'바이러스'에 해당되는 글 2건

  1. 2009.01.04 컴퓨터 백신의 미래
  2. 2007.02.25 바이러스 이메일, 어떻게 가려낼까

보안뉴스에서 백신의 미래 라는 기사를 보았습니다.

기사원문 보기 :  http://www.boannews.com/media/view.asp?idx=13465&kind=1

안철수연구소에 근무하고 있는 두분의 칼럼인데요, 늘어만 가고 있는 악성코드 샘플을 효과적으로 처리하고, 엔진의 진단율을 높이기 위해앞으로 가상화 기술에서 방법을 찾고 있다고 합니다.

더군다나 안랩에서 Light-weight Virtualized Environment 기술로 외국 백신들이 진단율을 높이기 위해 휴리스틱이니 제너릭 등의 기법을 사용하고 있는데, 안랩에서도  자체 개발한 기술을 테스트하고 있다고 하니 기대가 됩니다.

아래는 칼럼의 내용 중 일부를 발췌한 글입니다.

안티바이러스 분야에서 현재 가장 많이 적용된 가상화 기술은 에뮬레이티드 머신(Emulated Machine) 또는 샌드박스 머신(Sandbox Machine)을 이용한 악성코드 분석 기법이다. 이것들은 각각 나름의 가상화 방법을 가지고 구현되어 있다. 또한 이를 통한 자동 분석 시스템 또한 각광을 받고 있다. 엄청나게 폭주하고 있는 악성코드 샘플을 효과적으로 처리하고 늘어만 가는 악성코드를 효과적으로 처리하기 위해 가상화 기술에서 방법을 찾고 있다.

현재 안철수연구소는 악성코드 샘플 처리 자동화 시스템에 Light-weight Virtualized Environment 기술을 적용하고 있다. 이 기술은 엔진의 진단율을 높이는 데도 적용하고 있다. 또한 제너릭 디텍션(Generic Detection), 휴리스틱 디텍션(Heuristic Detection), 프로액티브 프리벤션(Proactive Prevention) 등의 기법을 테스트하고 있다. 이런 기술로 악성코드에 더 효과적으로 대응할 수 있으며 더 많은 악성코드를 차단할 수 있다.

Posted by 멋나미
바이러스 이메일, 어떻게 가려낼까

바이러스 메일은 수신자가 열어 보도록 고도의 심리전을 펼칩니다.

친근한 말투와 문장으로써 수신자가 요청했던 자료인 것처럼 속인다던가, 사행성을 조장하는 문구로 첨부파일을 클릭하게끔 유도하는 것이 대부분입니다.

하지만, 이러함 웜의 제작자가 외국인인 경우가 대부분이라서 이러한 메일들은 대부분 제목과 내용이 영어로 되어 있습니다.

우리나라 사람들의 경우 아름다운 한글이 있어서 영어나 외국어로 되어있는 메일에 잘 현혹되지 않으므로 외국보다는 메일로 바이러스에 감염되는 경우가 적습니다.

우리의 불쌍한 순진해 군, 아래와 같은 이메일을 받았습니다.

보낸 사람 : "Microsoft"
제목 : Use this patch immediately !
본문 :
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
첨부파일 : patch.exe


아! 이건 영락없는 마이크로 소프트사에서 보내온 메일이며, 첨부되어 있는 패치를 설치하지 않으면 큰일난다고 위협하고 있습니다.

나름대로 영어공부 열심히 한 순진해 군, 빨리 패치를 설치해야겠다는 생각에 첨부파일을 열어본 순간, 백신프로그램에서
Win32/Dumaru.worm에 감염된 파일이라는 경고메세지가 나옵니다.

만약 순진해 군이 평소에 백신 프로그램 엔진업데이트를 생활화하지 않았더라면, 큰 낭패를 보았을 것입니다.

만약 저러한 내용의 메일이 한글로 온다면 안열어 볼 사람이 별로 없을 것입니다. 우리에게 한글이 얼마나 소중한지 새삼 느끼게 됩니다.

이런 이메일을 받은 사람들은 대부분 "뭔 소리야~"하고 삭제해버릴 것입니다. 네, 부디 삭제하시기 바랍니다.

바이러스 메일의 제목은 주로 hi, hello, Your details, Thank you!, remember me? 같은 쉽고 친근한 제목입니다.

또한 발신인도 support@microsoft.com 같은 신뢰할 만한 발신인 혹은 친근한 사람 메일 주소일 수 있습니다.



[바이러스 메일]

외국에 특별히 아는 사람이 없는 일반적인(?) 한국인이라면, 외국어로 되어 있는 메일에 pif, scr, exe 같은 형식의 실행가능한 파일이 첨부되어 있는 경우, 과감하게 삭제하는 것이 좋습니다.


바이러스 메일의 구분법

① 대부분 영문 이메일이다
② microsoft와 같은 신뢰할 만한 곳이 발신인으로 되어 있다.
③ hi, hello 등과 같은 친근한 제목을 사용한다.
④ 정체모를 실행 파일이 첨부되어 있다.
MyV3SpyZero


Posted by 멋나미