최근 중국의 CERT에서 조사한 보고서의 일부분이 뉴스에 나와서 정리해 봅니다.

중국내의 인터넷 사용자 중에 안티바이러스 제품을 설치하지 않고 사용하는 경우가 크게 늘고 있습니다. 지난 주 중국 인터넷 네트워크 정보 센터(CNNIC)는 보안 소프트웨어를 사용하지 않는 비율이 4.4%로 지난 해의 3.9%보다 크게 증가했다고 발표했습니다.

중국 내 인터넷 사용자는 작년 하반기에 약 3억 8400만명으로 추산되고 있으며, 이 중 보안 제품을 설치하지 않은 컴퓨터가 약 1700만 대입니다.

이 정도 숫자이면 봇과 같은 악성 코드를 유포하고, DDOS 공격을 유발하기에 아주 충분한 댓수입니다.

전세계적으로 악명을 떨치고 있는 봇의 경우 약 10만대 정도를 하나의 봇으로 보는데, 1700만대라고 하면 대략 170개나 구축할 수 있는 크기입니다.

중국은 1차/2차 산업뿐만 아니라 3차 산업, 그리고 정보 혁명 시대에서도 오명을 떨칠 수 있는 가능성이 높아지고 있습니다.

감사합니다.

출처: http://www.pcworld.com/businesscenter/article/192994/millions_in_china_have_no_antivirus_software_survey_shows.html
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    캐나다의 온타리오에 위치한 SSM(http://SiteSecureMonitor.com) 회사는 유명한 블로그 솔루션인 워드프레스(WP, WordPress)에서 악성 프로그램의 감염을 예방할 수 있는 플러그인을 공개했습니다.

    이 플러그인은 워드프레스 공식 플러그인 디렉터리에서 다운로드할 수 있으며, 주요 기능은 다음과 같습니다.

    • 일반적인 보안 검사
    • WP를 최신 버전으로 업그레이드
    • 기한이 만료된 플러그인 검사
    • WP 블로그의 취약점 위험 감소
    • 로그인 페이지의 오류 메시지 제거
    • WP 버전 정보 숨기기(홈페이지, 대시보드)
    • 디렉터리 탐색 예방
    • 윈도우 라이브 라이터 차단
    • 코어 업데이트 정보 제거
    • 플로그인 업데이트 정보 제거
    • 테마 업데이트 정보 제거
    • WP의 보안 향상
    • 플러그인 디렉터리를 위한 index.php 파일 추가
    • 플러그인 폴더 숨기기
    • 관리자의 ID(admin) 변경
    • wp-config.php, wp-includes 폴더, wp-content 폴더 접근 권한 제한
    • wp-admin 폴더에 접근할 수 있는 IP 제한
    • SSM으로부터 무료 악성 프로그램 검사 제공

    자세한 사항은 아래 링크를 참고하십시오.

    플러그인: http://wordpress.org/extend/plugins/wp-secure-by-sitesecuritymonitorcom/

     



    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      바이러스, 즉 악성 프로그램을 인터넷에서 다운로드하거나, 사용자의 PC에서 의심스러운 파일이 발견될 때에 이를 여러 가지 안티바이러스 제품으로 통합적으로 검사해 주는 사이트가 있습니다. 대표적인 사이트는 VirusTotal과 Jotti가 있으며, 이들 사이트는 모두 무료로 제공됩니다.

      우리가 익히 알고 있는 시만텍, 맥아피, 어베스트!, V3와 같이 약 30 여가지 안티바이러스 제품으로 동시에 검사하기 때문에 정말 새로운 바이러스가 아닌 경우에는 어디 한곳에 진단되기 마련입니다.

      또한, 검사하기 위해 업로드한 샘플은 안티바이러스 제작사로 샘플로 자동으로 전송되어, 신종인 경우 즉시 반영할 수 있도록 도움을 주고 있습니다.

      여기까지는 컴퓨터를 사용하는 즉, 착한 사용자의 입장입니다.

      만약, 악성 프로그램 제작자가 새로운 악성 프로그램을 만들었다고 가정해 봅니다. 이게 진단되는지 검사하려면 앞에서 언급한 바이러스 검사 사이트에서는 할 수가 없습니다. 해볼려면, 어쩔 수 없이 PC나 가상 머신에 각각의 안티바이러스 제품을 설치하여 테스트하는 힘든 과정이 남아 있습니다.

