'코모도'에 해당되는 글 1건

  1. 2007.05.13 Comodo BOClean Anti-Malware 사용 설명서 (3)

무료 악성코드 제거프로그램: Comodo BOClean Anti-Malware


Comodo 는 개인용 방화벽 제품 중에 가장 성능이 좋다고 알려진 Comodo Free Firewall을 개발하는 회사입니다. 재미있는 것은 이 회사에서 주력으로 판매하여 수익을 얻는 부분이 바로 SSL 인증서라는 점입니다.

Comodo에서는 BOClean이라는 악성코드 제거 프로그램을 무료로 제공하는데, 기능 자체도 신기하게도 실시간 감지 기능만을 제공합니다. 따라서, 우리나라에서 많이 사용되는 악성코드 제거프로그램과 함께 사용하면 좀더 안전하게 악성코드를 진단하고 치료할 수 있습니다.

즉, BOClean은 실시간 감시용도로 사용하고 다른 악성코드 프로그램은 필요할 때마다 전체 검사를 수행하는 방식으로 사용합니다.

BOClean은 설치 과정이나 사용방법 그리고 환경 설정이 매우 간단하기 때문에 잠시만 시간을 투자해도 능숙하게 다룰 수 있습니다. 문제는 한글이 지원되지 않는 것이지만, 실제 사용상에 있어서는 그리 어려움이 없습니다.

자세한 설명을 하기 전에 간단히 BOClean의 특징을 소개합니다.

  • 악성코드뿐만 아니라 관련된 레지스트리까지 치료.
  • 치료하는 동안에 재부팅 등의 별도의 작업이 필요없음.
  • 사용자에게 위협이 있다고 간주되는 경우 곧바로 차단
  • 추가 기능으로 보고서 작성 그리고 증거로 보존하기 위해 사본 저장
  • 백그라운드로 동작하며 실시간으로 감지하여 치료
  • 사용자가 BOClean이 설치되어 있는지 알 수 없도록 "스텔쓰 모드"를 지원
  • 사용자가 BOClean 설정을 건드릴 수 없도록 중앙 집중 관리 체계로 운영 가능
  • 악성코드가 BOClean을 공격하지 못하도록 자체 보호
  • 악성코드 데이터베이스가 매일 업데이트되며 무료로 사용
  • 손쉬운 관리를 위해 업데이트파일의 공유하거나 푸시 업데이트 지원


지원하는 운영 체계

  • Windows 2000 Professional, Server, Advanced Server
  • Windows XP Home, Professional


설치하기 전에

BOClean을 설치하기 전에 먼저 확인해야 할 부분이 두가지 있습니다.

- 컴퓨터에 이미 BOClean이 설치되어 있는 경우 – 설치된 프로그램을 제거하거나 시스템 트레이에서 BOClean 아이콘을 클릭하고 Shutdown BOClean을 선택하여 프로그램을 종료합니다. 그리고 나서 설치를 진행합니다.

- 컴퓨터에 다른 종류의 안티스파이웨어 제품이 설치되어 있는 경우 – 안티스파이웨어 제품들은 실시간 감시 기능을 지원하는 경우가 많습니다. 따라서, BOClean과 중복되는 기능인 경우에는 동작하는데 문제가 발생할 수도 있습니다.


프로그램 다운로드 및 설치

BOClean은 www.nsclean.com에서 다운로드할 수 있습니다. 현재 최신 버전은 v4.23이지만 이 글을 읽는 분들에게는 과거의 버전일 수도 있습니다. 프로그램을 다운로드하면 다음의 절차에 따라 설치 과정을 진행합니다. 설치과정은 아주 평이합니다.

처음 설치 프로그램을 실행하면 저작권 관련 페이지가 나타납니다. I Accept 버튼을 눌러 다음으로 진행합니다.

Comodo BOClean을 설치하려면 관리자 권한이 필요하다는 안내 페이지가 나타납니다. 설치를 위해서는 관리자 권한으로 실행하거나 관리자 권한을 가진 계정으로 로그온한 상태인지 확인하고 OK 버튼을 클릭합니다.

설치할 경로를 지정합니다. 경로를 변경하려면 Change 버튼을 누르고 원하는 폴더를 선택합니다. 설치하려면 INSTALL 버튼을 클릭합니다.

