안철수연구소가 USB, 공유폴더 등 다양한 경로로 전파되어 인터넷 장애를 유발하는 악성코드 "콘피거 웜 변형"이 오늘 오전부터 확산되고 있다고 주의를 당부했습니다.
 
관련 기사 : 인터넷 느려지는 웜 확산 `백신진단 요망`(이데일리)

이 웜은 국내외 대다수 백신들이 진단/치료를 못하고 있고, 또한 계속 변종이 만들어지고 있기 때문에 주의가 필요하다고 합니다.

이 웜은 MS08-067 취약점이 있는 컴퓨터를 원격으로 찾아 감염시키고, USB와 특정 폴더(관리 목적의 공유 폴더)를 통해서도 전파됩니다.  콘피커.173318 웜은 특정 폴더에 자신을 복사하기 위해 11111, abc123, admin 등 다양한 패스워드를 대입해보고 사용자가 설정한 값과 일치하면 관리자 권한을 얻어 해당 폴더에 자신을 복사하여 감염시키고 있습니다.

이를 예방하기 위해서는 우선 MS08-067에 대한 보안 패치를 설치하고 안철수연구소가 제공하는 전용백신을 사용하거나,

전용백신 다운로드 http://kr.ahnlab.com/dwVaccineView.ahn?num=80&cPage=1

백신과 PC 방화벽이 통합된 V3 365 클리닉 또는 V3 IS 2007 플래티넘을 최신으로 업데이트하고 실시간 감시 기능을 켜 놓는 것이 안전합니다. 또한  네트워크 방화벽이나 PC방화벽에서 445번 포트를 차단해야 합니다.

USB를 사용하시는 분들 특히 주의하시구요 패스워드도 어렵게 조합해서 변경하시면 더더욱 안전할 듯 합니다.

Posted by 멋나미

보안뉴스에서 백신의 미래 라는 기사를 보았습니다.

기사원문 보기 :  http://www.boannews.com/media/view.asp?idx=13465&kind=1

안철수연구소에 근무하고 있는 두분의 칼럼인데요, 늘어만 가고 있는 악성코드 샘플을 효과적으로 처리하고, 엔진의 진단율을 높이기 위해앞으로 가상화 기술에서 방법을 찾고 있다고 합니다.

더군다나 안랩에서 Light-weight Virtualized Environment 기술로 외국 백신들이 진단율을 높이기 위해 휴리스틱이니 제너릭 등의 기법을 사용하고 있는데, 안랩에서도  자체 개발한 기술을 테스트하고 있다고 하니 기대가 됩니다.

아래는 칼럼의 내용 중 일부를 발췌한 글입니다.

안티바이러스 분야에서 현재 가장 많이 적용된 가상화 기술은 에뮬레이티드 머신(Emulated Machine) 또는 샌드박스 머신(Sandbox Machine)을 이용한 악성코드 분석 기법이다. 이것들은 각각 나름의 가상화 방법을 가지고 구현되어 있다. 또한 이를 통한 자동 분석 시스템 또한 각광을 받고 있다. 엄청나게 폭주하고 있는 악성코드 샘플을 효과적으로 처리하고 늘어만 가는 악성코드를 효과적으로 처리하기 위해 가상화 기술에서 방법을 찾고 있다.

현재 안철수연구소는 악성코드 샘플 처리 자동화 시스템에 Light-weight Virtualized Environment 기술을 적용하고 있다. 이 기술은 엔진의 진단율을 높이는 데도 적용하고 있다. 또한 제너릭 디텍션(Generic Detection), 휴리스틱 디텍션(Heuristic Detection), 프로액티브 프리벤션(Proactive Prevention) 등의 기법을 테스트하고 있다. 이런 기술로 악성코드에 더 효과적으로 대응할 수 있으며 더 많은 악성코드를 차단할 수 있다.

Posted by 멋나미

안철수연구소 블로그(http://blog.ahnlab.com)에 보안지수를 체크해 볼 수 있는 설문문항이 있습니다. 평소에 보안병에 걸리진 않았지만 ActiveX 설정을 보통 이상으로 해놓고, 윈도우 보안 패치는 물론, 백신의 실시간 감시 및 1주일에 한번씩은 정밀검사를 통해서 어느정도 보안을 실천하고 있는 저는. 100점 만점에 100점~~~ 은 아니구요. 80점은 간신히 넘겼네요..

부족한 부분이 패스워드를 특수문자 조합해서 사용하고 있는데, 주기적으로 변경하지 않고(귀차니즘 ㅠㅠ), 백업해 놓지 않는 것인데요.. 보안은 어느정도 불편함이 동반되는것 같습니다. 이러다 나의 소중한 자료들 날려 먹으면 저만 손해니깐. ㅠㅠ  다시금 마음을 고쳐잡아야 겠네요.

안랩의 대학생 기자들이 조사한 보안지수는 평균 46.6점으로 나타났습니다.

관련 기사 보기 : http://sabo.ahnlab.com/200811/ahn_03_03.shtml



각 질문에 답이 1번이면 2.5점, 2번이면 5점, 3번이면 7.5점, 4번이면 10점을 매겨 합산이면 100점 만점에 본인의 점수가 나온다. 이를 통해 자신의 보안 지수를 확인할 수 있다.

1. 각종 인터넷 사이트에 회원 가입할 때 패스워드 설정을 어떻게 하고 있습니까?
1) 주민등록번호나 생일, 전화번호 등을 사용한다. 
2) 단순한 영문이나 숫자를 사용한다. (예 : 1234, abcde) 
3) 영문, 숫자, 특수 문자를 조합하여 사용한다. (예: we#673, %aeid&3) 
4) 위의 방법으로 암호를 사용하며, 주기적으로 변경한다. 

