태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2011.01.29 11:13


러시아 Kaspersky Anti-Virus 2008년도 소스코드가 유출된 것으로 파악되었고, 이미 여러 곳에서 공유가 시작되기 시작했습니다.

해당 내용은 알고 지내던 러시아 Kaspersky 분석가 지인에게 이미 전달한 상태입니다.
Kaspersky 에서는 어떠한 경위로 소스가 유출되었는지 진상 규명을 진행하지 않을까 싶네요.

내부(개발자) 소행인지?, 외부(해커) 소행인지? 에 따라 또 다른 이슈가 되지 않을까 싶으나, 오래전 소스라 정확한 원인을 파악하기가 좀처럼 쉽지는 않을 것 같네요.

사용자 삽입 이미지

2008년도 라면 좀 지난 소스이겠지만, Kaspersky Anti-Virus 제품의 당시 중요한(?) 기술들이 포함되어 있을 수 있고, 유사 변조 제품이 나오지 않을까 우려가 되는 부분이기도 합니다.

혹시 경쟁사 Anti-Virus 업체들이 제품 모방할려고 소스를 구하기 위한 혈안이 되지는 않겠지요?!

외신에서 뉴스도 올라오기 시작하네요.

http://news.softpedia.com/news/Kaspersky-Anti-Virus-Source-Code-Leaked-Online-181297.shtml

앞으로 파장이 좀 되지 않을까 싶습니다.

금번 소스 유출로 인하여 예전 제품 구조와 정식 등록키 방식, 스캔 원리 등 주요한 부분이 다수 노출될 같아 안타깝네요.

Kaspersky 입장에서는 차기 신제품에서 완전 교체된 기술로 새롭게 변화해야 하는 차별적 과도기가 되지 않을까 싶기도 합니다.


Posted by viruslab
신종악성코드정보2010.10.14 09:23


Trojan-SMS.AndroidOS.FakePlayer.b 변종 nProtect Mobile 진단 정보 보기
http://viruslab.tistory.com/2073

FakePlayer 3번째 변종이 Kaspersky Lab 에 의해서 추가 보고되었습니다.

http://www.securelist.com/en/blog/329/FakePlayer_take_3

Trojan-SMS.AndroidOS.FakePlayer.c

샘플 추적 중에 확인해 보니 APK 내부 파일인 classes.dex 형태로  Trojan-SMS.AndroidOS.FakePlayer.d 로 진단되는 샘플도 확인되었습니다.

c 와 d 를 어떻게 구분하여 업데이트 한 것인지도 확인 중입니다.

http://www.virustotal.com/file-scan/report.html?id=675568f8deebcfbbf9a50d31a9b317918a324665dfc2ae8d9d0a9d120f10669d-1287014513

Kaspersky 에서는 다음과 같이 안드로이드용 악성프로그램을 업데이트 했습니다.

13 October 2010
Trojan-SMS.AndroidOS.FakePlayer.d 22:28  
11 October 2010
Trojan-SMS.AndroidOS.FakePlayer.c 20:24 12 Oct 2010, 23:32
8 September 2010
Trojan-SMS.AndroidOS.FakePlayer.b 23:04 9 Sep 2010, 08:29
6 August 2010
Trojan-SMS.AndroidOS.FakePlayer.a


사용자 삽입 이미지



Posted by viruslab
보안관련소식2010.06.21 17:53


Kaspersky Lab Matters
카스퍼스키랩 정기 웹캐스트 시리즈
kaspersky.co.kr

동영상이 자주 등록되는 것 같지는 않아 좀 아쉽네요!

보안 컨텐츠 관리 솔루션의 선도 개발사인 카스퍼스키 랩은, 몇몇 IT보안 산업의 최신 토픽들을 자세 알 수 있도록 영 캐스트의 정기 버전인 Lab Matters를 발표했습니다.
 
캐스트는 사용자들이 원할 때 언제나 접속할 수 있는 인터넷 방송입니다. 또 인터넷 접속이 가능한 사람이면 누구나 볼 수 있습니다.
 
Lab Matters는 사용자들이 IT보안 산업의 최신 트렌드나 위협, 그리고 사이버 범죄에 맞서 싸울 수 있는 기술의 발전에 대해 알 수 있도록 설계된 지식 기반 프로젝트 입니다. 이 토론은 카스퍼스키의 몇몇 전문가들에 의해 관리될 것이고, 어떻게 당신의 컴퓨터를 보호할 것인가 혹은 회사의 네트워크를 악성 프로그램, 스팸, 피싱 그리고 해커들의 공격으로부터 어떻게 방어해야 할 것인가에 대한 이슈들을 다룰 것입니다.
 
카스퍼스키 랩 전문가들은 IT 보안에 대해 느낄 수 있는 흥미와 함께 그들의 지식과 경험을 공유할 것입니다. 여러분이 이 분야에서 전문가이든, 시스템 관리자 또는 보통의 홈 사용자이든 아니든, 카스퍼스키 랩의 정기 시리즈 웹 캐스트는 사용자가 스스로 IT위협에 대해 좀 더 효과적으로 대응하여 자신의 pc를 보호하고, 또 어떻게 하면 안티 바이러스 제품과 기기 작동을 이해할 수 있는지 알 수 있도록 해줄 것입니다.

첫 번째 시리즈의 프로그램에서, Lab Matters는 타겟으로 정해진 공격에 대해 조사할 수 있을 것입니다. 당신은 사이버 범죄자들이 어떤 대상을 목표로 하여 공격을 달성하려고 하는지, 또 이런 종류의 위협들을 탐지하는 방법과 그것들로부터 스스로를 보호하는 방법에 대해 알 수 있을 것입니다.
 
카스퍼스키 랩 웹캐스트는 www.youtube.com/Securelist www.youtube.com/KasperskyLabHQ에서 볼 수 있습니다.

