안티 바이러스와 같은 보안 제품이 아니지만 정확히는 보안 제품인 척하면서 컴퓨터를 망가뜨리거나 돈을 내야만 정상적으로 동작하게 하는 프로그램을 보통 허위 보안 프로그램(Rogue Security Program)이라고 합니다.

가장 대표적인 예로는 Antivirus 2009가 있으며, 최근에는 맥 운영체제에서 동작하는 가짜 보안 제품이 인터넷 상에서 유포되고 있다고 합니다.

외국 보안 회사로 알려져 있는 선벨트(Sunbelt) 사의 알렉스 에켈베리에 따르면 '맥가드(MacGuard)'라고 하는 제품을 광고하는 웹사이트를 발견했다고 합니다.

http://www.macguard.net

이 제품은 OS X 운영체제에서 사용할 수 있으며 안티바이러스 뿐만 아니라 스파이웨어 기능도 제공하며 애드웨어와 피싱 공격도 차단할 수 있다고 되어 있습니다.

아직까지 이 사이트에서 다운로드받을 수 있는 링크는 나타나지만 실제로는 다운로드할 수 없습니다.


이 사이트들의 배경에는 'Antivirus XP 2008'과 'XP Antivirus'를 배포하는 집단이 있을 것으로 믿어지고 있습니다. 이 두 프로그램은 허위 윈도우 보안 프로그램으로 사용자에게는 최악의 피해를 입히고 있으며, 최근에는 V3를 비롯한 다양한 안티바이러스에서 이를 진단하는 추세를 보이고 있습니다.

만약 MacGuard 프로그램이 정말 가짜 보안 프로그램으로 밝혀진다면 이는 맥 운영체제에서 출현하는 악성 프로그램으로 또다른 전기를 맞게 될 수도 있습니다.

맥아피 사는 자사에서 판매하고 있는 보안 제품을 손쉽게 제거할 수 있는 도구를 제공합니다.

이 번에는 토탈 프로텍션과 같은 새로운 제품까지 총 망라하는 설치 제거 전문 프로그램 MCPR(McAfee Consumer Products Removal tool)을 출시합니다.

다음과 같은 제품을 삭제할 수 있습니다.

• 토탈 프로텍션
• 인터넷 시큐리티 슈트
• PC 프로텍션 플러스
• 바이러스스캔 플러스
• 와이어리스 프로텍션
• 안티스파이웨어
• 데이터 백업
• 퍼스널 파이어월
• 프라이버시 서비스
• 퀵 클린
• 시큐리티 센터
• 사이트 어드바이저
• 안티-스팸
• 스팸 킬러
• 바이러스 스캔

  이 도구는 윈도우 2000, XP, 비스타에서 사용할 수 있으며, 윈도우 98/ME에서는 사용할 수 없습니다.

  다운로드 링크: http://download.mcafee.com/products/licensed/cust_support_patches/MCPR.exe

  제품 설명 동영상: http://service.mcafee.com/faq/flash/107083-Flash_How_do_I_uninstall_using_MCPR.htm

  관련 자료 링크: http://service.mcafee.com/FAQDocument.aspx?id=107083&lc=1033

  감사합니다.

일반적으로 맥 OS는 매우 안전하다고 소문나 있으며, 특히 바이러스와 같은 악성 프로그램에 강하다고 알려져 있다. 하지만, 최근에는 맥 OS가 아닌 응용 프로그램을 이용하여 공격하는 행태가 소개되어 논란이 된 적이 있다.

최근 매킨토시 컴퓨터의 보안 소프트웨어를 개발하는 SecureMac 社의 전문가는 MAC OS X 10.4(일명 타이거)와 10.5(일명 레오파드)에서 활동이 가능한 트로이목마를 발견했다고 한다.

이 트로이 목마는 애플 원격 데스크탑 에이전트(Apple Remote Desktop Agent, ARDAgent)의 보안 취약점을 이용하는 것으로 공격이 성공하게 되면 매킨토시에서 직접 명령어를 내린 것과 마찬가지로 다양한 명령을 전송할 수 있게 된다. 따라서, 크래커가 매킨토시를 장악하게 되면 사용자의 사진 파일을 누출하거나, 모든 파일을 삭제하거나, 심지어 비밀번호까지도 바꿀 수 있게 된다.