2. 인터넷 상에서 회원가입 등을 위해 개인정보를 입력할 때, 해당 사이트의 보안 정책을 어느 정도 고려하십니까?
1) 개인정보 유출에 대해 크게 신경 쓰지 않는다. 
2) 중요성은 알고 있지만, 꼭 필요한 경우에는 보안정책에 상관없이 개인정보를 입력한다. 
3) 보안 정책이나 약관, 개인정보보호정책 등을 자세히 읽어본다. 
4) 개인정보를 보호할 수 있는 기술(암호화 통신 등)이 제공되는지 확인한다. 

3. 인터넷이나 통신망에서 사용되는 아이디 및 패스워드를 다른 사람에게 알려주는 것을 어떻게 생각하십니까?
1) 아무에게나 알려주어도 된다. 
2) 친한 사이인 경우에는 알려주어도 상관 없다. 
3) 꼭 필요한 경우에만 알려주고, 필요성이 소멸되면 패스워드를 변경한다. 
4) 절대로 알려주면 안 된다.

4. 인터넷에서 프로그램을 다운로드할 경우, 어떤 점을 고려하십니까?
1) 필요한 프로그램은 무조건 다운로드해서 사용한다. 
2) 인지도가 높고 안전하다고 생각되는 사이트에서 필요한 프로그램을 다운로드한다. 
3) 프로그램의 특성과 사용약관을 자세히 읽어보고 다운로드한다. 
4) 프로그램의 특성과 사용약관을 자세히 읽어보고 다운로드하며, 해킹 방지 툴, 백신도 사용하고 있다. 

5. 바이러스나 스파이웨어의 감염을 방지하기 위해 어떤 방법을 사용하고 있습니까?
1) 백신 프로그램을 사용하지 않는다. 
2) 무료 백신 프로그램을 설치하고 정기적인 검사를 한다. 
3) 유료 백신 프로그램을 설치하고 정기적인 검사를 한다. 
4) 백신 프로그램을 설치하여 실시간 감시 기능을 사용하며, 수시로 업데이트하여 바이러스를 검사한다. 

6. 파일 전송이나 다운로드 등의 작업 후 백신으로 바이러스 감염 여부를 점검하십니까?
1) 점검하지 않는다. 
2) 필요성은 인식하고 있으나, 백신의 사용법을 모른다. 
3) 백신을 이용해서 해당 파일을 검사한다. 
4) 백신을 이용해서 해당 파일을 검사하며, 실시간 감시 기능을 항상 실행해 둔다. 

7. PC에 대한 해킹 사고를 방지하기 위해 어떤 방법을 사용하고 있습니까?
1) 필요성은 알고 있지만, 방법을 모른다. 
2) 무료 백신 중 PC 방화벽 기능이 있는 것을 골라서 사용한다.
3) 무료 PC 방화벽을 설치해 사용한다.
4) 방화벽 등 다양한 기능을 제공하는 유료 백신을 사용한다.

8. 중요한 데이터의 경우 백업을 해서 별도로 보관하고 있습니까?
1) 하지 않고 있다. 
2) 필요한 경우에만 백업을 한다. 
3) 정기적으로 중요 데이터를 백업한다. 
4) 특정 백신에서 제공하는 온라인 백업 기능을 사용한다.

9. MS 윈도우 보안 패치가 발표되면 어떻게 조치하십니까?
1) 보안 패치가 무엇인지 모른다.
2) 보안 패치가 무엇인지 알고는 있으나 설치해본 적은 없다.
3) PC에 문제가 있다고 느낄 때보안 패치를 설치한다.
4) 보안 패치가 발표될 때마다 바로 설치한다.

10. 포털이나 뉴스 사이트, 카페 등 웹에 접속만 해도 악성코드에 감염되는 일이 많습니다. 이에 어떻게 대비하십니까?
1) 위험하다는 것을 알지만 내가 피해자가 되리라고는 생각하지 않는다.
2) 피해를 당할까 봐 조심하고 있지만 특별히 대책은 없다.
3) 감염된 후 백신으로 치료하면 된다고 생각한다.
4) 백신을 사용하며, 위험 사이트 차단 서비스도 설치해 사용한다.


여러분들의 보안 지수는 몇점??

Posted by 멋나미
안철수연구소에서, 2008년 보안 10대 이슈를 발표했습니다.


출처 : 안랩 블로그 http://blog.ahnlab.com/ahnlab/498


안철수연구소가 꼽은 2008년 10대 보안 위협 트렌드는 ▶개인 정보 유출 목적 악성코드 강세 ▶교묘한 방법으로 약관 동의 받는 스파이웨어 등장 ▶외산 가짜 백신 기승 ▶SQL 인젝션 등 웹 공격 극심 ▶어도비사 응용 프로그램 취약점 공격 극성 ▶MS사 소프트웨어 겨냥한 공격 지속 ▶ARP 스푸핑의 재등장 ▶개인 정보 유출의 2차 피해 발생 ▶악성코드의 고도화 ▶사회공학적 속임수의 지능화입니다.

(1) 개인 정보 유출 목적 트로이목마가 75% 차지

웹사이트 로그인 계정 정보나 온라인 게임 계정 정보, 시스템 정보 등의 개인 정보를 훔쳐내는 트로이목마가 전체 악성코드의 75% 를 차지할 만큼 많았으며 그 피해 또한 컸다. 이러한 악성코드는 지속적으로 PC를 공격하고, 거대한 봇넷(악성코드에 감염된 여러 컴퓨터가 연결된 네트워크)을 구성해 스팸 메일과 DDoS(분산서비스거부) 공격 등 사이버 범죄에 악용된다.