사용자 삽입 이미지


Posted by viruslab
보안관련소식2010.06.15 21:29


In this first webcast Costin and Magnus join me in discussing targeted attacks today – what they are, how to prevent them and how to mitigate if the attacks do succeed after all. Who should listen? Well, clearly IT staff for starters.

However, targeted attacks affect all of us – because the main attack vector is through social engineering This means that every single person employed by a company under attack – is a potential entry point.

사용자 삽입 이미지

So – take 5 minutes and listen to Costin, Magnus and myself and let us know what you think – was it useful? Do you have further questions? Do you have other topics you would like to hear about?





Posted by viruslab
보안관련소식2010.06.10 15:10


Kaspersky 제품은 매 버전마다 향상되는것을 체감할 수 있는것 같습니다.

07 Jun 2010


Kaspersky Anti-Virus 2011 – the backbone of your PC’s security system, offering protection from a range of IT threats. Kaspersky Anti-Virus 2011 provides the basic tools needed to protect your PC.
Kaspersky Internet Security 2011 – the all-in-one security solution that offers a worry-free computing environment for you and your family. Kaspersky Internet Security 2011 has everything you need for a safe and secure Internet experience. Kaspersky Internet Security 11.0 – is a new line of Kaspersky Labs products, which is designed for the multi-tiered protection of personal computers. This product is based on in-house protection components, which are based on variety of technologies for maximum levels of user protection regardless of technical competencies. This product utilizes several technologies, which were jointly developed by Kaspersky Labs and other companies; part of them is implemented via online-services.

Our products for home and home office are specifically designed to provide hassle-free and quality protection against viruses, worms and other malicious programs, as well as hacker attacks, spam and spyware.

WHAT'S NEW IN KASPERSKY INTERNET SECURITY 2011

New in protection

* The Sandbox technology, which uses virtualization methods to create a safe environment for running applications (Safe Run for Applications), has been significantly improved. The application now features the option to run suspicious applications on a dedicated virtual desktop, which ensures reliable protection of the operating system. Safe Run for Websites (safe browser), which protects data being entered by the user, has been implemented to allow handling websites that require entering confidential information.
* The scope of the Web Anti-Virus component has been expanded thanks to the new modules that had been added:
o Online Banking identifies banking websites and allows the user to switch to Safe Run for Websites, which has been designed to handle this sort of web resources.
o Safe Surf consists of previously implemented Kaspersky URL Advisor enhanced with a new mode of blocking websites with high threat rating calculated by Kaspersky Lab. When this mode is enabled, access to dangerous websites will be blocked. When viewing unknown websites, the component will offer the user to switch to Safe Run for Websites.
o Geo Filter lets you block or allow access to regional domains depending on their infection level.
* A new technology named Wisdom of the Crowd has been implemented; it provides information about applications usage frequency and data on trust group distribution among the participants of the Kaspersky Security Network service. This information allows making a weighed decision when assigning a trust status to a new application.
* Users of Microsoft Windows Vista and Microsoft Windows 7 can enable Kaspersky Gadget, which displays the computer protection state and allows scanning objects for threats.
* System Watcher has been added, a new protection component, which analyzes file, registry, system and network activities on the computer, while collecting information about events detected by other protection components.
If any dangerous activity in the system is detected by Proactive Defense or File Anti-Virus (or in the course of virus scan), System Watcher rolls back the actions that have been performed by malicious programs.
System Watcher contains patterns of dangerous activity (BSS). Those patterns allows detecting both dangerous and suspicious activities on the computer. If any suspicious activity in the system is detected based on the patterns (or by Proactive Defense), a notification with information about the event is displayed on the screen.
* A new technology, which has been designed to run tasks on an idle computer, allows performing resource-intensive tasks, such as automatic update, scan of system memory, and scan of objects for rootkits, while the computer is turned on but remains idle.
* To improve reliability of the application, it provides protection against interception of DNS requests and substitution of network node addresses.
* In addition to HTTP traffic scan, Web Anti-Virus also scans FTP traffic now.
* Since new mail clients (such as Microsoft Live Mail) appear, Mail Dispatcher functionality is no longer supported.
What has been improved:
* The HIPS (Host-based Intrusion Prevention System) technology designed for controlling applications' activity has been significantly improved, which allows applying a unique set of restrictions and rules to an individual application, blocking run of untrusted applications until Kaspersky Internet Security is started, and excluding specified objects from the list of resources that should be controlled. The range of the application's privileges has been extended; a more accurate algorithm is now used to define application statuses.
* The Parental Control component has been enhanced and improved to better ensure control of messaging via social networks and IM clients, blockage of messaging with unwanted contacts and transfer of identity data, and restriction of computer and Internet usage time, file downloads, and run of various applications.
* The technologies of the Anti-Spam component have been enhanced. The image processing technology has been brought up to a new level of quality, the size of the databases has been reduced, and the text filtering technology for non-Latin languages has been improved.
* Advanced disinfection technology has also been improved. The AVPTool utility can be downloaded now. It scans the computer if any errors have been encountered when installing the application, thus giving rise to suspicions that the computer had been infected.
Thanks to a more efficient processing of installation errors detected when the computer is suspected of being infected, the rollback procedure has been improved for installation complicated by errors.
* The Rescue Disk creation service has been improved: an ISO image file can now be recorded on a CD or a USB data medium. The option to work in text mode has been added. When booting the system from the Rescue Disk, startup objects are scanned, in addition to boot sectors and file systems.
* The scope of the Kaspersky Security Network service has been extended. Protection and reliability of interaction with Kaspersky Security Network have been improved, including proxy server mode.
* The Urgent Detection System (UDS) technology has been enhanced by increasing the speed of adding new threats into the database and by improving the algorithm of UDS access.
* The application now scans the system for rootkits with higher efficiency. The new updatable component allows detecting a greater number of rootkits and adding entries of new rootkits into databases with a shorter response time. Fully updatable disinfection logic ensures quick counteraction to new types of rootkits.
* The Anti-Phishing technology has been enhanced thanks to use of analysis of images, HTML pages and URLs, as well as linguistic analysis of text content in messages.
* News Agent has been optimized still remaining the main tool of news delivery initiated by Kaspersky Lab.
* Automatic downloading and installation of a new version of the application have been implemented in addition to notification of release of a new version.
What's new in the application interface:
* The application interface has been optimized to simplify usage for beginners.
* Event notifications are completely redesigned to gain more intuitive and informative appearance.
* The context menu that provides access to the main features of the application has become more convenient and better structured.
* Starting from the 2011 version, custom component selection is not supported when installing the application. The application is installed in its entirety. If necessary, individual protection components can be excluded from the application interface