      하지만, 궁하면 통하는 법!

      어둠의 시장을 위해서 제공되는 바이러스 검사 사이트가 공개되었습니다. 사이트는 현재까지 2개가 알려져 있으며 아래 화면은 그중 하나입니다.


      오히려, 더 나은 점이 보이는데, 바로 검사하고자 하는 안티바이러스 제품을 선택할 수 있다는 점입니다.

      단점으로는 무료가 아닌 유료 사이트로, 한번 검사할 때마다 파일당 1달러 또는 1개월당 40달러로 할인 판매하고 있다고 합니다.

      돈버는 것도 역시 틈새시장이 최고로 보입니다.

      참고자료: http://www.wired.com/threatlevel/2009/12/virus-check/?




      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        외국의 검색 엔진 중의 하나인 구글(google.co.kr)은 국내에서 네이버라는 강력한 국산 검색 엔진 아니 정확히 말하자면 포탈의 위력으로 인해 일반인에게는 약간 거리감이 느껴지는 경향이 있습니다. 실제로 필자가 일반 사람의 컴퓨터를 만져 (바이러스나 기타 문제의 해결을 위해) 주다가, 어떤 특정한 프로그램을 검색하여 다운로드하려고 구글을 접속하여 검색을 하면 이게 뭐냐고 묻는 경우가 종종 있습니다.

        하지만, 컴퓨터에 익숙한 사용자들이나 대학생들, 그리고 물론 IT 업계 종사자들은 구글을 자주 애용하는 모습을 볼 수 있습니다.

        구글은 포탈의 성격을 가지고 있지만, 지금 언급하고자 하는 부분은 바로 사용자의 보안에 관련된 사항입니다.

        구글에서 어떤 특정한 검색어로 검색을 시도하게 되면, 그 결과값을 순서대로 나열해줍니다. 하지만, 만약 (검색하기) 이전에 검색된 사이트에서 악성코드가 감염된 내력이 있는 경우에는 사용자에게 해당 사이트의 위험성을 경고합니다.(알림: MS의 인터넷 익스플로러에서는 방문할 때에 이러한 경고 메시지를 보여주지 않습니다. 크롬, 파이어폭스, 사파리 브라우저에서 사용자가 어느 특정한 사이트를 방문할 경우에 구글의 기능을 참조합니다)

        이 기능을 위해 구글에서는 자동화된 스캐너를 개발하여 이를 통해 전세계에 널리 퍼져있고, 구글 검색 봇이 탐색할 수 있는 범위내에서 해킹당한 사이트를 진단하여 이를 기록 저장합니다.

        문제는 바로 오진(False Positive)에 있습니다. 예를 들어, 지난 세 달 전에 SQL 인젝션으로 웹사이트가 침해된 적이 있고, 이를 해당 웹사이트 관리자가 적절하게 조치를 취했다고 하더라도 일반 사용자가 구글을 통해 해당 웹사이트에 방문하고자 하는 경우에 경고(!) 메시지를 보여 주게 되므로, 웹사이트의 신뢰도의 하락과 더불어 방문자의 수가 줄어들 가능성이 있습니다.(알림: 구글의 자동화 스캐너에서 진단한 URL 중에서 오진으로 밝혀진 내역에 대한 분석자료는 구글 또는 인터넷에서 찾을 수 없었습니다. 장점만 찾아 볼 수 있었습니다.)  분석 도구 또한 웹사이트의 관리자 또한 "또 뚫렸나" 하는 의구심이 들면서 웹사이트를 보다 심도있게 분석하는 불필요한 시간 및 노력을 소모할 수 있습니다.

        이제 구글은 "URL의 분석 결과를 사용자에게 참조 용도로 알려주는 소극적"인 대응에서 "웹 사이트 관리자에게 침해된 내역을 알려 주는 보다 공격적인" 대응책을 제공하기로 하였다는 소식입니다.

        웹마스터 도구(Webmaster Tools)라고 부르는 기능으로, 구글의 자동화 스캐너가 해당 웹사이트에서 진단한 악성 코드의 샘플을 제공해 줍니다. 특히, 진단하는 악성코드들은 "Malware Details" 부분을 통해 HTML 태그, 자바 스크립트, 임베디드된 플래시 파일이 감염되었는지 명확히 알려 줍니다.

