모든 바이트가 카운트됩니다. Windows XP와 Vista를 대상으로 하는 모든 악성 프로그램을 탐지하며 모바일 위협의 탐지를 초점으로 하는 대부분의 모바일 용 안티 바이러스 솔루션은 많은 자원을 소비할 것입니다. in-the-cloud 기술은 이러한 문제의 과거의 것으로 만들 수 있습니다.

양방향 통신

in-the-cloud 시스템은 컴퓨터에 있는 파일이 감염되었거나 그렇지 않은 경우 클라이언트 PC의 쿼리와 서버에 대한 답변을 고객에게 알려주는 데 도움이 된다는 것은 분명한 사실입니다. 그러나 이 기술이 구현되는 방법에 따라 새로운 위협을 탐지하고 식별하는 안티 바이러스 회사를 돕는 방식으로 동작할 수 있습니다. 만일 에뮬레이션 혹은 사전 탐지 기법을 사용하는 클라이언트 PC에서 파일이 분석되었다면 말입니다. 그 결과 파일이 악성이라는 것이고 이 파일은 이후에 안티 바이러스 회사의 분석가들에 의해 추가 조사를 위해 업로드가 될 것입니다. 물론, 이것은 고객이 스스로 누구나 쉽게 하려고 하지 않는 파일 공유를 해야만 한다는 의미입니다. 그러나 이 일을 하기 위한 다른 방법도 있습니다. 이진 파일을 전송하는 대신에 클라이언트 소프트웨어는 분석을 수행하는 모듈로부터 단순히 세부 내용(파일 크기와 위협 종류 등과 같은)과 함께 지문을 보낼 것입니다. 만약 새로운 웜이 빠르게 확산되고 있다면 안티 바이러스 회사의 분석가들은 의심스럽다고 표시되고 갑자기 수천 대의 컴퓨터로 퍼지는 새롭게 생긴 파일을 확인합니다. 그 다음 이것이 새로운 악성코드 파일이라면 분석가의 판단에 맡기게 됩니다. 만약 그들이 확실한 위협으로 결론이 난다면 추가 탐지는 쉽습니다. 파일의 지문은 이미 존재하기 때문에 확인요청을 보낸 클라이언트 PC의 탐지 데이터베이스로 손쉽게 이동되어야만 합니다.

공짜 점심은 없다

in-the-cloud 보안의 모든 장점에도 불구하고 몇몇의 단점이 있습니다. 위의 예는 통계적 모니터링에 근거한 추가 탐지가 갑자기 발생하는 것에 대항하는 방식에 얼마나 효과적인지를 보여주고 있습니다. 그러나 이것은 오진의 위험을 극적으로 증가시킵니다. 인기 있는 쉐어웨어 프로그램의 새 버전이 출시되었다고 가정하면 새로운 것은 빠르게 확산되고 곧 많은 사람들이 소프트웨어를 다운로드 하게 될 것입니다. 만약 프로그램이 시그니쳐되지 않은 시스템 파일에 영향을 미친다면, 아마 스스로 업데이트하기 위해 다른 실행 파일을 다운로드 할 것이며 in-the-cloud 시스템에 의해 자동으로 악성코드로 탐지되어 중지시킬 확률이 높습니다. 몇 초 후 이는 전 세계에서 수천 개의 오진의 결과를 초래할 것입니다. 물론 분석가가 이 프로그램을 본 다면 이러한 결과는 일어나지 않겠지만 빠른 탐지의 잠재적인 이점을 부정하는 데에 시간이 걸릴 것입니다. 눈 깜짝할 사이에 오진을 수정하는 것이 (다음 업데이트가 다운로드 될 때까지 그 자리에 남아있는 전형적인 시그니쳐 데이터베이스의 오진과는 다르게) 가능할지라도 여전히 부정적인 결과가 발생할 것입니다. in-the-cloud 보안이 수행하는 개별 통보가 거짓 경보를 증가시킨다면 오진을 좋아하지 않는 사람들은 사용을 중지하고 여전히 고전적인 방식을 고수하는 다른 안티 바이러스 회사로 이동할 가능성이 높습니다. 이를 막기 위해 안티 바이러스 회사들은 안전하다고 알려진 파일들을 설정하고 유지 보수할 필요가 있습니다. 새로운 패치 또는 프로그램이 출시된다면 안티 바이러스 회사는 그들의 고객이 다운로드를 받기 전에 분석하고 매우 빠르게 화이트리스트에 추가해야 합니다.
 
그러므로 클라우드로의 이동은 안티 바이러스 업체에 대한 많은 추가 작업을 의미합니다. 안전한 파일 수집을 적극적으로 유지 보수하는 것 외에도 회사의 서버들은 절대적으로 24시간 안정적인 상태를 유지해야 합니다. 오프라인 서버는 업데이트를 제공할 수 없기 때문에 이는 항상 고객의 기대가 되어왔습니다. 그럼에도 불구하고 고전적인 접근방식은 검춤률을 낮출 수 있다 하더라도 많은 시간이 필요한 시그니쳐와 함께 작동할 것입니다. 클라우드 접근방식과의 차이점은 다음과 같습니다. 전체 개념이 수동 감시와 실시간 검사에 근거했기 때문에 서버의 가동 중지 기간 동안 고객은 보호받지 못합니다. 서버의 가동 중지 기간의 경우, 고객을 보호하기 위한 강력한 HIPS 기술과 협력하여 휴리스틱 기법이 사용되어야 할 것입니다.
 