사용자 삽입 이미지

 
사용자 삽입 이미지


Posted by viruslab
보안관련소식2009.10.07 14:33


곧 300만개를 돌파할 듯 싶네요.

사용자 삽입 이미지


Posted by viruslab
TAG Kaspersky
보안관련소식2009.09.18 08:33
보안관련소식2009.09.07 15:51


http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=News&wr_id=287

보안 컨텐츠 관리 솔루션의 선도 기업인 카스퍼스키 랩은
러시아에서 5개의 최첨단 기술에 대해 성공적으로 특허권을 취득하였다고 발표했습니다. 이 특허는 지적 재산, 특허 및 상표 관리청에 의해 등록되었습니다.
 
특허번호 2 363 045는 악성 프로그램에 감염된 컴퓨터를 효율적으로 다루는 방법을 설명고 있습니다. Mikhail Pavlyushik가 개발한 이 기술은 동일 컴퓨터에서 서로 다른 프로세를 실행하는 악성 프로그램을 탐지할 수 있습니다. 또한 바이러스 복사본의 활동을 차단하고 컴퓨터에 남아있는 복사본의 모든 흔적을 완벽히 삭제합니다.
 
특허번호 2 363 047는 비트맵으로 작성된 텍스트와 스팸의 탐지 방법에 관한 내용입니다. Eugene Smirnov이 개발한 이 기술은 컴퓨터에게 패턴 인식을 요구하지 않으며 이미지에 포함된 불필요한 메시지에 대해 빠르고 높은 수준의 탐지율을 제공합니다. 이러한 방식은 이미지 안에 있는 텍스트를 손상시키거나 여러가지 무의미한 정보를 추가하는 것과 텍스트를 회전하거나 비뚤어지게하는 스패머의 트릭을 방해합니다.
 
특허번호 85 249는 안티 바이러스 솔루션의 처리기능을 설명합니다. 주요 처리기능으로는 외부 메모리로부터 전송된 데이터를 필터링하여 악성 프로그램의 확산을 막는 일입니다. 이 안티 바이러스 기술은 Oleg Zaitsev에 의해 개발되었습니다.
 
또한 어휘 백터를 사용하여 스팸을 식별하는 방법으로 특허 번호 85 247 를 부여 받았습니다. 이 방법은 Andrey Kalinin에 의해 개발되었고, 자신의 어휘 콘텐츠를 분석하고 어휘 벡터를 계산해서 이메일 스팸을 효과적으로 검색할 수 있습니다.
 
카스퍼스키 랩은 또한 기업용 제품에 대한 라이센스 키 관리 기술로 특허 번호 85 248 를 부여 받았습니다. 이 기술은 컴퓨터 수가 변경되는 경우를 대비하여 변경 가능한 유효기간을 지닌 라이센스 키 관리를 최적화하였습니다. 이 기술은 카스퍼스키 랩의 Alexey Kalgin, Andrey Kulaga, Damir Shiyafetdinov, Andrey Kazachkov, Stephane Le Hir, Filippe Bodemer와 Damien Billy 전문가 그룹에 의해 개발되었습니다.
 
"이것은 매우 특별한 일입니다. 일찍이 카스퍼스키 랩은 한번에 5개의 특허를 부여받은 적은 없었습니다. 이는 권리 소유자의 허락없이 제 3자에 의한 사용을 금지하는 특허 기술의 독점성을 이해하는 것이 중요합니다. 러시아에서 특허 법률과 특허 법률상의 판례와 같은 것을 갖고 있지 않지만 공급업체들이 그들의 기술을 보호하는 것을 매우 중요하게 여기는 날이 곧 다가 올 것이라고 생각합니다. 왜냐하면 카스퍼스키 랩의 특허는 러시아의 혁신적인 기술이기 때문입니다." 라고 카스퍼스키 랩의 지적 재산권 담당 변호사 Nadia Kashchenko 발표하였습니다.
 
카스퍼스키 랩은 자사내에서 개발한 기술에 대해 현재 30개국 이상의 여러 나라에서 특허 출원 중입니다.

사용자 삽입 이미지


Posted by viruslab
보안관련소식2009.08.22 17:42


카스퍼스키 인터넷 시큐리티 2010 제품이 Cascadia Labs 독립 기관에서 실시한 성능 테스트에서 가장 높은 결과를 달성했다고 발표했습니다.
 
카스퍼스키 랩 및 다른 5개 공급업체 솔루션은 시스템 성능과 리소스 사용율에 대해 일반적인 가정용 PC와 동일한 환경에서 평가하였습니다.



사용자 삽입 이미지

Posted by viruslab
보안관련소식2009.07.04 15:20


http://www.kaspersky.com/news?id=207575854
http://www.kaspersky.com/news?id=207575855

실수로 같은 내용을 두번 올리셨네요^^

사용자 삽입 이미지

수정되겠지요.