        웹사이트 관리자는 자신의 웹사이트의 대시보드 -> 실험실 노드 -> 악성코드 세부정보 부분에서 현재 사이트에 악성 코드가 감염되어 있는지 확인할 수 있습니다.

        제가 운영하는 사이트를 확인해 보니, 행복하게도 깨끗하다고 보여줍니다.

        참고로, 이 기능을 사용하기 위해서는 먼저 구글에서 자신의 웹사이트를 등록하여 관리하는 수고를 해야 합니다.

        등록 링크: https://www.google.com/webmasters/tools/home?hl=ko

        등록할 때에는 등록하는 사이트가 자신이 소유하고 있는지 확인하는 과정을 거치게 되므로 주의해서 등록해야 할 것으로 보입니다.

        감사합니다.

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          최근 SNS 서비스로 인기를 얻고 있는 트위터(http://www.twitter.com)는 보안상 결함이 발견되어 종종 얘깃거리가 되곤 합니다. 또한, 트위터를 통해 악성 코드를 유포하는 행위도 점차 눈에 띄고 있습니다.

          최근 트위터에서는 DM(Direct Message, 개인간 직접 메시지)을 통해 사용자의 계정 정보를 탈취하는 웜이 출현하여 트위터 사용자를 위협하고 있습니다. 해커들은 DM의 내용에 가짜 트위터 로그온 창을 보이게 하는 링크를 포함하게 합니다. 그리고, 트위터 사용자들은 이 링크를 클릭하고 브라우저에서 로그온하게 되면, 자동으로 계정 정보가 해커들의 손아귀로 넘어가게 됩니다.

          따라서, 사용자들은 의심스러운 DM을 받게 되면 주저하지 말고 삭제해야 합니다. 위의 화면과 같이 URL이 정확히 이상하게(!) 보이는 경우에는 쉽게 알아 낼 수 있습니다. 하지만, 어떤 링크가 위험한 것인지 파악하는데 오히려 트위터의 속성이 발목을 잡고 있습니다. 트위터는 하나의 트윗(글)이 140글자(영문기준)까지 적을 수 있습니다. 따라서, URL과 같이 긴 문자열을 모두 적기에는 어렵기 때문에 URL을 짧게 만들어 주는 서비스(ex. http://www.tinyurl.com)를 이용합니다. 따라서, 링크가 위험한 링크인지 아닌지 파악하는데 매우 어려움이 많습니다.

          감사합니다.

          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            국내에서는 그리 큰 영향력이 없지만, 외국에서 AVG는 나름대로의 시장 점유율을 가지고 있는 업체입니다.

            최근 AVG 안티바이러스에서 iTunes의 특정 파일을 악성코드로 진단하는 오진 사례가 발생하였습니다. 이 문제는 매킨토시에서 윈도우를 설치하는 환경에서 발생하는 것으로 알려졌습니다.

            iTunes 프로그램에 포함된 파일 중 iTunes.dll과 iTunesRegistry.dll 파일이 "Troyan horse Small.BOG" 트로이 목마에 감염되었다고 진단합니다. 일부 사용자는 실제 바이러스가 걸린 것으로 생각하고 iTunes을 재설치하였지만 동일한 진단을 하였다고 합니다.

            재미있는 사실은 AVG 웹 사이트에서 Small.BOG라는 이름을 가진 악성 코드가 없다는 점입니다.

            아직까지 이에 대한 패치가 나오지 않았으며, 다음과 같이 실시간 감시 기능에서 해당 폴더를 제외하게 하여 임시로 사용할 수 있습니다.
            • Resident Shield -> Manage Exceptions -> Add Path에서 "C:\Program Files (x86)\ipod" 폴더를 추가합니다.
            아래는 AVG의 오진 사태를 토론하는 매킨토시 포럼의 URL입니다.

            http://discussions.apple.com/thread.jspa?threadID=2092831&start=0&tstart=0

            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              어제는 체크포인트 사에서 하룻동안 무료로 존알람 프로를 다운로드할 수 있었다는 아쉬운 기사를 올려 드린 적이 있었는데 하나의 좋은 보물이 숨어 있었습니다.