무엇이 미래를 이끌것인가?

카스퍼스키 랩은 카스퍼스키 시큐리티 네트워크 관련 롤아웃과 KIS 2009 출시와 함께 in-the-cloud 보안의 선구자 중 하나였습니다. 많은 보안 업체들은 현재 그들의 제품에 in-the-cloud 접근기법을 구현하기 시작해왔지만 업계 전반적으로 여전히 이 기술의 모든 강점을 이용하는 초기 단계에 머물러 있습니다. 그 상황은 전 세계에 있는 자동차들의 상황과 유사합니다. 장기적으로 전기 자동차가 가솔린과 디젤 자동차를 대체할 것이지만, 현재 전기로 홍보된 대부분의 차들은 사실상 하이브리드입니다. IT 세계는 대게 다른 산업보다 빠르게 혁신하지만 in-the-cloud 보안이 모두 오늘날 사용하는 탐지 방법을 근거로 하는 시그니쳐를 대체하기까지 2~3년이 걸릴 가능성이 높습니다.
 
결론

지금까지 클라우드 컴퓨팅과 in-the-cloud 보안 사이의 차이점이 명확해졌습니다. 기업들은 서비스 제공업체와 모든 데이터 공유에 대한 개념에 익숙해져야 하기 때문에 클라우드 컴퓨팅이 실제로 시작하기까지 몇 년이 걸릴 것입니다.
 
in-the-cloud기술을 구현한 안티 바이러스 제품들은 이미 출시되었으며 올해 말까지 이 기술은 폭 넓게 수용될 것이라는 것은 전혀 의심의 여지가 보이지 않습니다. 시간이 지남에 따라 이 두 가지 접근 방식은 in-the-cloud 보안 서비스에 의해 보호된 클라우드 컴퓨터를 사용하는 개인과 조직들과 함께 통합될 것입니다. 일단 이러한 일이 일어나면 인터넷 오늘날 우리에게 미치는 영향과같이 일상 활동에 필수적인 것이 될 것입니다.

Posted by viruslab
보안관련소식2008.01.29 11:02


일반적으로 사용자들의 편의성을 도모하기 위해서 Anti-Virus 제품에는 기본(빠른)검사와 전체(정밀)검사 등으로 메뉴를 구분하는 경우가 있다.

기본검사의 경우 실행중인 파일(프로세스)들과 악성코드들이 자주 설치되는 경로 등을 선택적으로 검사를 진행한다.

보통 윈도우폴더(Windows)와 시스템폴더(System32), 디스크 상위폴더(C:\), 프로그램 폴더(Program Files), 임시폴더(Temp), 사용자 계정폴더(C:\Documents and Settings\사용자계정) 등을 선택적으로 지정해 둔다.

해당 경로들에는 상대적으로 악성코드들이 많이 숨겨져 있어서 쉽고 빠르게 탐지가 가능한 장점이 있지만 지정되지 않은 다른 경로에 악성코드가 존재할 경우에는 완벽한 치료가 되지 않는 문제를 가지고 있다.

그렇다면 기본검사와 전체검사를 효율적으로 사용하는 방법은 무엇일까?

각각의 기능을 이해한다면 좀더 쉽고 빠르게 악성코드를 차단할 수 있을것이다.

이를 위해서는 Anti-Virus 를 통한 악성코드 방역시스템 구축에 있어서 우선순위를 다음과 같이 지정한다.

1. 실시간 감시 (자동업데이트)
2. 기본검사
3. 전체검사

기본적으로 실시간 감시를 통해서 외부로 부터 유입되거나 실행되는 파일을 체크하며, 컴퓨터에 이상현상이 있을 경우에는 기본검사를 진행한다. 전체검사는 휴식시간이나 일주일에 한번 정도 시간을 투자하여 진행한다.

여기서 놓치지 말아야 할 것이 있는데..

기본검사 중에 악성코드가 발견되었을 경우이다.

기본검사는 프로세스에 존재하는 악성코드(EXE, DLL) 등을 발견해 낼 수 있는데, 보통 이러한 경우에 기본검사 경로에 존재하지 않는 파일이 발견될 수 도 있다.

악성코드가 EXE 와 DLL 을 설치했고, 부팅 시 EXE 에 의해서 DLL 이 실행되는 경우 EXE(숙주) 를 찾아 제거해야만 DLL 이 재생성되는 것을 막을 수 있기 때문인데, 보통 기본검사에서 Injection 되어 있던 DLL 만 감지하고 치료하는 경우가 있다.

EXE 가 존재하는 곳이 기본검사 경로가 아닐 경우 Anti-Virus 는 완벽하게 악성코드를 제거했다고 볼 수 없는 상황이 나타나고, 사용자는 지속적인 발견 메시지 창을 목격할 수 있기 때문이다.

결론적으로 기본검사에서 악성코드가 발견되면 전체검사를 통해서 시스템을 무결성 상태로 유지하는 노력이 필요한 것이다.
Posted by viruslab