설치가 완료되면 아래 그림과 같이 최신 데이터베이스 업데이트를 수집하기 위해 온라인으로 연결해야 한다는 안내 페이지가 나타납니다. 지금 인터넷에 연결되지 않은 경우에는 인터넷이 연결된 다음에 업데이트가 수행됩니다. OK 버튼을 눌러 진행합니다.

COMODO에서는 이용자의 메일 주소에 대한 정보를 수집하고 있습니다. 이 부분은 옵션이기 때문에 입력하지 않고 Next 버튼을 눌러도 무방합니다.

이제 BOClean의 데이터베이스를 업데이트하기 위해 인터넷에 연결하고, 업데이트를 다운로드하는 대화상자가 나타납니다.

업데이트를 성공적으로 다운로드하여 설치하고 나면, 마지막 단계로 설치되었다는 확인 대화상자가 나타납니다. OK 버튼을 누르면 설치 작업은 끝납니다.

설치가 완료되면 다음과 같이 레지스트리에 등록됩니다. 따라서, 나중에 컴퓨터를 시작하면 자동으로 실행됩니다.


BOClean 관련 프로그램

처음 설치하고 나면, 바탕화면에는 아무런 변화가 없습니다. 시작 -> 프로그램 -> Comodo -> Comodo BOClean 밑에는 모두 4개의 프로그램이 제공된다.

  • Comodo BOClean: BOClean 실행 프로그램
  • Excluder: 비검사 영역. 오진이나 검사할 필요할 필요가 없는 파일/폴더를 지정합니다.
  • Uninstallation Comodo BOClean: BOClean 설치 제거 프로그램
  • Updater: 데이터베이스 업데이트 프로그램


BOClean 프로그램

BOClean 프로그램을 시작시에 자동으로 실행되고, 화면 하단의 시스템 트레이에 조그만 아이콘으로 볼 수 있습니다. 마우스로 이 아이콘을 더블클릭하거나 마우스 오른쪽 버튼으로 클릭하면 BOClean 프로그램이 실행됩니다. 프로그램의 각 항목은 직관적이며 사용자는 이 중 두 세가지 항목을 주로 사용합니다.

  • Shut down BOClean – BOClean 프로그램 종료
  • Configure BOClean – 환경 설정
  • Check for update – 최신 데이터베이스가 제공되는지 확인
  • Reload/test update – 업데이트 다시 읽어 들이기 및 확인
  • Covered Malware – 탐지할 수 있는 악성코드 목록 보기
  • Example report – 보고서 보기
  • Program Excluder – 비검사 영역 지정
  • Close this menu – 창 닫기


여기서 주로 살펴 볼 부분은 바로 환경 설정 부분입니다. BOClean 프로그램 실행과 사용자 환경에 따라 다양한 옵션을 선택할 수 있지만, 일반적으로 안티 바이러스 제품을 하나 정도 사용하고 악성코드 치료 프로그램은 사용하지 않는 상태를 기준으로 소개합니다.(추천하는 옵션들이 반드시 사용해야 하는 것은 아닙니다.)


환경 설정


Autoupdate options(자동 업데이트 옵션)

  • Automatically start BOClean at bootup: 컴퓨터가 켜질 때 BOClean을 자등으로 실행할 때 사용합니다. 기본적으로 체크되어 있습니다. 만약 컴퓨터에 실시간 감시 기능을 제공하는 다른 안티스파이웨어 제품을 사용하는 경우에는 이 옵션을 꺼야 할 경우도 있습니다.
  • do NOT show automatic update screen: 자동으로 업데이트가 수행되는 동안에 화면에 이러한 내용을 보여 주지 않게 할 때 사용합니다. 컴퓨터를 사용하는 사람이 컴퓨터에 익숙하지 않거나, 온라인 게임을 하는 등의 경우에 사용합니다.
  • Check for update every 24 hours, beginning 4 minutes after bootup: 새로운 업데이트가 제공되는지 몇 시간마다 확인할 것인지 그리고 컴퓨터가 켜지고 나서 몇 분 후에 확인할지를 정합니다. 업데이트는 보통 매일 업데이트되며, 일부의 경우에는 하루에도 몇번씩 업데이트가 제공될 수 있습니다. 따라서, 사용자의 컴퓨터 사용 패턴에 따라 이 시간을 줄여 주는 것도 좋습니다.
  • Location of BOClean database file: 데이터베이스 파일의 경로를 지정합니다. 일반적으로는 거의 변경할 필요가 없으며, 강제로 업데이트 파일을 지정할 경우에 사용합니다.