(2) 교묘한 방법으로 약관 동의 받는 스파이웨어 등장
올해 상반기 국내 스파이웨어 제작자가 무더기로 검거된 이후 한때 국산 스파이웨어 수가 주춤했다. 그러나 스파이웨어로 규정하기 어렵게 형식적으로 사용자 동의를 거치는 교묘한 방법으로 피해를 주고 있다. 즉, 사용자의 동의를 거치면 스파이웨어의 범위에 들지 않는다는 점과, 사용자가 약관을 꼼꼼하게 읽어보지 않는다는 점을 이용해 불공정 약관을 버젓이 명시해놓는 것이다.
실제로 이런 프로그램의 약관에는 ‘전자우편, 휴대전화 번호 등 개인 정보를 제3자에게 익명으로 제공하겠음’ ‘수신 거부를 해도 전자우편을 보낼 수 있음’ ‘검색 엔진이나 주소창에 적은 내용을 다른 곳으로 전송할 수 있음’ ‘법률에 근거한 피해가 발생해도 책임을 지지 않음’ ‘사용자 PC를 P2P 서비스의 중간 매개로 사용하겠음’ ‘상업적 용도의 프로그램이나 기타 프로그램을 필요에 따라 컴퓨터에 설치될 수 있으며 설치 전 사용자의 동의를 추가로 구하지 않고 이 내용은 사용자가 약관동의를 함으로써 갈음함’ 등의 내용이 들어있다. 눈 뜨고 피해를 당하는 황당한 일이 생길 수 있는 것이다.

(3) 외산 가짜 백신 기승
약 150개에 달하는 외산 가짜 백신이 기승을 부렸다. 최근 가짜 백신은 Antivirus XP 2008, Vista Antivirus 2008, WinX Security Center, WinXDefender, XP Protector 2009 등 마치 진짜 백신처럼 가장해 유포됐다. 초기의 가짜 백신은 단순히 결제를 유도하는 방식이었는데, 요즘은 자신을 은폐한 후 스팸 메일 등을 통해 전달되는 등 지능화하고 있다.
이런 가짜 백신이 설치되는 방법은 크게 두 가지가 있다. 첫째, 사용자가 특정 웹사이트에서 동영상을 보기 위해 ‘Play’ 버튼을 클릭하면 동영상 코덱이 없다며 파일을 다운로드하는데, 이때 가짜 백신을 다운로드하기 위한 인스톨 파일이 설치된다. 가짜 동영상 코덱이 설치되면 시스템의 보안 설정을 변경하거나 시스템이 감염되었다는 메시지 등 경고 창을 지속적으로 보여주고 결제를 유도한다. 가짜 동영상 코덱이 배포되는 웹사이트는 보통 해킹당한 서버나 악성코드의 배포를 목적으로 한다. 둘째, 사용자가 특정 웹사이트에 접속했을 때 악성코드를 진단하는 것처럼 속이고, 허위 결과를 보여주는 방법이다. 이때 어느 버튼이든 누르면 보안 경고 창이 뜨고, 사용자가 ‘실행’ 또는 ‘저장’을 누르면 가짜 백신이 설치된다.

(4) SQL 인젝션 등 웹 공격 극심
지난해에 이어 올해도 웹 공격이 극심했다. 웹사이트가 해킹되어 악성코드를 유포하거나 경유지로 이용된 수치는 올해 1~11월까지 3분기까지 3,310건으로 전년 동기 2,006건 대비 약 1.7배에 달했다. 특히 SQL 인젝션 기법이 많이 사용됐다. 이 기법은 데이터베이스 서버의 데이터를 손상할 뿐 아니라 웹 서버에 삽입된 스크립트를 통해서 사용자를 악의적인 사이트로 연결시킴으로써 악성코드를 다운로드한다.

(5) 어도비사 응용 프로그램 취약점 공격 극성
MS사 소프트웨어 못지않게 어도비사의 대중적인 응용 프로그램도 공격의 주 목표물이 되었다. 플래쉬 플레이어 프로그램의 취약점을 노린 스파이웨어는 인터넷 첫 페이지를 www.3929.cn으로 바꾸며, PDF 리더 프로그램의 보안 취약점을 악용한 공격은 파일이 오픈될 때 악성 스크립트를 실행해 가짜 백신, 트로이목마 등을 다운로드한다.

(6) MS사 소프트웨어 겨냥한 공격 지속
올해 동안 MS사가 발표한 보안 패치는 총 78건으로 작년 69건에 비해 약 13% 증가했다. 올해 주요 이슈가 되었던 취약점은 MS08-041, MS08-067, MS08-078이었다. MS08-041은 액세스 스냅샷 뷰어 프로그램에서 사용하는 액티브X의 취약점으로, 이 때문에 원격에서 악성코드가 실행되는 문제점이 있다. MS08-067은 악성코드가 원격으로 취약한 컴퓨터를 찾는 데 이용된다. 이를 이용한 악성코드가 11월까지 20여 개 발견됐으며, 이런 악성코드에 감염되면 웹브라우저 속도가 느려지거나, 웹사이트 접속이 안 되기도 하며 컴퓨터가 다운되기도 한다. MS08-078은 공격자가 원하는 임의의 코드를 실행할 수 있는 문제점으로 ‘제로 데이 공격’의 대상이 돼 위험성이 컸다.

(7) ARP 스푸핑의 재등장
2007년 상반기에 확산되어 많은 피해를 준 ARP(Address Resolution Protocol; 주소결정 프로토콜) 스푸핑이 6월부터 다시 발생해 큰 피해를 일으켰다. 이 공격은 같은 IP를 사용하는 모든 컴퓨터를 일시에 공격할 수 있다는 점에서 공격자에게 유리하다. ARP 스푸핑 공격을 당한 PC는 동일 IP 대역폭에 있는 모든 PC의 ARP 값을 변조한다. 이후 정상적인 PC가 인터넷 익스플로러로 웹사이트에 접속할 때, 감염된 PC를 먼저 거친 후 웹사이트에 접속하게 되며, 이때 악성코드를 내려받는다. 실제로 수많은 기업 네트워크가 마비되고, 악성코드의 피해를 입었다.