SecureMac은 이 취약점을 "매우 심각하다고" 분류하고 있으며 가급적 방화벽의 포트를 열거나 시스템 로그 기록을 사용하지 않는지 조심스럽게 다뤄야 한다고 밝혔다.

다행히도 매킨토시 사용자는 바이러스를 포함하고 있는 프로그램을 다운로드하여 실행하는 경우에만 감염이 된다고 하니 파일을 다운로드할 때 한번 더 조심할 필요가 있다.

악성 프로그램은 AppleScript 또는 번들 프로그램을 이용하여 컴파일하여 실행파일로 만든 것으로, ScureMac의 Nicholas Raba에 따르면 트로이 목마는 원격 데스크탑을 이용하므로 매킨토시 환경에서 이 부분을 사용하지 않게 ARDAgent를 중지시키거나 파일을 아예 제거하는 것이 좋다고 한다.

SecureMac과 Intego Security는 이미 자사의 안티 바이러스 소프트웨어에 이 새로운 트로이 목마를 진단하여 처리할 수 있는 업데이트를 제공하고 있다.

AppleScript.THT 트로이 목마 정보: http://www.securemac.com/applescript-tht-trojan-horse.php

가면 갈수록 치열해지는 데스크탑 보안 시장에서는 이제 엔드포인트라고 하는 다각적인 보안 시스템을 제공하는 형태로까지 발전하고 있다. 바이러스와 같은 악성 프로그램의 예방, 진단 및 치료뿐만 아니라 안티 스파이웨어, 호스트 침입 방지, 네트워크 액세스 제어까지 회사 네트워크에서 필요로 하는 보안 기능을 충분히 충족시키고 있는데, 이러한 제품으로는 마이크로소프트의 포어프론트 제품군이 단연 돋보인다.  

시만텍에서는 엔드포인트 매니지먼트 슈트(Endpoint Management Suite) 제품군을 출시하면서 기본 기능에 충실하면서 디스크 암호화와 외장형 미디어의 보안 등 데이터를 보다 안전하게 보호하는 기술을 추가하였다.

또한, 회사 입장에서는 모든 보안 솔루션을 통합적인 관리 체계로 구축하길 원하고 있다.

시만텍 엔드포인트 관리 슈트 1.0 제품에서는 특히 다음과 같은 기능이 추가되었다.

• Altiris Client Management Suite 6
• Symantec Endpoint Protection 11
• Backup Exec Ssystem Recovery 8 Desktop Edition

  엔드포인트 링크: http://www.symantec.com/business/products/family.jsp?familyid=endpointsecurity

올해 개최되는 중국 베이징 올림픽을 주제로 하는 새로운 스톰 웜이 전파되고 있다고 전했다.

스톰 웜은 지진의 여파로 인해 베이징 올림픽이 취소되거나 연기될 수 있다는 뉴스를 다룬 이메일을 이용하고 있다.

이메일 본문에는 이러한 추측을 가능케하는 정보를 담고 있다고 알려 주고 있으며, 실제로는 트로이 목마를 포함하고 있는 beijing.exe를 다운로드하게 된다.

보안 기업인 시만텍의 Vikram Tharku는 이메일에 포함된 링크를 클릭하지 말라고 충고하고 있다. Peacomm [Storm] 작성자는 중국에서 벌어지는 행사를 미끼로 이용하여 사용자들을 유혹하고 있다.

또한, 미국 컴퓨터 응급 팀(USERT)에서도 이러한 공격에 대해 경고했으며, 감지하기 전에 이미 전세계적으로 널리 전파되어 피싱 공격에 이용되고 있다고 밝혔다.

스톰 웜은 감염되기 쉬운 악성 프로그램 중의 하나로 악명이 널리 알려져 있다.

지난 6월 10일 경에 발표된 마이크로소프트 월간 정기 업데이트에서 발표한 항목 중에 블루투스에 관련된 업데이트가 포함되어 있었는데 이 패치가 올바르게 동작하지 않는다는 사실을 발표했다.

