반응형

▶ 보안 관련 정보 및 팁 58

[주의] Virus.Win32.Induc.a 악성코드

현재 델파이로 개발된 프로그램에서 악성 코드가 심겨진 상태로 배포가 되고 있어 주의가 필요합니다. 자세한 상황은 아래의 링크들과 트랙백을 참고 바랍니다. http://cafe.naver.com/malzero/41273 http://viruslab.tistory.com/1010 http://viruslab.tistory.com/1013 국내 유명한 대기업들의 배포 프로그램에서도 다수 해당 악성코드에 감염된 사례가 보이고 있습니다. 특히, 감염된 프로그램들이 심파일 등 여러 다운로드 또는 웹하드 서비스에 의해서 배포되고 있기 때문에 일괄적으로 배포를 차단하기가 어려운 실정입니다. 사용하시는 보안 제품에서 'Induc' 이라는 진단명이 나오면, 유명 제품이기에 오진으로 여기지 마시고 반드시 치료 또는 격리 ..

현재의 HIPS 기능들의 한계점

 ▶ 관련글 - Outpost Firewall Free 2009 리뷰 (3-1) - Host Protection (HIPS 기능 설명) - Outpost Firewall Free 2009 리뷰 (3-2) - Host Protection (팝업창 및 자기 보호)  저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고, 이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다. HIPS는 Host Intrusion Prevention System의 약자로 사용자 시스템에서 일어나는 모든 행동 중 일부 보안상 중요한 행동을 탐지/관리하여 악성코드의 시스템 침입을 차단하는 기능입니다. 현재까지는 주로 방화벽 제품에 포함되어 있어서, 방화벽 제품에 포함된 기능만을..

에프시큐어 온라인 스캐너 4.1 버전으로 업그레이드

▶ 관련글 - 2009/03/30 - 무료 악성코드 검사 도구 모음  이제 곧 있으면 에프시큐어의 설치형 제품은 2010 버전이 공식적으로 출시됩니다. 그런데 설치형 제품이 출시되기 전에 먼저 온라인 스캐너가 최신 엔진을 탑재해서 새롭게 서비스되기 시작되었습니다. 개인적으로 온라인 스캐너를 사용할 때 자주 사용하는 것이 에프시큐어의 스캐너입니다. 에프시큐어의 온라인 스캐너는 에프시큐어 설치형 제품의 루트킷 진단 엔진인 블랙라이트를 비롯한 모든 시그니처 엔진의 최신 버전이 사용되고, 치료 기능을 지원되며 IE와 파이어폭스 등 다양한 브라우저에서 사용이 가능하다는 점등 장점이 많습니다. 새로운 온라인 스캐너의 버전은 4.1인데 이는 에프시큐어 2010 버전을 기반으로 합니다. 2010버전의 가장 큰 변화는..

'Top of Page' 버튼 위젯을 다신 특정 분들은 잠시 위젯을 내리세요. <상황 종료>

오늘 여러 블로그의 글들을 살펴보다가 재밌는 그림을 보게되었습니다. 설마 티스토리가 해킹당한 것은 아닌가 하는 마음에 이것저것 조사를 해보니 티스토리의 해킹은 아니었습니다. 외국의 몇몇 블로그에서도 동일한 문제가 일어났는데 위 그림은 아래의 이미지 링크에서 나타납니다. http://img119.imageshack.us/img119/8589/arrowupcx2.gif 살펴보니 해당 이미지 링크는 일부 'Top of Page' 기능을 하는 위젯의 그림 파일이었습니다. 위젯은 이 widgetsforfree 란 곳에서 제작되어 배포하는 것 같은데, 사용하는 이미지를 ImageShack에서 받아오는 것 같습니다. 제가 보기에는 ImageShack가 해킹을 당해서 일부 그림 파일들이 위 그림으로 변경된 듯 합니다..

보안 업체에서 앨범도? 신나는 노드송~

▶ 관련글 - 노드의 멋진 광고들 : 처리님 블로그 하드를 정리하다가 우연히 The Nod Song.mp3 라는 음악 파일을 보게되었습니다. 오래된 파일인데 아마 바제2에 가입한 초기에 받았던 것으로 기억합니다. mp3 제목의 NOD는 가벼움과 강력한 휴리스틱으로 유명한 ESET 제품의 NOD를 의미합니다. ESET 업체의 정식 팀인지 단순히 소규모 모임인지는 모르겠지만 Eset의 직원들이 모여 만든 그룹에서 제작한 노래입니다. 정확하게는 개발자 중 한명인 Nigel Cook라는 사람이 작사 작곡한 곡이라더군요. 오랜만에 들으니 은근히 신나네요. ^^;; (오타쿠 같아 ㅠ-ㅠ) 출처 : http://www.eset.com/company/fun_stuff.php - 정식 ESET 홈페이지 이게 노드송입니..

네이버의 메일 첨부 파일 검사 기능

이미 오래전부터 네이버나 다음 등의 웹메일은 첨부파일 등의 악성여부를 판단하는 웹메일관련 보안 제품을 서비스하고 있습니다. 물론 사용자들 PC에 설치되는 방식이 아니라 각 포털 사이트들이 운영하 는 메일 서버에서 바로 검사하는 방식을 갖고 있습니다. 제가 갖고 있는 샘플들이 거의 최근에 유포된 것이거나 비번을 건 압축 상태로 메일을 사용해서 한번도 메일 서버 제품에 진단된 적이 없었는데 오늘 실수로 비번을 걸지 않은 상태로 메일을 보냈다가 메일 서버 제품이 진단하는 것을 발견하였습니다. 위의 그림에서 보시다싶이 시만텍의 제품을 사용하고 있었습니다. 다운로드시에 진단된 첨부파일에 2 가지 처리 방식을 제공하는데 악성 유무와 상관없이 원본파일을 저장할 수 있는 '원본파일 저장'과 압축파일 내부의 악성코드를..

보안 제품의 선택과 Matousec의 방화벽 테스트에 대한 개인적인 생각

보안 전문가는 아니지만 보안 제품의 선택과 Matousec 테스트에 대해서 의견을 내보고자 합니다. 최근에 방화벽 관련 테스트는 Matousec에서 주관하는 테스트가 많이 참고되는 듯 합니다. 테스트의 세부적인 항목은 상당히 깊은 수준을 요하기 때문에 자세히는 모릅니다만 Matousec에서 실시하는 테스트 항목 대부분은 아웃바운드 연결 제어에 관련된 성능을 테스트하는 것으로서 HIPS라 불리는 호스트 기반 침입방지 기술의 성능에 따라 각 제품들의 방화벽 성능이 결정되는 것으로 보입니다. Matousec 홈페이지 : http://www.matousec.com/ Matousec 테스트 결과 페이지 : http://www.matousec.com/projects/firewall-challenge/results..

카스퍼스키의 암호로 보호된 압축파일 내부 파일 진단하기

이미 아는 분들도 있으리라 생각됩니다만 오늘 제가 발견한 건 제목에 나와있듯이 암호가 걸려있는 압축파일 내부의 악성코드를 진단하는 기능입니다. 과거 베이글 같은 악성코드가 암호화 압축된 상태에서 일부 제품이 의심진단하는 건 봤습니다만 이런 경우는 저는 처음 봤습니다. 해당 진단명은 Password-protected-exe 로 암호로 보호된 실행파일에 대한 진단 기능으로 보입니다. 제가 샘플의 수가 매우 적은 관계로 잘못알고 있을 수 있지만 모든 exe파일에 대해 진단하는 건 아니었습니다. 아마 파일 자체가 악성요소를 지닌 exe 파일 포맷의 악성코드만을 잡는 것 같습니다. 물론 악성코드로 진단하는 파일 중 exe 파일이 아니면 암호를 걸은 압축을 하면 해당진단은 이루어지지 않습니다. 일반적으로 암호가 걸..

반응형