Position Name Number of infected computers
1   Net-Worm.Win32.Kido.ih 58200  
2   Virus.Win32.Sality.aa 28758  
3   Trojan-Dropper.Win32.Flystud.ko 13064  
4   Trojan-Downloader.Win32.VB.eql 12395  
5   Worm.Win32.AutoRun.dui 8934  
6   Trojan.Win32.Autoit.ci 8662  
7   Virus.Win32.Virut.ce 6197  
8   Worm.Win32.Mabezat.b 5967  
9   Net-Worm.Win32.Kido.jq 5934  
10   Virus.Win32.Sality.z 5750  
11   Trojan-Downloader.JS.LuckySploit.q 4624  
12   Virus.Win32.Alman.b 4394  
13   Packed.Win32.Black.a 4317  
14   Net-Worm.Win32.Kido.ix 4284  
15   Worm.Win32.AutoIt.i 4189  
16   Trojan-Downloader.WMA.GetCodec.u 4064  
17   Packed.Win32.Klone.bj 3882  
18   Email-Worm.Win32.Brontok.q 3794  
19   Worm.Win32.AutoRun.rxx 3677  
20   not-a-virus:AdWare.Win32.Shopper.v 3430  





Posted by viruslab
TAG Kaspersky
보안관련소식2009.06.29 10:55


http://www.etnews.co.kr/news/detail.html?id=200906280038

사용자 삽입 이미지

러시아 다국적 보안업체 카스퍼스키랩과 LG전자가 손을 잡는다.

카스퍼스키랩은 하지만 올해로 계약기간이 만료되는 국내 1위 포털업체인 NHN과 결별을 시사했다.

유진 카스퍼스키 카스퍼스키랩 대표는 지난 26일(현지시각) 크로아티아에서 열린 기자간담회에서 “LG전자의 다양한 디바이스(device)에 카스퍼스키의 솔루션을 공급하는 포괄계약(global contract)을 추진 중”이라며 “첫 단추로 최근 LG전자 이탈리아 법인에서 출시되는 LG의 PC에 카스퍼스키랩 제품을 탑재하는 방안과 관련해 협의를 마쳤다”고 말했다. 이는 소비자들에게 LG전자 PC에 번들형태로 공급한다는 의미다.



Posted by viruslab
보안관련소식2009.06.25 10:13


카스퍼스키 메인 홈페이지가 일부 리뉴얼 되었습니다.

http://www.kaspersky.com/

http://www.kaspersky.com/2010



사용자 삽입 이미지


Posted by viruslab
보안관련소식2009.05.24 01:51


카스퍼스키에서는 SDK 기술 라이센싱을 통한 수익도 창출하고 있습니다.

아래 내용은 카스퍼스키랩에서 설명하는 Kaspersky Anti-Virus Engine 내용입니다.

At the heart of any antivirus program lies its engine – that is, the module responsible for scanning objects and detecting malicious programs. In today’s IT environment, where malware can reach epidemic proportions in hours or even minutes, an antivirus engine that is designed to provide the fastest possible response to new threats is essential.

사용자 삽입 이미지

The Kaspersky Anti-Virus Engine is purpose-built to protect large businesses and home users alike from the threats of today and tomorrow.

Industry leading detection rates

Detection rates measure the thoroughness of a solution’s ability to identify new and existing malware. All antivirus vendors declare high levels of malware detection. However, this can only be objectively evaluated through consistent performance in independent comparative analyses. Kaspersky® Anti-Virus consistently leads comparisons of detection rates among antivirus solutions, with a false positive rate close to zero. Independent antivirus testing labs such as AV-Comparatives, AV-Test GmbH, Virus Bulletin and other independent authorities have all confirmed that the Kaspersky Anti-Virus Engine out-performs the competition, yielding the highest detection rate.

Fastest response to new threats

Today, when viruses and worms can penetrate hundreds of thousands of computers in just a few hours, response time to new threats is crucial for effective protection from malware. Kaspersky Lab’s reliance on proactive technologies are supported by industry leading signature-based protection that yield accurate and timely detection of malware. Kaspersky Lab’s team of virus analysts, headed by Eugene Kaspersky, provides the quickest release of emergency updates during virus outbreaks. Kaspersky Anti-Virus consistently leads the industry’s most comprehensive comparisons of response times from organizations such as AV-Test GmbH, an independent project housed at the Otto-von-Guericke University, Magdeburg, Germany.

Superior protection from IT threats in a single engine

In recent years, spyware, adware, rootkits and other hostile programs have grown at an alarming pace. Protection from these threats is essential given that they pose significant security and legal risks. Currently, in addition to award winning detection of viruses, Trojans and worms, the Kaspersky Anti-Virus Engine provides superior protection from spyware, adware and other potentially hostile programs. Additionally, the Kaspersky Anti-Virus Engine provides superior protection from all types of mobile malware, all through a single scanning engine.

The Kaspersky Anti-Virus Engine supports roughly 3,000 archival and packing formats (as of March 2007). Support for a large number of compression formats reduces the time required to analyze new samples, resulting in faster response times to new threats. This is especially important when providing protection for mail systems, given that a significant number of viruses are sent via email as compressed attachments. The Kaspersky Anti-Virus Engine also supports many different archiving methods, such as ZIP, ARJ, LHA, RAR and CAB. Thus, malicious code cannot evade Kaspersky Anti-Virus by simply hiding itself in a less well-known packer, archived or installation file.

Most frequent database updates

Kaspersky Lab releases antivirus and anti-spyware database updates hourly - the most frequent in the industry with about 600 updates released each month. Moreover, the average update size is around 2 KB. By releasing small updates frequently, the period of time during which users are unprotected is significantly reduced.





Posted by viruslab
보안관련소식2009.05.23 17:07


클라우드 컴퓨팅(cloud computing)을 통한 Anti-Virus Service는 실효성이 충분할 것인가에 대해서 많은 논의가 있다.

사용자 삽입 이미지
앞으로 계속해서 증가할 많은 양의 Malware Pattern 을 좀더 효율적으로 운용하기 위한 고민이 이에 해당된다고 볼 수 있다.