(8) 개인 정보 유출의 2차 피해 발생
올해는 국내 최대 온라인 쇼핑몰의 사용자 DB 유출 사고를 시작으로 대형 개인 정보 유출 사고가 잇달았다. 또한 국내 유명 포털의 메일 계정과 메신저 또는 쪽지함 등으로 악성코드 링크가 포함된 URL 또는 첨부 파일이 포함된 메일이 대량 발견됐다. 특히 이런 메일은 공공기관을 사칭하고 한글로 돼 있어 사용자가 첨부 파일이나 URL 을 클릭할 확률이 높았다. 또한 메신저의 경우 사용자의 계정을 훔쳐내도록 되어 있어서 훔쳐낸 계정이 다른 목적으로 사용될 위험성도 있다. 실제로 이렇게 유출된 개인 정보는 보이스 피싱, 스팸 메일 발송 등에 이용돼 많은 사용자가 2차 피해를 당하고 있는 것으로 추정된다.

(9) 악성코드의 고도화
올해는 은폐, 코드 가상화, 난독화, 실행 압축 등 자체 보호 기법이 일반화하는 추세를 보였다. 특히 카스부.B(Win32/Kashu.B) 바이러스 변형은 메모리 치료가 선행되지 않으면 재감염되며, 다형성 기법 등을 사용해 진단/치료하기가 매우 까다로웠다. 또한 윈도의 중요 시스템 파일을 패치한 후 악의적인 모듈이 실행되는 라이거(Win32/Liger), CIH 바이러스처럼 파일의 빈 공간에 자신을 기록해 감염 후 파일 사이즈가 증가하지 않는 후크.C(Win32/Huhk.C) 등이 대표적이다.

(10) 사회공학적 속임수의 지능화
사회적 이슈 및 관심사가 포함돼 있는 메일, 신뢰할 만한 사람이 발신인인 것처럼 가장해 특정 조직으로 발송하는 스피어 피싱 메일, 메신저로 지인인 척 가장해 개인 정보를 빼내는 사기 등 다양한 속임수가 등장해 사용자를 노리고 있다.




Posted by 멋나미
안철수연구소에서 오늘 새로운 백신 서비스를 선보였습니다. 바이러스 등 악성코드를 실시간으로 차단하여 치료해 주는 백신의 기능에 충실한 개인용 무료백신 V3 Lite가 그 주인공입니다.

이로써 안철수연구소는 개인용 유료 제품인 V3 Internet Security 2007 Platinum과 고품격 프리미엄 유료 백신 V3 365 클리닉, 무료백신 V3 Lite를 서비스하게 됐습니다. 안철수연구소의 무료백신은 기존 V3 + Neo와  빛자루가 있었는데, 빛자루는 내년 2월에 서비스를 종료하고 모두 V3 Lite로 마이그레이션 될 예정입니다.

V3 Lite는 전용 웹사이트 http://v3lite.com에서 베타서비스를 실시하고 있습니다.

사용자 삽입 이미지


그리고 베타 출시 기념으로 축하 댓글 남기기와 최고의 리뷰어를 찾아라 이벤트를 하고 있습니다. 안철수연구소 2009년 다이어리와 넷북(무쟈게 탐이 난다는), 아이팟터치 등 푸짐한 상품이 주어집니다. 이 이벤트는 12월 15일까지 진행됩니다.

V3 Lite 축하 댓글 남기기


사용자 삽입 이미지


최고의 리뷰어를 찾아라


사용자 삽입 이미지


V3 Lite의 특징은 아직 웹페이지에 공개되어 있지 않아서 심파일에 올려져 있는 내용으로 대체합니다.

주요특징
- 가장 가볍고 빠른 무료백신…‘뉴 프레임 워크’ 적용 :
‘V3 뉴프레임워크(New Framework)’는 급변하는 인터넷 환경 및 고객의 요구 변화를 빠른 시간 안에 효율적으로 대처하기 위해 새롭게 개발된 혁신적 플랫폼입니다. 악성코드 검사 속도가 종전의 약 2배로 빨라졌으며, 메모리 점유율은 절반 이하로 줄어들었습니다.

- 안철수연구소 순수 자체 개발 최신 TS(통합)엔진 탑재 : ‘TS(Total Security) 엔진’은 나날이 지능화, 복합화하는 악성코드와 컴퓨터 환경의 변화에 효과적으로 대응하기 위한 차세대 통합 엔진으로 바이러스, 스파이웨어, 트로이목마 등 모든 악성코드를 한번에 효과적으로 진단/치료해 줄 수 있습니다.

- 실시간 감시를 통한 바이러스, 스파이웨어 등 악성코드 차단 : 바이러스, 스파이웨어, 트로이목마, 웜 등 악성토드의 감염과 실행을 실시간으로 차단하여 PC를 항상 안전하게 보호합니다.

- PC 최적화  : 불필요한 파일, 임시파일을 청소합니다. 그리고, 사용자 메모리, 캐시의 최적화를 통하여 사용 가능한 메모리를 더 많이 확보할 수 있어 인터넷의 속도를 빠르게 개선 할 수 있습니다.

- PC 관리 기능 : 원치않는 ActiveX의 설치 및 차단과 불필요한 응용프로그램, 툴바 등을 삭제할 수 있도록 도와주며, 보안 패치관리를 통해 PC의 보안위협을 최소화할 수 있습니다.