Configuration options(환경 설정)

  • Monitor system continuously: 이 옵션은 BOClean이 동작하는 기본 모드로 동작할지를 정합니다. 만약 이 옵션을 해제하면, 컴퓨터가 켜질 때 BOClean을 실행되고나서 바로 종료합니다. 사용자가 BOClean을 실행하려면 직접 프로그램을 선택하여 실행해야 합니다. 따라서, 이 옵션은 가급적 선택한 상태로 두길 추천합니다.
  • Keep copy of troyan as evidence: 최근에 탐지된 악성 코드를 연구 또는 보관 목적을 위해 '사본'을 저장합니다. 사본은 'evidence.boc'라는 이름으로 저장되며, ,내 문서 폴더 등에서 저장할 수있지만, 가급적 플로피 디스크나 USB 디스크와 같이 별도의 저장 매체에 저장하기 바랍니다. 만약 다른 악성코드 감지 프로그램이 동작하고 있는 경우 이 프로그램이 이 사본을 감지하게 되면 사용자가 불편할 수도 있습니다. 이 옵션은 기본적으로 끄고 사용합니다.
  • Unattended cleanup and removal: 악성 코드가 발견되면 사용자에게 묻는 등의 조치를 취하지 않고 곧바로 감염된 파일을 치료 및 제거합니다. 따라서, 이 옵션을 켜 두게 되면 사용자는 악성코드에 감염되어 치료되었다는 사실을 알 수 없습니다. 가급적 이 옵션은 꺼두길 바랍니다. 그리고, 이 옵션을 켜두고 보고서 관련 옵션을 켜 둔 경우에는 보고서를 통해 감염되었다는 사실을 확인할 수는 있습니다.
  • Prevent ANY changes to configuration: 이 옵션은 환경 설정 항목 중에 가장 주의해서 사용해야 합니다. 이 옵션을 켜두고 저장하고 나면 더 이상 환경 설정 화면을 볼 수 없게 됩니다. 즉, 여러 대의 컴퓨터를 사용하는 기업 환경에서 악성코드에 대한 적절한 보안 정책을 구현할 경우, 사용자가 이러한 보안 정책을 해치는 행위를 하지 못하게 하는 경우에 사용합니다. 물론, 컴퓨터를 잘 모르는 사람이 컴퓨터를 함께 사용하는 경우에도 이 옵션을 체크하여 사용할 수 있습니다. 실수로 이 옵션을 켜두고 나중에 다시 환경 설정 항목을 보려면 프로그램을 삭제하고 다시 설치하거나 support@nsclean.com에 연락하여 복구하는 방법을 별도로 문의해야 합니다.
  • Permanently hide traybar and alerts: BOClean은 실행되면 시스템 트레이 아이콘으로 나타나며 사용자가 실행되고 있다는 것을 알 수 있습니다. 이 옵션을 체크하면 시스템 트레이에서 더 이상 볼 수 없게 됩니다. 따라서, 사용자는 BOClean이 실행되는지 정확히 알 수 없게 됩니다. 이 옵션을 켜둔 상태에서 다시 끄려면 Windows 설치 폴더에 있는 BOC423.INI 파일을 삭제해야 합니다. 이 파일을 삭제하면 환경 설정 정보가 사라지게 되므로 일단 이름을 바꿔 놓는 것이 좋습니다.
  • do NOT show startup scan screen: BOClean은 컴퓨터가 켜지고 나서 일정 시간 후에 자동으로 실행되며 이 순간에 운영체제에 관련된 중요한 파일들과 메모리에 악성코드가 감염되어 있는지 검사합니다. 검사하는 상황을 화면으로 보여 주는데 이 옵션을 사용하면 사용자에게 알려 주지 않고 조용히 실행합니다.
  • disable flashing of traybar icon: 바탕화면에 있는 시스템 트레이에는 BOClean이 실행되는 상태를 나타내는 아이콘이 있습니다. 이 아이콘의 현재의 상태를 나타내며 10초마다 갱신됩니다. 만약 사용자가 이러한 방식에 대해 의학적인 문제를 가지고 있거나 하는 경우에는 이 옵션을 끌 수 있습니다.
  • Create report when troyan found: 악성코드가 발견될 때 보고서를 작성하고 보고서를 저장할 경로도 정할 수 있습니다.
  • Show custom warning located at: 악성코드가 발견될 때 관리자가 별도의 경고 페이지를 작성하여 이를 보여주게 할 수 있습니다. 저장 경로는 로컬일 수도 있지만 회사의 경우 공유 폴더(UNC 경로)를 통해 일관된 메시지를 보여주게 할 수 있습니다. 경고 페이지는 텍스트 파일로 작성합니다.
  • do NOT shut down File Shares: NETBEUI 프로토콜을 사용하여 파일을 공유할 때에는 BOClean은 기본적으로 차단하게 됩니다. 이 옵션을 통해 파일 공유를 그대로 사용할 수 있습니다.
  • Automatic reset of security zones: 인터넷 익스플로러의 인터넷 옵션에서 신뢰된 사이트에 추가된 사이트 목록을 초기화합니다. 컴퓨터를 사용하면서 실수 또는 무의식중에 악성 사이트를 안전한 사이트로 추가하는 경우에 이 기능을 통해 초기화합니다.
  • Automatic cleanup of HOSTS file: 대부분의 악성코드들은 이 파일을 수정하여 DNS의 쿼리를 조작합니다. 가급적 사용하길 바랍니다.
  • Automatic cleanup of TEMP foler: 윈도우 운영체제에서 프로그램을 실행하거나 할 때에는 임시 파일이 TEMP 폴더에 저장됩니다. 인터넷 브라우저를 사용해도 마찬가지입니다. 이 옵션을 통해 임시 폴더를 깨끗이 청소할 수 있습니다.
  • Automatic cleanup of ActiveX downloads: ActiveX 캐시 또는 Downloaded Program Files 폴더에 저장된 ActiveX 컨트롤에 관련된 파일을 삭제합니다. 악성코드들은 대부분 Downloads Program Files에 파일을 저장합니다.
  • Automatic cleanup of winsock connectivity: winsock 자체뿐만 아니라 최신 공격 유형 중의 하나인 LSP(Layered Service Provider) 스택이 손상되지 않도록 보호합니다.
  • Automatic cleanup of IE user stylesheets: 인터넷 브라우저에서 프레임을 사용하여 사용자 모르게 악성코드를 다운로드하도록 "CSS Style Sheet"를 조작하는 새로운 악성코드 기술을 자동 치료합니다.