그 때문에 클라우드 컴퓨팅 기술에 Anti-Virus 서비스 구조가 차츰 융합될 것이라 예측되고 있으나, 다양한 약점에 대한 해결과제도 있기 때문에 쉽게 변경되지는 못하는 듯 싶다.

얼마전 스페인의 Anti-Virus 업체인 PANDA Security 에서는 클라우드 Anti-Virus 제품을 선보이기도 하였다.

http://www.cloudantivirus.com/
http://blog.cloudantivirus.com/

http://viruslab.tistory.com/735

예상대로 설치 프로그램의 용량이 매우 작은 편이다.

사용자 삽입 이미지

사용자 삽입 이미지

Kaspersky Lab
클라우드 컴퓨팅과 in-the-cloud 보안의 밝은 미래

http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=Products&wr_id=217

악성 소프트웨어 탐지의 전통적인 방법은 이른바 시그니쳐(signature)를 사용하는 것입니다.

시그니쳐는 지문과 같습니다. 만약 그것이 악성 프로그램의 조각과 일치하면 그 악성 프로그램은 탐지 될 것입니다. 그러나 사람의 지문과 시그니쳐 사이에는 차이가 있습니다. 지문은 오직 한 사람만 일치하는데 반하여 좋은 시그니쳐는 단지 하나의 유일한 파일로 들어맞는게 아니라 여러개 수정된 파일로 식별합니다. 높은 품질의 시그니쳐는 더 높은 감지율을 뜻하는 것뿐만이 아니라 필요한 시그니쳐의 수를 감소시켜 결과적으로 낮은 메모리의 소비를 가져옵니다. 이것이 안티 바이러스 기업들이 일반적으로 알려진 악성 프로그램 파일의 총 숫자보다 훨씬 낮은 시그니쳐 숫자를 제공하는 이유입니다.
 
물론, 좋은 시그니쳐도 시그니쳐 데이터 베이스를 작게 유지하는데 도움을 줄 수는 있습니다. 그러나 이것이 근본적인 문제를 다루고 있지 않습니다. 악성 파일이 많을 수록 더 많은 시그니쳐들을 필요로 할 것입니다. 그리고 위의 그래프는 시그니쳐의 수가 지난 몇 년 동안 악성 프로그램의 수의 폭발적인 증가에 맞춰 증가되고 있는 것을 보여줍니다.
 
증가하는 수많은 시그니쳐들은 성능 검사의 감소뿐만 아니라 높은 메모리 소비와 추가 다운로드 트래픽을 유발하지 않습니다. 이 글을 쓰고 있는 지금, 개인용 제품에서 사용된 카스퍼스키 랩의 시그니쳐 데이터베이스는 45MB에 이릅니다. 이러한 추세가 아래에 설명된 것처럼 계속된다면(그리고 믿지 않을 이유가 없다면), 이 데이터베이스는 이후 3, 4년 이내에 1,000MB까지 증가할 것입니다. 이는 일부 컴퓨터가 갖고 있는 RAM보다 더 많은 메모리입니다. 이 정도 크기의 데이터베이스는 운영체제, 브라우저 또는 게임, 단지 PC 자신을 검사하기 위한 컴퓨터 자원의 사용에 대한 공간을 두지 않을 것이며 이는 현명한 해결책은 아닙니다.
 
그럼 정답은 무엇일까요? MS-DOS악성코드와 관련된 기존 데이터베이스 레코드를 삭제해도 도움이 되지 않을 것입니다. 늘어난 메모리의 양은 매일 증가한 새로운 시그니쳐보다 더 작을 것입니다. 위에서 언급했듯이, 좀 더 효율적인 시그니쳐가 도움이 될지라도 이는 원인보다 오히려 증상에 대한 싸움입니다. 그리고 궁극적으로 데이터베이스 레코드의 증가는 멈추지 않을 것입니다.
 
2007년 일부 AV 기업들은 in-the-cloud 보안이 이러한 상황을 해결하기 위한 유일한 방법임을 깨달았습니다. 데스크톱의 보안 솔루션과 비교했을 때 언제나 온라인 연결이 필요한 점은 여전히 단점으로 남아있으나, 궁극적으로 이 기술의 장점은 단점보다 큰 것이 사실입니다.

in-the-cloud 보안의 장점

카스퍼스키 랩에서 정의한 in-the-cloud 보안의 전체 개념은 잠재적으로 악성인 파일이나 웹사이트를 컴퓨터 자체에 저장된 로컬 시그니쳐로 확인하는 대신 온라인으로 체크하는 것입니다. 이 일을 하기 위한 가장 쉬운 방법은 파일의 체크섬을 계산하여 이 체크섬을 지닌 파일이 이미 악성으로 판단되었는지 지정된 서버로 요청합니다. 이에 대한 답이 “네” 라면 사용자는 경고 메시지를 보게 되고 악성코드는 격리됩니다.
 
사용자의 입장에서 볼 때 이러한 접근방식과 기존의 접근방식 사이의 차이점은 개선된 컴퓨터의 성능 이외에는 큰 차이가 없습니다. 파일에 대한 체크섬을 생성하기 위해 많은 프로세서 자원이 필요하지 않는 것은 복잡한 시그니쳐 기반의 검사를 수행하는 것보다 여러 번 수행하는 것이 더 빠르다는 것을 의미합니다. 처음에는 사용자의 주목을 받지 못할지도 모르미나 다음과 같은 여러 잠정들이 있습니다.
 
낮은 메모리 소비와 더 작은 다운로드 풋프린트. 위에서 언급한 바와 같이 앞으로 몇 년간 고전적인 시그니쳐 데이터베이스는 사용자가 수용할 수 있는 범위의 한계를 뛰어 넘을 것입니다. in-the-cloud 솔루션은 쉽게 이 문제를 해결합니다. 서버에 저장된 모든 “지문”은 안티 바이러스 회사에 포함되어 있습니다. 사용자의 컴퓨터에 저장되는 것은  안티 바이러스 소프트웨어에 추가된 정보들입니다. 아직 판단되지 않은 프로그램은 로컬 디스크에서 검색되기 때문에, 서버는 새로운 것을 발견한 경우에만 연결을 취합니다. 만일 사용자가 어떠한 새로운 프로그램을 설치하지 않는다면, 새 데이터를 다운로드 할 필요가 없습니다. 오늘날 새 프로그램(악성일지도 모를) 이 설치된 경우 시그니쳐가 지속적으로 업데이트를 해야 하는 상황과는 뚜렷이 다릅니다.
 