- 24시간 365일 자동 업데이트 : 새롭게 추가되는 신종 바이러스와 스파이웨어 차단 및 치료 엔진을 자동으로 업데이트하므로, 최신 위협에 빠르게 대응할 수 있습니다.

- PC최적화와 악성코드 검사를 한번에 제공하는 ‘One Click’ : 클릭 한번으로 PC최적화와 악성코드 빠른 검사를 동시에 처리하여 보다 쉽고 빠르게 PC 상태를 항상 건강하게 유지합니다.

- [선택설치] 유해사이트를 사전에 차단하는 ‘사이트가드(SiteGuard)’ : 악성코드 유포 사이트나 사기 사이트, 피싱 사이트에 접속을 시도할 경우 사전에 차단하여 개인 정보를 보호하는 신개념 보안 서비스 입니다. 사용자에게 금전적 피해를 주는 허위 쇼핑몰 사이트 등도 접근 차단, 포털 사이트에서 검색 시 1차 검색 결과 화면에 해당 페이지의 안전 여부를 표시해 사용자들이 접속 여부를 판단하도록 도와줍니다.

기존 빛자루보다는 훨씬 가볍고, 빨라졌습니다. 비보안업체들이 제공하고 있는 무료백신보다 책임감 있는 보안업체에서 만드는 V3 Lite가 선전을 해 주길 기대해 봅니다.


Posted by 멋나미
최근 중국의 3929.cn사이트로 고정시키는 악성코드의 피해가 확산되고 있습니다. 변종이 많이 발견되고 있어, 무료백신을 사용하시는 분들은 안철수연구소에서 제공하는 전용백신을 사용하시기 바랍니다.

관련글[안철수연구소 블로그]




* 실행 전 주의 및 참고 사항은 다음과 같습니다.

1. 본 전용백신은 다음과 같은 악성코드만을 진단/치료 합니다.

- Win-Adware/Alexa.110592
- Win-Adware/Cinmus.139115
- Win-Adware/Cinmus.97792
- Win-Dropper/Cinmus.148648
- Win-Dropper/Cinmus.59974
- Dropper/Autorun.172861
- Win-Adware/BHO.Cinmus.49152
- Win-Adware/BHO.Cinmus.86016
- Win-Adware/BHO.IEHpr.53248.F
- Win-Adware/Cinmus.10852
- Win-Adware/Cinmus.136452
- Win-Adware/Cinmus.184320
- Win-Dropper/Cinmus.64629
- Win-Trojan/Agent.122880.EC
- Win-Trojan/Agent.153257
- Win-Trojan/Agent.16261
- Win-Trojan/Agent.363520.P
- Win-Trojan/Agent.45056.WH
- Win-Trojan/Agent.69632.JH
- Win-Trojan/Agent.7682
- Win-Trojan/Agent.94247
- Win-Trojan/Downloader.200704.G
- Win-Trojan/Downloader.217088.D
- Win-Trojan/Downloader.45056.JS
- Win-Trojan/Keylogger.181248
- Win-Trojan/OnlineGameHack.115712.AQ
- Win-Trojan/OnlineGameHack.155330
- Win-Trojan/OnlineGameHack.28672.PJ
- Win-Trojan/OnlineGameHack.32768.HR
- Win-Trojan/OnlineGameHack.59904.U
- Win-Trojan/OnlineGameHack.62464.N
- Win-Trojan/OnlineGameHack.86016.CW
- Win-Trojan/Rootkit.29440
- Win-Trojan/Agent.122880.ED
- Win-Trojan/Cinmus.217088.B
- Win-Trojan/Agent.216064.J
- Dropper/InfoStealer.27648
- Win-Trojan/Cinmus.94208
- Win-Trojan/Cinmus.212992.Q
- Win-Trojan/Cinmus.212992.P
- Win-Trojan/Cinmus.107524
- Win-Trojan/AdAgent.53248
- Win-Trojan/AdAgent.53248.B
- Dropper/OnlineGameHack.15546
- Win-Trojan/OnlineGameHak.16896.CW
- Win-Trojan/Rootkit.3072.J


2. 전용백신 실행 전 작업중인 데이타는 반드시 저장하시고, 전용백신 이외에 다른 응용 프로그램은 반드시 종료하시기 바랍니다. 또한 전용백신의 동작중 다른 응용 프로그램의 실행은 가급적 권장 하지 않습니다.

3. 본 전용백신은 다음과 같은 윈도우 OS (32Bit) 에서만 정상적으로 동작 합니다. 따라서 다음 윈도우들의 64Bit 버전에서는 정상동작 하지 않습니다.

- 윈도우 2000
- 윈도우 XP
- 윈도우 2003
- 윈도우 비스타

4. 전용백신은 반드시 "관리자 권한" 으로 실행 되어야 합니다.

5. 작업이 끝나면 팝업 메뉴에 따라 반드시 시스템을 재부팅 해주신 후 다시 검사를 수행하시기 바랍니다.

다운로드


- 전용백신은 본 악성코드를 진단 / 치료하는 기능만 제공되며 예방하는 기능은 제공되지 않습니다.
Posted by 멋나미
- UCC 통한 악성코드 유포, 블로그 해킹 등 요주의
- 윈도 비스타 취약점 노린 제로 데이 공격, 파밍 첫 등장
- 악성코드 전년 동기 대비 2배 초과, 스파이웨어는 1/3로 감소

국내 최대 정보보안 기업인 안철수연구소(대표 오석주 www.ahnlab.com)는 올해 상반기 보안 동향을 분석해 10대 이슈를 발표했다. 눈여겨볼 만한 특징은 웹2.0 흐름에 맞추어 악성코드 역시 그에 편승해 지능화했다는 점이다. 한편 올해 상반기에 새로 발견된 악성코드는 3,306개로 지난해 상반기 1,531개 대비 2배 이상 급증했다. 이에 반해 스파이웨어는 1,070개로 전년 동기 3,160개에 비해 1/3로 줄었다. (표 1, 2 및 그림 참고) 스파이웨어의 경우 신종 발견 숫자는 줄었지만 UCC를 이용한 스파이웨어 유포 급증, 스파이웨어와 허위 안티스파이웨어 기승 등 위협은 확대되고 있는 상황이다.