이번 달에 발표한 패치는 7개로, 10가지의 윈도우 및 기타 윈도우 관련 소프트웨어의 버그를 수정한다. 그 중 MS08-030 패치는 윈도우 비스타, XP에 적용되는 것으로 윈도우에 구현된 블루투스의 보안 취약점을 해결한다.

이 업데이트는 매우 심각한(critical) 위험도를 가진 3개 중 하나로 확인되었다.

윈도우 비스타와 윈도우 XP 64비트 제품에서는 취약점을 정상적으로 해결하고 있지만, 윈도우 XP의 32비트 버전 중 SP2와  SP3에서는 제대로 해결하지 못하고 있다.

마이크로소프트 보안 대응팀(MS Resonse Center)에서는 이러한 문제점에 대해 조사를 시작했으며 두가지 부분에 대한 사람의 실수가 있는 것으로 나타난다고 언급하였으며 이러한 문제점을 해결한 이후에는 재발하지 않도록 좀더 시스템을 체계화하겠다고 밝혔다.

마이크로소프트는 MS08-030 업데이트의 수정된 버전을 제공하고 있으며, WSUS 등을 통해서 새로운 패치를 업데이트할 수 있다.

최근 컴퓨터의 파일을 암호화하여 금품을 요구하는 바이러스인 블랙 메일러에 대해 소개해 드린 적이 있습니다.

참고자료: http://moonslab.com/644

안티바이러스 벤더인 카스퍼스키 랩은 이 바이러스를 Gpcode.ak라고 명명하고 있으며, 감염시 파일을 암호화하여 피해를 입는 경우 이를 해결하기 위한 방안의 일환으로 암호 방식을 깨기 위해 노력하고 있습니다.

이러한 노력 이외에 감염되는 행동 방식을 분석한 결과 다음과 같이 암호화하기 이전의 파일을 복구할 수 있는 방안을 소개하고 있습니다.

Gpcode.ak 바이러스는 원본 파일을 강력한 1024비트로 암호화하고 나서 원래의 파일을 삭제합니다. 하지만, 새로운 암호화 파일을 생성할 때에 원래의 파일의 사본을 이용하여 만들기 때문에 원본을 복구할 수 있는 가능성이 높습니다.

컴퓨터를 잘 아는 분들은 파일을 삭제하더라도 실제 파일의 내용을 삭제하는 것이 아니라 FAT과 같은 파일의 저장 위치를 기록하는 데이터베이스에서만 삭제된다는 사실을 잘 아실 것입니다.

삭제한 파일을 복구하는 프로그램은 다양하지만, 카스퍼스키 랩에서 추천하는 프로그램은 PhotoRec 입니다. 이 프로그램은 무료로 제공되는 프로그램으로, 사용자가 원하는 경우 개발자에게 일정한 금액을 보상할 수 있는 방식입니다.

또한, ERD Commander나 Final Data Enterprise와 같은 전문적인 파일 복구 프로그램을 이용하는 것도 고려할 만 합니다.

하지만, 컴퓨터를 재부팅하거나 너무나 많은 파일이 암호화하여 변조되거나, 변조된 시점이 너무 오래된 경우는 복구하더라도 정상적으로 복구되지 않을 가능성이 있다는 점을 주목해야 합니다.

카스퍼스키 자료: http://kasperskylab.co.kr/board/bbs/board.php?bo_table=News&wr_id=192&page=&nca=

윈도우 XP의 새로운 서비스팩인 SP3가 출시되면서 다양한 문제점, 호환성에 대한 다양한 뉴스가 나오고 있습니다. 지난 번에는 시만텍의 보안 제품에서 쓰레기 레지스트리가 생성되는 소식을 알려 드린 적이 있습니다. 아래 링크를 참고하세요.

http://www.moonslab.com/640

지난 6월 6일, 시만텍은 자사의 보안 소프트웨어를 설치한 컴퓨터를 윈도우 XP SP3 또는 비스타 SP1으로 업그레이드한 이후에 발생하는 레지스트리 문제점을 해결하는 무료 프로그램을 출시하였습니다.