더 나은 응답 시간. 응답 시간은 항상 안티 바이러스 업계에서 핫 이슈로 다루어져 왔습니다. 이는 새로운 시그니쳐를 사용할 수 있도록 하지만 이 시그니쳐가 사용자가 감염된 첨부파일을 연 후에 도착한다면 너무 늦어버리게 됩니다. 컴퓨터는 아마 이미 봇넷의 일부가 되고 아직 탐지되지 않는 추가 악성 구성 요소를 다운로드 할 것입니다. 많은 안티 바이러스 회사들이 여전히 일일 업데이트 사이클을 고수할때, 카스퍼스키 랩은 왜 매시간 업데이트를 제공하기 시작했는지에 대한 이유이기도 합니다. 그럼에도 불구하고, 새로운 바이러스의 등장과 시그니쳐의 등장 사이에는 아직 한 시간이나 더 걸릴 수 있습니다. 사전 감지 방식과 클라이언트 측면의 에뮬레이션 기술이 이러한 격차를 보완할 수는 있지만 문제는 지속될 수 밖에 없습니다. in-the-cloud 보안의 강점은 시그니쳐 확인이 실시간 수동 검사로 진행되고 반응 시간은 상당히 좋아졌기 때문에 확실하다고 볼 수 있습니다. 파일이 악성인지 아닌지 분석가에 의해 판명되자마자 이 정보는 분 또는 초 단위로 응답 시간을 전달하여 클라이언트에서 사용할 수 있습니다.
 
그것은 단지 in-the-cloud 기술을 사용하여 전송될 수 있는 트로이 목마, 바이러스와 웜에 대한 시그니쳐가 아니라 정기적인 시그니쳐 업데이트의 한 부분을 형성하는 모든부분입니다. 위험한 웹사이트의 URL, 최근 스팸 메일에서 나타나고 있는 제목과 키워드, 그리고 카스퍼스키 인터넷 시큐리티 2009와 같은 호스트 침입 방지 시스템(HIPS)에 의해 사용될 수 있는 완벽한 프로그램의 프로 파일이 해당됩니다. 이 기술은 어느 PC에나 제한되지 않습니다. 특히 한 PC에서 많은 RAM을 갖고 있지 않은 스마트폰과 모바일 장치를 보호하기 위해 이러한 기술을 사용하는 것이 가능하도록 하므로 모든 바이트가 카운트됩니다. Windows XP와 Vista를 대상으로 하는 모든 악성 프로그램을 탐지하며 모바일 위협의 탐지를 초점으로 하는 대부분의 모바일 용 안티 바이러스 솔루션은 많은 자원을 소비할 것입니다. in-the-cloud 기술은 이러한 문제의 과거의 것으로 만들 수 있습니다.

양방향 통신

in-the-cloud 시스템은 컴퓨터에 있는 파일이 감염되었거나 그렇지 않은 경우 클라이언트 PC의 쿼리와 서버에 대한 답변을 고객에게 알려주는 데 도움이 된다는 것은 분명한 사실입니다. 그러나 이 기술이 구현되는 방법에 따라 새로운 위협을 탐지하고 식별하는 안티 바이러스 회사를 돕는 방식으로 동작할 수 있습니다. 만일 에뮬레이션 혹은 사전 탐지 기법을 사용하는 클라이언트 PC에서 파일이 분석되었다면 말입니다. 그 결과 파일이 악성이라는 것이고 이 파일은 이후에 안티 바이러스 회사의 분석가들에 의해 추가 조사를 위해 업로드가 될 것입니다. 물론, 이것은 고객이 스스로 누구나 쉽게 하려고 하지 않는 파일 공유를 해야만 한다는 의미입니다. 그러나 이 일을 하기 위한 다른 방법도 있습니다. 이진 파일을 전송하는 대신에 클라이언트 소프트웨어는 분석을 수행하는 모듈로부터 단순히 세부 내용(파일 크기와 위협 종류 등과 같은)과 함께 지문을 보낼 것입니다. 만약 새로운 웜이 빠르게 확산되고 있다면 안티 바이러스 회사의 분석가들은 의심스럽다고 표시되고 갑자기 수천 대의 컴퓨터로 퍼지는 새롭게 생긴 파일을 확인합니다. 그 다음 이것이 새로운 악성코드 파일이라면 분석가의 판단에 맡기게 됩니다. 만약 그들이 확실한 위협으로 결론이 난다면 추가 탐지는 쉽습니다. 파일의 지문은 이미 존재하기 때문에 확인요청을 보낸 클라이언트 PC의 탐지 데이터베이스로 손쉽게 이동되어야만 합니다.