BOClean Excluder(비 검사영역)

일부 윈도우에서 돌아가는 인터넷 관련 프로그램은 BOClean 실행시에 불안정한 실행을 보이거나 실행되지 않는 경우가 있습니다. 또한, BOClean에서 프로그램을 악성코드로 오진하는 경우도 있을 수 있습니다.

이러한 경우에는 비 검사 영역에 이 프로그램(또는 바로가기 아이콘)을 추가하여 더 이상 오류가 나타나지 않게 할 수 있습니다.

하지만, 여기에 등록한 프로그램은 더 이상 감시하지 않기 때문에 악성코드가 감염되더라도 감지하지 못해 사용자에게 알려 주지 못하므로 사용시에 주의해서 등록해야 합니다.

파일을 드래그앤 드롭하면 Excluder는 해당 프로그램에 관련된 정보를 모두 수집하고난 후에 목록에 보여주게 됩니다.

추가하려면 탐색기를 열어서 해당 파일을 드래그앤 드롭합니다. 등록한 항목을 삭제하려면 하단의 Remove item 버튼을 이용합니다. 완료하려면 DONE 버튼을 클릭합니다.


마무리

지금까지 BOClean 사용방법에 대해 간략히 설명하였습니다. 이 문서가 사용하는데 도움이 되실 바라며 이만 마칩니다.

작성자: 문일준(admin 앳 moonslab.com)

작성일: 2007년 5월 13일

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory