'악성코드'에 해당되는 글 7건

  1. 2009.02.12 2090 악성코드 정보 by Alex K.
  2. 2008.10.16 Antivirus 2010: 정말 기발한(?) 불량 안티스파이웨어 by Alex K.
  3. 2008.07.18 악성코드 판 Google Earth by Alex K.
  4. 2008.07.02 DB 호스팅 서비스를 이용하는 악성코드 by Alex K.
  5. 2008.06.18 T2W, 트로이 목마를 웜으로~ by Alex K.
  6. 2008.06.02 Adobe Flash Player 취약점 공격 SWF 유포중 by Alex K.
  7. 2008.01.16 부록이 많은 프로그램 by Joey C. (1)

최근 일명 '2090 악성코드(노애드 진단명 Win32.Spyware.Joker.b)'가 극성을 부리고 있습니다. PC 시간을 2090년 1월 1일로 강제로 변경하는 특징을 가지는 이 악성코드의 피해를 줄이기 위해 노애드 팀에서 긴급 전용 백신을 만들어 배포하고 있습니다. 피해를 겪고 계신 분들에게 도움이 되었으면 합니다. 노애드 팀, 수고하셨습니다!

전용 백신 안내
http://www.no-ad.co.kr/Community/Notice_Read.aspx?sid=noad&bid=notice&idx=212

2090 악성코드 예방법
http://www.no-ad.co.kr/Community/Notice_Read.aspx?sid=noad&bid=notice&idx=210

Posted by Alex K.
최근 WinAntivirus를 포함해서 다양한 이름을 가진 불량 안티스파이웨어가 유행을 하고 있습니다. 그 중 인상적인 프로그램이라면 바로 이 Antivirus 2010이 아닐까 싶습니다.

이 프로그램은 시스템에 설치되어 가짜 스파이웨어가 있다고 경고하여 사용자의 결재를 유도하는 프로그램으로 사용자의 공포를 자극하기 위해 아래 이미지의 화면 보호기를 설치합니다. 아무 생각 없이 본다면 깜박 속겠죠?


가짜 부팅 화면은 진행바 밑에 Antivirus 2010에 대한 메시지를 보고 구별할 수 있습니다.  혹시 이런 증상이 있으시다면 스크린세이버 설정을 확인하시고, 노애드나 다른 백신으로 검사/치료를 해보시기 바랍니다.

지금 베타 서비스중인 샌드박스를 사용하시면 아예 이런 프로그램들이 설치되거나 시스템을 변경시키는 것을 효과적으로 막을 수 있습니다. 꼭 한번 사용해보세요. 


Posted by Alex K.
해외 보안 업체인 F-Secure사에서 Google Earth에 스팸, 피싱, 악성코드 발생정보 등을 연결해 보여주는 도구의 데모를 YouTube에 공개하였습니다.

http://kr.youtube.com/watch?v=UUwc71ySnLI

이 도구는 F-Secure사의 보안 제품들이 보고한 문제들를 IP 주소를 기반으로 위치 정보로 변환하여 지리적 위치에 매핑하는 것으로 보입니다. 물론 감염 장치를 보호하기 위해서 동영상에서는 실제 IP 주소는 모두 가려진 상태입니다.

보안 문제와 정치 사회적인 문제와의 연관을 연구하는데는 좋은 아이디어가 되지 않을까 싶습니다.



Posted by Alex K.
WebSense 블로그에 따르면 DB 호스팅 서비스를 이용하는 악성코드들이 최근에 기승을 부리고 있다고 합니다.

무료로 MySQL DB를 호스팅하는 서비스를 이용하는 이 악성코드들은 실행시 원격 서버의 설정 파일로부터 해당 서비스 주소와 접속 정보를 얻은 후 원격 DB에 접속하여 감염된 PC의 정보를 기록하고 다양한 공격 모듈을 추가로 내려받아 공격을 수행한다고 합니다.

자세한 정보는 아래 링크를 참조하세요.
WebSense 블로그
http://securitylabs.websense.com/content/Blogs/3099.aspx

Posted by Alex K.
스페인의 보안 업체인 Panda Security의 블로그에 새로 발견된 악성코드 제작툴이 소개되었습니다. T2W(Trojan to Worm)이라는 이름의 이 툴은 어떤 실행파일도 웜으로 만들어버리는 기능을 가지고 있는 것으로 보입니다. 이 툴의 기능들은 아래 스크린샷을 보면 한눈에 짐작할 수 있습니다.  이제는 악성코드를 만드는데 그다지 기술은 필요가 없겠네요. :(
사용자 삽입 이미지

더 자세한 정보는 아래 링크에서 보실 수 있습니다.
http://pandalabs.pandasecurity.com/archive/T2W-_2D002D003E00_-Trojan-to-Worm.aspx

Posted by Alex K.

지난 5월 27일부터 Adobe Flash Player의 취약점을 이용하여 악성코드를 다운로드하는 SWF가 해킹된 웹사이트를 통해 유포되고 있다는 사실이 Symantec을 비롯한 각종 보안 업체들로부터 보고 되었습니다. 초기에는 발견되지 않은 취약점으로 간주되었으나 사실은 이미 패치된 취약점으로 것으로 밝혀졌습니다.

하지만 현재도 해당 SWF가 유포중인 것으로 보이므로 설치된 Adobe Flash Player의 버전을 확인하시고 꼭 업데이트 하시기 바랍니다. 해당 취약점이 패치된 Adobe Flash Player의 버전은  9.0.124.0으로 설치 및 업데이트는 다음 링크에서 내려받을 수 있습니다.

Adobe Flash Player 최신버전 설치http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash


설치된 Adobe Flash Player의 버전은 [프로그램 추가/제거]에서 "Adobe Flash Player ActiveX"의 지원 정보를 통해 확인할 수 있습니다.

해당 취약점에 대한 더 자세한 정보는 다음 링크들에서 찾으실 수 있습니다.

Security Focus http://www.securityfocus.com/bid/29386
Adobe Blog http://blogs.adobe.com/psirt/2008/05/potential_flash_player_issue.html
Posted by Alex K.

사용자 삽입 이미지
할인마트에서 판매하는 라면들은 위와 같은 형태로 포장되어 있습니다. 5봉지씩 포장해서 팔고 있지만 어떤 날은 저 옆에 한봉지를 더 붙여서 6봉지를 5봉지 가격에 판매합니다. 면도기를 사면 면도거품 한통을 공짜로 주기도 합니다.

 이렇게 상품을 판매하면서 같은 상품 혹은 다른 상품을 함께 제공하는 것을 '번들(bundle)'이라고 합니다. 잡지의 부록과 같은 의미라고 할 수 있습니다.

 마트에서 판매하는 상품들 뿐 아니라 소프트웨어도 번들로 많이 제공됩니다.

사용자 삽입 이미지

 이전에는 '그래픽 카드에 게임소프트웨어', 'dvd드라이브에 dvd 재생소프트웨어'와 같은 식으로 하드웨어에 그 하드웨어를 사용할 수 있는 소프트웨어를 함께 제공하는 것이 일반적이었지만 요즘은 소프트웨어에 번들되는 소프트웨어도 많습니다.

사용자 삽입 이미지

대표적인 예로 pdf 파일을 읽을 수 있는 Adobe Reader를 설치할 때 Google Toolbar를 함께 설치하는 옵션이 제공되는 것을 들 수 있습니다.

 이런 번들은 소프트웨어들간의 시너지 효과를 얻기 위해서, 혹은 번들을 함으로써 그에 대한 사용료를 받기 위해 사용됩니다.

 번들 방식은 소프트웨어를 전파하는데 편리한 배포 방식이므로 악성코드를 전파하는데 즐겨 사용하는 방법입니다.

 사용자 입장에서도 특별한 수고를 들이지 않고 유용한 소프트웨어를 사용할 수 있으므로 편리할 수 있습니다. 하지만 무심코 함께 설치한 번들소프트웨어가 매일 커다란 광고를 띄우거나 한다면 조금 불편하겠죠. 게다가 이런 소프트웨어들은 개인정보를 훔쳐내거나 자료를 파괴하는 스파이웨어일 수도 있습니다.


 어떤 소프트웨어와 번들되는 소프트웨어는 함께 제공되지만 하나의 제품으로 볼 수 있는 것은 아니므로 소프트웨어 설치 중에 번들 소프트웨어 설치 여부에 대한 사용자 확인이 표시됩니다. 설치에 동의하면 번들되는 소프트웨어 사용 약관이 표시되고 약관에 동의했을 때 설치가 진행되죠.
 그러므로 설치과정에서 함께 설치되는 소프트웨어에 대한 설명과 약관을 주의깊게 읽고 필요하거나 안전한 소프트웨어만 설치에 동의하면 안전한 컴퓨터를 유지할 수 있습니다.

 만약 이 과정에서 설치 여부 확인 없이 무조건 어떤 소프트웨어를 설치한다면 그 소프트웨어는 스파이웨어가 됩니다. 또한 함께 설치된 프로그램이 스파이웨어라면 그걸 설치한 소프트웨어는 사용자 동의에 관계없이 스파이웨어로 구분됩니다.


1. 애드웨어 번들 예

 가상 CD롬 소프트웨어인 데몬툴은 무료임에도 불구하고 강력한 기능과 편리함 덕분에 많이 쓰이는 소프트웨어입니다.
 데몬툴 배포 초기에는 데몬툴만 설치가 되었지만 최근에는 몇가지 프로그램을 함께 제공하고 있습니다. 아래 화면에에 표시된 'DAEMON Tools sponsor ad module'이 데몬툴이 번들하는 소프트웨어입니다.

사용자 삽입 이미지

이 소프트웨어를 설치하게 되면 인터넷 사용중에 아래 화면과 같이 광고가 나타나게 됩니다.해당 소프트웨어는 하루에 4-5회 정도 나타난다고 설명하고 있는데 언제 나타나는지는 알 수 없습니다. 광고가 불편하다면 제어판의 프로그램 추가/제거 에서 쉽게 제거할 수 있습니다.

사용자 삽입 이미지

 설치시 "DAEMON Tools default Search Provider"에 체크하면 이후 웹브라우저의 주소창을 통한 기본 검색 설정이 데몬툴에서 제공하는 검색으로 바뀌게 됩니다.

2. 악성코드 번들 예

 이번에는 좀더 위험한 번들 소프트웨어를 살펴보겠습니다.

사용자 삽입 이미지

 많이 쓰이는 P2P 프로그램의 설치화면입니다. [스폰서] 라고 표시된 항목들은 이 프로그램과 함께 설치되는 번들 소프트웨어들입니다. 목록에 마우스를 올려 놓으면 아래쪽에 해당 프로그램에 대한 약관이 표시됩니다. 이 소프트웨어들은 따로 설치할 경우 서로가 서로를 번들하는 특징을 가지고 있습니다.

사용자 삽입 이미지

 이전 화면에서 '동의함'을 선택하면 이번엔 툴바 설치에 대한 동의를 묻는 창이 나타납니다.
이 툴바는 인터넷 익스플로러의 주소창을 대체하며 툴바가 제공하는 검색엔진의 검색창으로도 사용됩니다.

사용자 삽입 이미지

모든 설치를 완료한 화면입니다. 새로운 바탕화면 바로가기와 툴바가 설치된 것을 알 수 있습니다. 그런데 설치화면에서 동의한 것과는 약간 다른 프로그램들이 설치된 것을 볼 수 있습니다. 'IE 즐겨찾기' 라는 폴더 안에는 400여개나 되는 인터넷 바로가기가 포함되어 있으며 인터넷 익스플로러의 즐겨찾기에도 같은 바로가기들이 추가됩니다.


사용자 삽입 이미지

특히 '메가패스..', '옥션' 이라고 써져 있는 바로가기는 우리가 알고있는 메가패스, 옥션과는 전혀 관계없는 사이트로 이동하는 바로가기입니다.


노애드2+로 검사를 수행해 보겠습니다.

사용자 삽입 이미지

15개의 스파이웨어와 1개의 그레이웨어가 발견되었습니다. 대부분 키워드를 훔쳐내거나 윈도우 설정을 변경하는 스파이웨어들입니다. 이 정도면 '종합병원'이라고 불러도 손색이 없을 것 같습니다. ^^;

4. 마무리

 번들의 의미와, 악성코드를 번들하는 소프트웨어에 대해서 간단히 알아보았습니다.

 올해의 주된 보안 문제로 예상되는 것은 피싱이나 후킹을 통한 인터넷 뱅킹, 전자 상거래 과정 공격으로 발생하는 금전적인 피해입니다. 이런 공격에 가장 기본적으로 사용되는 것이 앞서 살펴본 번들을 통한 악성코드의 설치입니다.

 눈치채셨겠지만 어떤 소프트웨어에 번들되는 악성코드들은 사용자가 소프트웨어 설치과정에서 약간만 주의하면 피할 수 있는 것들입니다.

사용자가 주의 깊게 살펴보지 않는다면 좋은 보안프로그램을 사용하더라도 무심결에 공격을 당할 수 있습니다. 안전한 컴퓨터 생활을 위해 조금만 더 주의를 기울여 주세요.


Posted by Joey C.


티스토리 툴바