공짜 점심은 없다

in-the-cloud 보안의 모든 장점에도 불구하고 몇몇의 단점이 있습니다. 위의 예는 통계적 모니터링에 근거한 추가 탐지가 갑자기 발생하는 것에 대항하는 방식에 얼마나 효과적인지를 보여주고 있습니다. 그러나 이것은 오진의 위험을 극적으로 증가시킵니다. 인기 있는 쉐어웨어 프로그램의 새 버전이 출시되었다고 가정하면 새로운 것은 빠르게 확산되고 곧 많은 사람들이 소프트웨어를 다운로드 하게 될 것입니다. 만약 프로그램이 시그니쳐되지 않은 시스템 파일에 영향을 미친다면, 아마 스스로 업데이트하기 위해 다른 실행 파일을 다운로드 할 것이며 in-the-cloud 시스템에 의해 자동으로 악성코드로 탐지되어 중지시킬 확률이 높습니다. 몇 초 후 이는 전 세계에서 수천 개의 오진의 결과를 초래할 것입니다. 물론 분석가가 이 프로그램을 본 다면 이러한 결과는 일어나지 않겠지만 빠른 탐지의 잠재적인 이점을 부정하는 데에 시간이 걸릴 것입니다. 눈 깜짝할 사이에 오진을 수정하는 것이 (다음 업데이트가 다운로드 될 때까지 그 자리에 남아있는 전형적인 시그니쳐 데이터베이스의 오진과는 다르게) 가능할지라도 여전히 부정적인 결과가 발생할 것입니다. in-the-cloud 보안이 수행하는 개별 통보가 거짓 경보를 증가시킨다면 오진을 좋아하지 않는 사람들은 사용을 중지하고 여전히 고전적인 방식을 고수하는 다른 안티 바이러스 회사로 이동할 가능성이 높습니다. 이를 막기 위해 안티 바이러스 회사들은 안전하다고 알려진 파일들을 설정하고 유지 보수할 필요가 있습니다. 새로운 패치 또는 프로그램이 출시된다면 안티 바이러스 회사는 그들의 고객이 다운로드를 받기 전에 분석하고 매우 빠르게 화이트리스트에 추가해야 합니다.
 
그러므로 클라우드로의 이동은 안티 바이러스 업체에 대한 많은 추가 작업을 의미합니다. 안전한 파일 수집을 적극적으로 유지 보수하는 것 외에도 회사의 서버들은 절대적으로 24시간 안정적인 상태를 유지해야 합니다. 오프라인 서버는 업데이트를 제공할 수 없기 때문에 이는 항상 고객의 기대가 되어왔습니다. 그럼에도 불구하고 고전적인 접근방식은 검춤률을 낮출 수 있다 하더라도 많은 시간이 필요한 시그니쳐와 함께 작동할 것입니다. 클라우드 접근방식과의 차이점은 다음과 같습니다. 전체 개념이 수동 감시와 실시간 검사에 근거했기 때문에 서버의 가동 중지 기간 동안 고객은 보호받지 못합니다. 서버의 가동 중지 기간의 경우, 고객을 보호하기 위한 강력한 HIPS 기술과 협력하여 휴리스틱 기법이 사용되어야 할 것입니다.
 
무엇이 미래를 이끌것인가?

카스퍼스키 랩은 카스퍼스키 시큐리티 네트워크 관련 롤아웃과 KIS 2009 출시와 함께 in-the-cloud 보안의 선구자 중 하나였습니다. 많은 보안 업체들은 현재 그들의 제품에 in-the-cloud 접근기법을 구현하기 시작해왔지만 업계 전반적으로 여전히 이 기술의 모든 강점을 이용하는 초기 단계에 머물러 있습니다. 그 상황은 전 세계에 있는 자동차들의 상황과 유사합니다. 장기적으로 전기 자동차가 가솔린과 디젤 자동차를 대체할 것이지만, 현재 전기로 홍보된 대부분의 차들은 사실상 하이브리드입니다. IT 세계는 대게 다른 산업보다 빠르게 혁신하지만 in-the-cloud 보안이 모두 오늘날 사용하는 탐지 방법을 근거로 하는 시그니쳐를 대체하기까지 2~3년이 걸릴 가능성이 높습니다.
 
결론

지금까지 클라우드 컴퓨팅과 in-the-cloud 보안 사이의 차이점이 명확해졌습니다. 기업들은 서비스 제공업체와 모든 데이터 공유에 대한 개념에 익숙해져야 하기 때문에 클라우드 컴퓨팅이 실제로 시작하기까지 몇 년이 걸릴 것입니다.
 
in-the-cloud기술을 구현한 안티 바이러스 제품들은 이미 출시되었으며 올해 말까지 이 기술은 폭 넓게 수용될 것이라는 것은 전혀 의심의 여지가 보이지 않습니다. 시간이 지남에 따라 이 두 가지 접근 방식은 in-the-cloud 보안 서비스에 의해 보호된 클라우드 컴퓨터를 사용하는 개인과 조직들과 함께 통합될 것입니다. 일단 이러한 일이 일어나면 인터넷 오늘날 우리에게 미치는 영향과같이 일상 활동에 필수적인 것이 될 것입니다.

Posted by viruslab
신종악성코드정보2009.05.21 17:11


Kaspersky Conficker 제거 도구처럼 위장하여 유포된 악성코드이다.

사용자 삽입 이미지
http://www.virustotal.com/analisis/29d91ed8b6cbd8e5a0f61ce9c9b46193

Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - TR/PSW.Steam.an
Antiy-AVL - - Trojan/Win32.Staem
Authentium - - W32/Pws.ABCB
Avast - - Win32:Steam-BC
AVG - - BackDoor.Generic9.SWZ
BitDefender - - Trojan.Injector.CA
CAT-QuickHeal - - TrojanPSW.Steam.an
ClamAV - - Trojan.Spy-26035
Comodo - - TrojWare.Win32.PSW.Steam.NA
DrWeb - - Trojan.PWS.Lineage.4319
eSafe - - Win32.Banker
eTrust-Vet - - Win32/AMalum.AQDV
F-Prot - - W32/Pws.ABCB
F-Secure - - Trojan-PSW.Win32.Staem.an
Fortinet - - W32/Staem.AN!tr.pws
GData - - Trojan.Injector.CA
Ikarus - - Trojan-Dropper.Delf
K7AntiVirus - - Trojan-PSW.Win32.Steam.an
Kaspersky - - Trojan-PSW.Win32.Staem.an
McAfee - - PWS-Steam
McAfee+Artemis - - PWS-Steam
McAfee-GW-Edition - - Trojan.Spy.Agent.gcb
Microsoft - - VirTool:Win32/DelfInject.gen!AI
NOD32 - - Win32/PSW.Steam.NA
Norman - - W32/Delf.BXAQ
nProtect - - Trojan-PWS/W32.WebGame.300544
Panda - - Trj/Steam.AB
PCTools - - Trojan.PWS.Steam.AQ
Prevx1 - - High Risk Cloaked Malware
Rising - - -
Sophos - - Troj/Agent-GPW
Sunbelt - - Trojan-PSW.Win32.Staem.an
Symantec - - Suspicious.MH690.A
TheHacker - - Trojan/PSW.Staem.an
TrendMicro - - -
VBA32 - - Trojan-PSW.Win32.Staem.an
ViRobot - - Trojan.Win32.PSWSteam.300544
VirusBuster - - Trojan.PWS.Steam.AQ
Additional information
MD5: b1c0d9292abb48d8b026524a5ac4e6c9
SHA1: 90ca146e536a5ee0ff9223961bf934b3666fc984