              홈 페이지 클릭

              여기에서 오른쪽의 이름과 메일 주소를 입력하면 안티 스파이웨어 제품을 무료로 사용할 수 있는 라이선스와 다운로드 링크를 이메일로 보내 줍니다.
              사용자 삽입 이미지

              아직 안티 스파이웨어 제품을 고민하시는 분 다운로드하여 즐거운 정품 혜택을 함께 누려 보시지요~

              주의사항으로는 메일의 내용을 보면 다운로드 링크의 유효기간이 있으니, 다운받아서 따로 잘 보관해 놓으세요. 그리고, 제품이 영어로 되어 있습니다. T.T...
              Daum 블로거뉴스
              블로거뉴스에서 이 포스트를 추천해주세요.
              추천하기
              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                최근 재미있는 바이러스 사건이 있어 소개해 드립니다.

                하드 디스크 제조사로 유명한 시게이트에서 판매하는 일부 하드 디스크에서 트로이 목마가 탑재된 채로 출시된 것으로 밝혀졌습니다.

                하드 디스크에는 트로이목마 파일(autorun.inf, ghost.pif)이 저장되어 있으며, 이 트로이 목마는 사용자의 비밀번호와 같이 중요한 개인정보를 중국의 웹 사이트 www.nice8.orgwww.we168.org에 업로드하도록 프로그래밍된 것으로 알려졌습니다.

                사용자 삽입 이미지
                  태국 현지에서 생산된 Maxtor Basics 3200 모델 300G/500G 제품 중 약 1,800 여개에서 트로이 목마가 들어가 있었다고 합니다. 1,800 개 제품은 대만의 시장에서 판매되고 있었으며, 이 중 1,500 여개는 아직 팔리지 않은 상태로 회수되었지만 이미 300여개는 시장에서 소진된 상태라고 합니다.

                한편, 이러한 사실을 인지한 시게이트 社는 부랴부랴 제품 생산 및 공급을 중단하였고, 즉시 감염된 디스크를 모조리 치료하여 정상적인 공급이 이루어지도록 조치했다고 합니다.  그리고, 이러한 사태가 벌어진 데에 사과문을 발표했다고 합니다.

                중요한 사실은 아직도 시장에서 구매하여 사용하는 사람이 있으며 이러한 제품을 가진 사용자는 제품을 반품하여 줄 것을 당부하였습니다. 또한, 홈 페이지에서는 카스퍼스키 안티 바이러스 60일 평가판을 게시하여 혹시 모를 사고를 대비하는 모습을 보였습니다.(웹 사이트에서 찾지 못했습니다. 대만 글자를 모르니 T.T.)

                한가지 더 재미있는 부분은 대만 당국 관계자는 이러한 바이러스를 심은 범인으로 중국 정부를 의심하고 있다는 것입니다. 이렇게 주장하는 이유는 다음과 같습니다.

                문제가 발생한 하드 디스크는 용량이 매우 큰 관계로 데이터베이스 및 기타 정보를 대규모로 저장하는 정부 기관에서 주로 사용한다. 아마도 중요한 정보들은 중국 웹사이트들을 통해 빼내졌을 것이다. 정부 관계자는 이러한 공격 방법이 의외의 방법이라고 하면서 중국 정부를 의심한다고 밝혔습니다. 또한, 최근 몇년 사이에 중국 정부는 인터넷 상에서 대만의 정보를 모으기 위한 스파이 프로그램을 강력히 운영하고 있다고 말했습니다.

                우리나라에서도 사용자뿐만 아니라 정부 조직에서도 컴퓨터를 사용할 때에는 이러한 부분까지 고려해야 하나 하는 한탄이 나옵니다.

                정보 보안 아무리 강조해도 지나치지 않습니다.

                자나깨나 바이러스 조심 하세요.


                PS: 그런데 새로 나오는 하드는 포맷하지 않나요? 처음부터 포맷되어 나오나요? 궁금~

                Daum 블로거뉴스
                블로거뉴스에서 이 포스트를 추천해주세요.
                추천하기
                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus
                  요즘에는 바이러스(웜, 등등  통칭해서 악성 프로그램)들의 전파 속도는 인터넷의 발달로 인해 거의 빛의 속도를 따라가고 있다. 어제 유럽에서 새로 발견된 악성 프로그램은 오늘 내 컴퓨터에서 조용히 잠복하는 세상이다.