사용자 삽입 이미지


1. UCC 이용한 스파이웨어 유포 급증
UCC(User Created Contents)를 이용한 스파이웨어 배포가 증가했다. 동영상 또는 플래쉬(Flash) 파일에 스파이웨어 설치를 유도하는 코드가 삽입되는 경우는 2005년부터 발견됐으나, 올해부터는 공략 대상 UCC가 더 다양해졌다. 특히 동영상을 보기 위한 필수 프로그램이라고 속이거나 미니 홈피 방문자 추적용 프로그램이라고 속이는 UCS(User Created Software)들이 스파이웨어를 설치하는 도구가 되고 있다.

2. 블로그도 해킹 대상으로 부상
다양한 툴이 제공됨에 따라 블로그를 개설 및 운영하기가 수월해져 블로그 수가 급증하고 있다. 그러나 블로그 관리용 아이디, 비밀번호가 쉽거나 여러 군데에 같은 것으로 사용할 경우 아이디, 비밀번호가 유출돼 피해를 당하는 경우가 많다. 특히 보안에 허술한 웹사이트에 개설한 블로그의 경우도 그 웹사이트 서버가 해킹을 당하면 관리자 권한을 잃는 일이 발생한다. 이는 블로그의 내용 변경부터 사생활 침해까지 심각한 문제를 야기할 수 있다. 특히 오랫동안 휴면 상태로 방치된 블로그는 피해를 당하고도 모르는 경우가 많다.

3. 메신저 통한 웜 유포 급증
연초부터 메신저를 통해 유포되는 악성코드가 자주 출현했다. 'Look at this: http://1960.basu????dewa.com/5/496' 등 특정 인터넷 주소를 클릭하도록 유도하는 스트레이션.젠 웜을 필두로 photo album.zip 파일과 photos.zip 파일을 전송하는 셰도봇(ShadoBot) 웜 변종이 잇달아 발견됐다. 해당 인터넷 주소를 보내고, 그 주소를 클릭하면 누가 대화 상대에서 본인을 차단하거나 삭제했는지 알 수 있다며 메신저 ID와 비밀번호를 입력하라고 하는, 광고성 메시지까지 등장했다.

4. 윈도 비스타 취약점 노린 제로 데이 공격 첫 등장
윈도 비스타와 인터넷 익스플로러 7에도 존재하는 ANI(Animated Cursor) 파일의 취약점을 노린 제로 데이 공격이 처음 등장했다. ANI 취약점은 윈도 애니메이션 커서와 아이콘 파일에 존재하며, 이 취약점을 공격하는 코드가 알려지자마자 국내 웹사이트에서 악성코드를 전파하는 데 악용됐다.

5. 파밍 공격 국내 첫 발생
뱅키(Banki) 트로이목마는 국내 최초로 PC에 있는 호스트(hosts) 파일을 변조해 가짜 금융권 웹사이트로 사용자를 유도하는 파밍 공격을 했다. 이로 인해 일부 사용자가 개인 정보는 물론 공인 인증서까지 탈취당했다. 파밍 공격은 피싱 공격보다 사용자가 알아차리기 더욱 어렵다는 점에서 사용자와 해당 기관의 주의가 필요하다.

6. ARP 스푸핑 공격 통한 악성코드 유포 첫 발생
올해 상반기에 ARP(Address Resolution Protocol; 주소결정 프로토콜. IP 주소를 물리적 네트워크 주소로 대응시키기 위해 사용되는 프로토콜) 스푸핑(Spoofing; 위장) 공격을 이용한 악성코드 유포 기법이 처음 나타났다. 과거에 해커는 유명한 웹 서버 자체를 공격해 악성코드 경유지로 활용했다. 그러나 웹 서버 보안이 강화하자, 네트워크의 서브넷(subnetwork. 어떤 기관에 소속된 네트워크이지만 따로 분리된 한 부분으로 볼 수 있는 네트워크. 일반적으로 한 서브넷은 한 지역, 한 빌딩 내에 있는 모든 컴퓨터들을 나타낼 수 있음) 내에 침투해 ARP 위장으로 해당 서브넷 내의 PC들을 감염시키는 기법을 쓰게 된 것이다. 어떤 시스템에 ARP 위장 기능을 가진 악성코드가 설치되면 약간의 조작으로 동일 구역 내의 다른 시스템에 쉽게 악성코드가 설치될 수 있다. 이는 종전과 달리 사용자가 해킹된 웹사이트를 방문하지 않더라도 악성코드에 감염될 수 있다는 것을 의미한다.

7. 백신 제작 방해하는 바이러스 기승
작년에 바이킹(Viking) 바이러스가 국내외에 심각한 피해를 준 데 이어 올해는 델보이(DellBoy), 바이럿(Virut), 알만.C(Alman.C) 바이러스의 변형이 다수 발견돼 심각한 위협을 주었다. 이 바이러스들은 분석 및 백신 제작을 지연시킬 목적으로 자신을 은폐하거나 암호화했다는 점에서 이전보다 더 지능화했다.