이 프로그램의 이름은 SymRegFix 이며, 서비스팩을 업그레이드한 이후에 장치 관리자에 아무것도 안보이는 문제, 네트워크 연결이 삭제되는 문제, 쓸데없은 수백 수천 개의 레지스트리 항목이 생성되는 문제가 보고되어 있습니다.

이 도구는 아래 링크에서 다운로드하여 사용할 수 있습니다.

http://solutions.symantec.com/sdccommon/asp/symcu_defcontent_view.asp?ssfromlink=true&sprt_cid=b32555cd-1b26-4041-abac-882faf8d365f&docid=20080530144453EN

목차

1. 개요
2. 설치
3. LDAP 구성
4. 그룹 정책 설정
5. 웹 리스너 및 락아웃가드 구성
   
   
   그룹 정책 설정
   
   그룹 정책에서 계정 잠금 정책을 구성하지 않은 경우에는 이번 단원에서 그 정책을 반드시 지정해야 합니다. 도메인 컨트롤러의 그룹 정책 관리 콘솔에서 Default Domain Policy를 마우스 오른쪽 버튼으로 클릭하고 Edit를 클릭합니다.

6.    

    

   그룹 정책 관리 편집기가 실행되면 Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy 노드로 이동합니다. 오른쪽 세부 창에서 Account lockout threshold 항목을 클릭하고 Define this policy setting 항목을 체크합니다. 여기 예에서는 임계값을 5로 지정하고 확인 버튼을 클릭합니다. Account lockout duration과 reset account lockout counter after 설정값은 변경하도록 자동으로 기본값으로 변경됩니다.

   

      

시스템 요구사항

TMG를 설치하기 위해서는 다음과 같은 하드웨어가 필요합니다.

• Intel 또는 AMD 64비트 CPU.
• 윈도우 2008 64비트 운영체제. Windows 2008 32비트 운영체제에서는 TMG를 설치할 수 없음.
• 1GB 이상 메모리
• 150MB 이상의 하드 디스크 여유 공간. 악성 프로그램을 진단하기 위해 임시로 사용하는 공간과 캐시용 목적의 디스크 공간과는 별개.
• 하나 이상의 네트워크 카드
• NTFS 형식으로 된 하나 이상의 로컬 하드 디스크

 주의 사항

• EBS(Essential Business Server) 환경에서 설치한 TMG는 모든 IPv6 트래픽을 차단.
• TMG는 모든 IPv6 트래픽을 거부.
• ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) 사용 안함.
• 6to4 사용 안함. 6to4는 IPv4 네트워크에 IPv6 패킷을 전송할 수 있게 하는 체계.
• TMG Control 서비스를 재시작할 때마다 TMG 서버로 등록한 DNS의 A 레코드를 등록한 TMG 서버를 재시작함.
• Ipv6 레코드인 AAAA는 없어야 함. 또한 DNS, ARP, 네트워트 환경 검색(ARP의 Ipv6 버전) 캐시를 모두 지움.
• TMG의 설치 경로는 변경할 수 없음.
• TMG는 로컬에 설치된 MS SQL Express 데이터베이스에 로그를 기록하도록 기본적으로 설정됨. TMG는 로그, 보고서 등의 목적을 위해 다수의 SQL 컴포넌트를 설치함.
• TMG는 웹서버(IIS) 역할을 설치함. TMG를 제거하더라도 IIS 구성요소는 제거되지 않음.
• TMG에 설치되는 서비스 및 드라이버 파일은 TMG 설치 폴더에 저장됨.
• TMG는 랜카드가 하나인 컴퓨터에 사용할 수 있음. 일반적으로 하나의 랜카드는 네트워크의 경계에서 방화벽으로 연결하고 다른 하나는 기업 네트워크의 자원에 연결함. 하나의 랜카드를 가진 사례에서 TMG는 서버를 게시하기 위한 애플리케이션 필터 기능을 제공하거나 인터넷 상의 데이터를 캐시하는 프록시 서버 역할을 가짐. 추가적인 정보는 아래 링크를 참고. About single network adapter limitations.

원본 위치 <http://technet.microsoft.com/en-us/library/cc441727.aspx>