Posted by viruslab
신종악성코드정보2008.12.26 12:41


Kaspersky 제품에서 가짜 RAR 포맷처럼 위장하고 내부에 EXE 파일을 암호화하여 가지고 있는 형태의 악성코드를 2008년 12월 20일부터 탐지하기 시작했다.

진단명은 Trojan.Win32.RaMag.a 이다.

사용자 삽입 이미지

관련정보는 아래를 참고하면 된다.

http://viruslab.tistory.com/370


Posted by viruslab
신종악성코드정보2008.02.18 14:37


오늘 발견된 악성코드인데, 내부에 아래와 같은 문자열을 넣어두었다.

중국의 백신업체 Rising, Kingsoft, 러시아의 백신업체 Kaspersky, ESET Nod32 등에 대한 일부 욕설이 포함되어 있다.

해당 업체 분석가가 이 내용을 보게 된다면 그다지 썩 기분좋은 일은 아니다.

사용자 삽입 이미지

Posted by viruslab
보안관련소식2008.01.30 14:01


Kaspersky Anti-Virus 7 또는 Kaspersky Internet Security 7 을 사용하면 다음과 같은 휴리스틱 엔진 진단명을 볼 수 있다.

사용자 삽입 이미지

Heur.Trojan.Generic
Heru.Downloader

Generic 은 100% 바이러스 분석가에 의해서 Confirm 받은 것이 아니기 때문에 오진일 수 도 있다. 따라서 정확한 개별 진단명을 명명하지 않은 이유이기도 하다.

검역소에서 해당 파일을 Kaspersky Viruslab 에 신고해 주면 오진인 경우 진단되지 않도록 처리된다.

사용자 삽입 이미지




Posted by viruslab
보안관련소식2007.12.21 14:00


2007년 12월 20일 Kaspersky 제품의 오진으로 윈도우 탐색기(Explorer.exe)가 삭제되는 사고가 발생했습니다.

실시간(자동치료)감시가 작동중인 경우 부팅할 때 정상파일이 제거되어 바탕화면에 아이콘이 나타나지 않는 현상이 발생하였으며, 국내외에서 다수의 피해가 보고되었습니다.

Kaspersky Lab 에서는 긴급 공지를 발표했습니다.

오진파일 => Explorer.exe : Worm.Win32.Huhk.c

---------------------------------------------------------------------------------------------------

False positive detection - system file explorer.exe 

Last night, on the 20th of December 2007, there was a false positive detection by Kaspersky Lab products on one of Windows system files: explorer.exe. Presently false positive has been corrected in anti-virus bases.

The following consequenses can happen:

  • Desktop is not visible
  • Start menu and system tray are absent

To solve the issue locally you need to do the following steps:

  • press on the keyboard simultaneously Ctrl, Shift and Esc 
  • in Task Manager select menu File 
  • click on New task (Run) 
  • click Browse 
  • locate the folder with installed product: 
    • Kaspersky Anti-Virus 7.0 - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0 
    • Kaspersky Internet Security 7.0 - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0 
    • Kaspersky Anti-Virus 6.0 - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 
    • Kaspersky Internet Security 6.0 - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0 
    • Kaspersky Anti-Virus 6.0 for Windows Workstations - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations 
    • Kaspersky Anti-Virus 6.0 for Windows Servers - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers
  • select file avp.exe

  • click button OK two times

  • repeat above described steps again to launch main program window 
  • after Kaspersky product window appears - update anti-virus databases 
  • in the main program window go to Reports and data files
  • in the right part of the screen select Backup 
  • select file C:\Windows\explorer.exe 
  • click on the button Restore
  • click YES 
  • as a target folder to which the file will be saved select folder C:\Windows 
  • click on button Save 
  • click on Close
    InformationOn the below picture as an example you can see file C:\Windows\explorer.com


  • minimize main program window 
  •  open up Task Manager again (press simultaneously Ctrl, Shift and Esc
  • in Task Manager go to menu FIle 
  • click on New Task (Run) 
  • click on Browse 
  • select folder C:\Windows
  • select file explorer.exe

  • click OK two times

If on your computer menu Start and Desktop are visible and working, you simply need to update anti-virus databases.

To correct the issue remotely on computer with Kaspersky Administration Kit 6.0 installed you need to do the following:

  • create/open policy for Network Agent
  • go to tab Settings
  • check the box Transfer information about objects: http://support.kaspersky.com/faq?qid=205057289#set
  • open in Console -> Storage -> Backup
  • restore file explorer.exe on computers with this problem
Posted by viruslab
보안관련소식2007.12.01 17:41


Kaspersky Lab 에서 사용되고 있는 Virus Watch 3.0 이다.
실시간 업데이트 리스트와 분석가 정보 등도 볼 수 있다.

http://www.kaspersky.com/viruswatch

http://www.kaspersky.com/viruswatch3 <- 3.0 (3.1)

http://www.kaspersky.com/viruswatchlite



Posted by viruslab