8. 온라인 게임 계정 유출 스파이웨어 강세
2006년 하반기부터 증가하기 시작한 온라인 게임 계정 유출 스파이웨어의 피해는 최근까지 이어지고 있으며, 2007년 1월에 최고조에 달했다. 중국발 해킹에 의해 보안에 취약한 웹사이트가 변조되고, 여기에 악성코드가 삽입되면, 취약점 패치를 하지 않은 인터넷 익스플로러 사용자가 해당 웹사이트에 방문하는 것만으로 쉽게 감염된다. 일부 변형은 네트워크로 전파되어 여러 사용자에게 피해를 주었다.

9. 스파이웨어 및 허위 안티스파이웨어 기승
스파이웨어 제작사와, 이를 배포하는 업자 간 제휴가 증가함에 따라 스파이웨어 및 허위 안티파이웨어가 여전히 기승을 부렸다. 이것들은 광고, 유료 사용자 확보 및 설치 배당금 등의 금전적인 이익을 목적으로 한다. 무차별적으로 배포되는 스파이웨어나 허위 안티스파이웨어는 악성코드에 감염된 채로 배포되거나 악성코드 감염의 매개체가 되는 경우가 적지 않다.

10. 윈도 애플리케이션 취약점 위협 증가
올해 상반기에 발표된 MS 윈도 관련 애플리케이션 취약점은 총 26개로 전년 동기(19개) 대비 26.3% 증가했다. 특히 인터넷 익스플로러와 오피스의 취약점이 절반을 차지했다. 애플리케이션 취약점은 웹사이트 해킹 후 악성코드를 배포하거나 악성코드가 포함된 문서 파일 등을 메일로 유포하는 데 이용된다. 또한 국내 인터넷 사이트에서 많이 사용되는 액티브X 애플리케이션의 취약점도 속속 발견되고 있다. 수상한 발신인이 보낸, 문서 파일이 포함된 메일을 유의해서 읽어야 하며, 매월 발표되는 보안 패치를 반드시 적용해야 안전하다.

안철수연구소 강은성 상무는 "웹2.0의 개방, 공유, 참여의 철학은 보안 대책이 뒷받침될 때 빛을 발할 수 있다. 기술의 발전은 일반 사용자는 물론 악성코드 제작자에게도 기회이므로 항상 보안 측면을 동시에 고려해야 한다."라며 "안전을 위해서는 보안 패치 적용을 비롯해 V3, 빛자루 등 통합 보안 제품의 실시간 감시 및 업데이트 등 기본적인 수칙을 습관화하는 것이 필수이다."라고 강조했다.<Ahn>

사용자 삽입 이미지
Posted by 멋나미
[출처] 안철수연구소 ASEC

스파이웨어를 보다 효과적으로 사용자 컴퓨터에 설치하기 위해 다양한 방법들이 등장하고 있다. 과거에는 기술적인 측면에서 여러 가지 방법이 시도 되었다면, 최근에는 UCC(User Created Contents)의 등장으로 인해 사회적 공학 기법이 자주 사용되고 있다.
국내의 경우 최근 이슈가 된 사건의 동영상 UCC인 것처럼 가장해서 블로그(Blog)에 등록하고 국내의 대표적인 검색 사이트 등에 등록되게 한 후, 이를 검색해서 찾아온 사용자를 대상으로 해당 동영상을 보려면 해당 페이지에서 제공하는 ActiveX 컨트롤을 설치 해야 한다는 허위 안내 문구를 보여주고 설치를 유도하는 방식이 주로 발견되고 있다.


[그림 2-1] 국내 동영상 UCC를 가장한 스파이웨어 배포 사이트

실제 예를 들어 살펴보면 [그림 2-1]에서 보는 바와 같이 분명 일반적인 블로그 형태를 띄고 있다. 하지만 [그림 2-1]의 HTML 원본([그림 2-2])을 살펴보면, 해당 사이트가 하나의 그림 파일로 이루어져 있으며, 다수의 스파이웨어를 ActiveX로 설치하는 코드가 삽입되어 있는 것을 확인할 수 있다.


[그림 2-2] 허위 동영상 UCC 배포 사이트의 HTML 원본

따라서 사용자는 동영상을 보기 위해 해당 사이트에서 설치를 유도하는 ActiveX 컨트롤을 설치하는 순간 원하지도 않은 다수의 스파이웨어를 설치하게 된다. 만약 사용자의 Internet Explorer의 보안 설정에서 모든 ActiveX를 사용자 동의 없이도 설치 가능하도록 설정되어 있는 경우는 해당 사이트를 방문하는 것 만으로도 스파이웨어의 설치가 이루어진다.
국외의 경우도 국내외 마찬가지로 이런 사례가 자주 발견되고 있다. 실제 사례를 살펴보면 [그림 2-3]과 같이 동영상을 음악만 나오게 인코딩(encording) 한 후 이를 보기 위해서는 특정 사이트에서 제공하는 코덱(codec) 을 설치해야 한다는 허위 안내 문구를 보여주고 사이트 방문 및 설치를 유도한다.


[그림 2-3] 해외 동영상 UCC를 가장한 스파이웨어 설치 유도 사이트

[그림 2-3]의 사이트를 통해 허위 코덱 프로그램을 다운로드 받아 실행하면 [그림 2-4]와 같이 정상적인 프로그램과 동일한 설치 화면을 볼 수 있다.


[그림 2-4] 허위 코덱 프로그램 설치시 약관 화면

하지만 이 프로그램은 코덱과는 전혀 상관 없는 다수의 스파이웨어 및 허위 안티 스파이웨어(Rogue Anti Spyware)를 사용자 동의 없이 설치하는 프로그램이다. 이렇게 설치된 스파이웨어는 [그림 2-5]와 같이 허위 보안 경고 창과 풍선 도움말을 지속적으로 보여주고, 허위 안티 스파이웨어 프로그램을 통한 결재 및 치료를 유도한다.


[그림 2-5] 허위 보안 안내문을 보여주는 스파이웨어

따라서 이런 피해를 입지 않기 위해서는 UCC 등을 볼 때 사용자의 각별한 주의가 필요하다.

▶ 보안 취약점을 사용한 국내 애드웨어 배포
보안 취약점을 사용해 스파이웨어를 배포하는 방법은 주로 외국에서 이루어졌다. 하지만 최근 국내 애드웨어도 이러한 기법을 사용하는 사례가 발견 되었다. 특히 이번은 최초인 동시에 MS06-014 취약점 코드를 ASCII 취약점을 이용하여 문자를 암호화 시켜 보안 제품의 진단 회피 기법을 적용한 것이 특징이다. 이 경우 사용자는 MS06-014 취약점에 대한 보안 패치가 적용되어 있지 않으면 특정 사이트를 방문하는 것 만으로도 애드웨어가 사용자의 동의 없이 설치되는 문제를 가져온다. 사용자가 어떠한 불편함을 겪든 상관 없이 돈만 벌면 된다는 모 업체의 그릇된 생각으로 인해 다수의 사용자들이 큰 피해를 입었다. 이런 피해를 예방 하기 위해서는 일반 사용자는 윈도우 보안 패치가 발표되면 즉시 업데이트를 적용해야 하며, 업체는 자사의 이익이 아닌 고객의 입장을 먼저 생각해야 한다.

Posted by 멋나미
UCC, 악성코드 유통도구 우려
디지털타임스 이홍석 기자 2007. 4.10
KISA 등 정보보호기관ㆍ업체 심각성 잇단 지적
보안패치ㆍ최신 백신 설치 등 철저한 대비 필요

최근 정보보호 기관 및 업체들이 사용자제작컨텐츠(UCC)가 새로운 악성코드 전파 수단으로 부각될 것으로 전망하고 나서 이에 대한 철저한 대비가 필요할 것으로 보인다.

한국정보보호진흥원(KISA)은 최근 발간한 `인터넷 침해사고 동향 및 분석월보` 의 월간 특집기사 `UCC 현황과 향후 보안위협' 을 통해 예상되는 UCC 해킹공격의 유형과 이에 대한 예방법에 대해 소개했다.

◇UCC 공유 트렌드를 교묘히 악용=KISA은 사용자들이 직접 제작한 동영상 및 이미지를 인터넷 상에서 공유하는 사례가 많아지고 있으며 이러한 UCC를 서비스 형태로 제공하는 사이트들도 매년 증가하고 있다면서 이에 따라 보안위협도 증가하고 있다고 설명했다. UCC가 누구라도 제작하여 배포할 수 있는데다 인터넷을 통해 다수의 이용자들에게 신속히 공유될 수 있다는 점에서 악성코드 삽입을 통한 공격이 쉽게 이뤄질 수 있는 위험성이 크다는 것이다. 특히 UCC의 대표 콘텐츠로 많이 공유되는 동영상ㆍ이미지ㆍ플래시 파일 등이 주요한 공격수단으로 악용될 것으로 KISA측은 전망했다.

KISA은 UCC를 악용한 공격 유형으로 △동영상에 URL스크립트를 삽입하는 기법, △동영상 플레이어 및 이미지 처리 취약점을 악용하는 기법, △플래시 액션스크립트 기능을 악용하는 기법 등을 소개했다. 특히 악성코드를 숨긴 사이트를 제작한 뒤 UCC를 통해 해당사이트로 접속을 유도하는 형태의 공격이 가장 많을 것으로 내다봤다.

최근에는 정보보호업계 전체가 UCC를 통한 악성코드 전파의 위험성에 대해 경고하고 있다. 국가정보원 국가사이버안전센터(NCSC)는 지난달 말 열린 사이버안전의 날 행사에서 UCC사이트에 악성코드를 심은 동영상 파일을 게시, 해당 동영상을 다운로드받은 사용자들의 PC에 침입, 기밀정보를 빼내 물리적 테러에 악용하는 원격제어 해킹을 시연했다. 또 안철수연구소와 뉴테크웨이브 등 정보보호업체들도 보고서를 통해 UCC가 악성코드 유통도구로 악용될 수 있다는 점을 지적하고 나섰다.

◇미디어 소프트웨어에 대한 낮은 패치율이 문제 키워=KISA와 NCSC측은 아직까지 국내에서 UCC를 악용한 공격이 보고된 사례는 없지만 해외에서는 악의적인 URL이 삽입돼 있는 동영상이 소셜네트워킹서비스 사이트 `마이스페이스' 와 동영상 사이트 `유튜브' 등을 통해 유포되는 피해가 발생하고 있는 만큼 국내라고 해서 더 이상 안전지대가 될 수 없다고 강조하고 있다.

KISA 인터넷침해사고대응지원센터 심원태 분석대응팀장은 "이미지나 동영상을 통한 악성코드 전파 기법 자체가 새로운 것은 아니지만 문제는 사용자 참여와 개방성을 강조하는 UCC의 속성" 이라면서 "해커들이 사용자들의 호기심을 유발할 수 있는 사회적 이슈나 콘텐츠를 악용해 공격할 경우 이에 대한 보안 위협은 예상보다 클 수 있다"고 지적했다.

KISA은 일반 사용자들이 미디어 소프트웨어들의 패치 적용 필요성에 대한 인식이 매우 낮다면서 UCC에 의한 해킹 피해 발생을 사전에 예방하기 위해 △운영체제(OS)ㆍ웹 브라우저ㆍ미디어플레이어 등의 최신 버전 및 패치 적용, △최신 백신제품 설치 및 실시간 감시 활성화, △신뢰성 없는 파일 열어보지 말 것 등을 당부했다.

이홍석기자 redstone@
Posted by 멋나미