                  하지만, 악성 프로그램을 진단 치료하는 안티 바이러스 벤더의 입장에서 보면, 정보의 홍수 아니 악성 프로그램의 홍수 속에 업무가 기하급수적으로 증가하고 있다. 특히, 이메일을 통해 감염되는 악성 프로그램(거의 트로이 목마)은 한번 퍼지기 시작하면 스패머의 활약에 힘입어 엄청난 속도로 전파되는 특징을 가지고 있다.

                  이러한 악성 프로그램이 우리가 사용하는 안티바이러스 제품에 샘플을 수집하여 이를 데이터베이스화하는데 걸리는 시간은 얼마나 되는지 궁금하지 않은가?

                  미국의 유명한 안티 스팸 업체인 컴터치(CommTouch)는 악성프로그램 발생 센터(Malware Outbreak Center)라는 프로그램을 통해 이메일로 전염되는 악성 프로그램을 보안 벤더들이 얼마나 빨리 대응하는지 자세히 보여 준다.

                  http://www.commtouch.com/site/ResearchLab/virusLab/recent_activity.asp

                  사용자 삽입 이미지
                  <그림 #1. 악성 프로그램의 발생 순서에 따른 진단명, MD5 값을 보여 준다.>

                  여기서는 최신으로 발생하는 악성 프로그램을 시간 순서로 보거나, 월별로도 볼 수 있다. 아래는 11월 10일날 발견된 Troyan-Downloader.Win32.Agent.ezm 악성 프로그램의 진단 시점에 대해 안티 바이러스 제품별로 자세히 보여 준다.
                  사용자 삽입 이미지
                  <그림 #2. Troyan-Downloader.Agent.UZM 의 진단 시점>

                  초록색은 발생하자 마자 진단이 된 것으로 발생 초기부터 진단했다는 의미이고, 주황색은 일정한 시간 후에, 그리고 빨강색은 진단 기간동안 감지하지 못한 것을 의미한다.

                  자세한 사항은 오른쪽 위 그리고 아래에 있는 Download Data 링크에서 엑셀 파일로 제공한다.

                  특히, 월별로 데이터를 산출해 보면, 악성 프로그램 별로 걸리는 시간을 더욱 쉽게 알아 볼 수 있다.
                  사용자 삽입 이미지
                  <그림 #3. 안티바이러스 제품별로 월별 진단 시간, 가능 여부를 볼 수 있다>

                  이러한 자료를 통해 안티 바이러스 제품의 기동력(!)을 한번 더 평가하는데 도움이 되었으면 한다.

                  알림: 여기서 측정하는 악성 프로그램은 대부분 이메일을 통해 감염되는 트로이목마임을 다시 한번 알려 드립니다. 일반 파일 바이러스 등에서는 다른 결과값이 나타날 수 있습니다.

                  Daum 블로거뉴스
                  블로거뉴스에서 이 포스트를 추천해주세요.
                  추천하기
                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus

                    악성 코드 및 개인용 방화벽 프로그램으로 명성을 얻고 있는 선벨트 소프트웨어(Sunbelt Software)에서는 9월달에 인기(!) 있었던 악성 프로그램에 대한 보고서를 발표했습니다.

                    매달 발표되는 보고서에는 카운터스파이(CounterSpy) 검사와 위협 연구 센터(Threat Research Center)에서 제공하는 서비스를 통해 수집된 정보입니다.

                    9월 달에 새로 등록된 악성 프로그램은 Troyan.NewMediaCodec으로 특정한 웹사이트에서 성인용 비디오를 보기 위해서는 윈도우 미디어 플레이어를 업그레이드해야 한다고 속이는 프로그램입니다. 실제로 파일을 다운로드하여 설치하는데 이때에 악성 프로그램이 함께 설치 됩니다.

                    1. Troyan.FakeAlert(DesktopScam) - 1.59%
                    2. Troyan-Downloader.Zlob.Media-Codec - 1.44%
                    3. Virtumonde - 0.75%
                    4. ClickSpring.PuritySCAN - 0.75%
                    5. Troyan.Unclassified.gen - 0.55%
                    6. Trojan.NewMediaCodec - 0.49%
                    7. Zenotecnico - 0.40%
                    8. Command Service - 0.33%
                    9. Trojan.Smitfraud - 0.32%
                    10. WinAntiVirusPro - 0.32%

                    출처: http://www.earthtimes.org/articles/show/news_press_release,189798.shtml

                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus