국내에서는 그리 큰 영향력이 없지만, 외국에서 AVG는 나름대로의 시장 점유율을 가지고 있는 업체입니다.

최근 AVG 안티바이러스에서 iTunes의 특정 파일을 악성코드로 진단하는 오진 사례가 발생하였습니다. 이 문제는 매킨토시에서 윈도우를 설치하는 환경에서 발생하는 것으로 알려졌습니다.

iTunes 프로그램에 포함된 파일 중 iTunes.dll과 iTunesRegistry.dll 파일이 "Troyan horse Small.BOG" 트로이 목마에 감염되었다고 진단합니다. 일부 사용자는 실제 바이러스가 걸린 것으로 생각하고 iTunes을 재설치하였지만 동일한 진단을 하였다고 합니다.

재미있는 사실은 AVG 웹 사이트에서 Small.BOG라는 이름을 가진 악성 코드가 없다는 점입니다.

아직까지 이에 대한 패치가 나오지 않았으며, 다음과 같이 실시간 감시 기능에서 해당 폴더를 제외하게 하여 임시로 사용할 수 있습니다.
  • Resident Shield -> Manage Exceptions -> Add Path에서 "C:\Program Files (x86)\ipod" 폴더를 추가합니다.
아래는 AVG의 오진 사태를 토론하는 매킨토시 포럼의 URL입니다.

http://discussions.apple.com/thread.jspa?threadID=2092831&start=0&tstart=0

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    지난 번에는 트로이 목마 제작 도구인 핀치 대해 소개한 적이 있습니다. 이 번에는 샤크 2(Shark 2)라는 트로이 목마 제작 툴이 인터넷에 공개되었다는 소식을 전해 드립니다.

    샤크 2는 사용자의 데이터를 수집, 감염된 PC의 실제 화면을 캡춰하는 백도어, 오디오, 키로거 기능을 수행할 수 있는 트로이 목마를 제작할 수 있다.

    이 도구는 이미 인터넷의 어두운 커뮤니티를 통해 널리 전파되었으며 현재 개발은 v2.3.2까지 된 것으로 알려 졌다.

    또한, 샤크 2는 UPX 실행 압축 기술을 사용하며, 바이러스 분석을 위해 사용되는 일반적인 디버거와 VMWARE의 프로세스를 감지하는 능력을 가지고 있다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      최근 스팸을 발송하기 위해 가짜 핫메일과 야후 계정을 설정할 수 있는 악성 프로그램이 출현했다.

      이 트로이 목마는 HotLan-A라는 이믈을 가지고 있으며, 특히 웹 메일 계정을 자동으로 생성할 수 있는 기능을 가지고 있다.

      문제가 된 메일 계정은 핫메일과 야후!로 이들 사이트에서는 등록시 마지막에 이미지를 사람이 직접 인식하여 입력하는 부분을 거치도록 되어 있는데(이 부분을 Captcha 시스템이라고 한다), 이를 우회할 수 있는 기술을 가지고 있기 때문에 계정을 생성할 수 있다.

      참고로, Captcha 시스템은 메일 서비스등 온라인 서비스를 제공하는 회사(포탈)에서 프로그램이 자동으로 가입하는 것을 차단하고 반드시 사람이 직접 가입하게 하는 일종의 보안 체크 시스템입니다. 아래 화면은 메라크 메일 서버의 웹 메일에서 비밀번호를 확인할 때 사용하는 Captcha 시스템입니다.
      사용자 삽입 이미지

      이 트로이 목마에 감염된 컴퓨터는 꾸준하게 스팸을 발송하는 좀비 컴퓨터가 되며 스팸을 발송하는 전형적인 트로이목마에 비해 좀더 복잡한 실행 구조를 가진다. 먼저 HotLan-A 트로이 목마는 자신의 사본으로 웹 사이트에서 자동으로 웹 메일 계정을 생성하도록 시도한다. 문제는 이러한 시도 단계에서는 스팸으로 보내는 메일이 암호화된 상태로 유지되고, 다른 웹 사이트에서 수집한 메일 주소로 스팸을 발송할 때 암호화를 해제하여 보낸다.

      이 트로이 목마에 감염되면 매시간 500 개 이상의 새로운 계정이 생성되며, 가장 많이 생성한 예는 약 15,000개 이상이었다고 한다. 물론 그동안에 발송된 스팸 메일의 수는 얼마나 되는지 가늠하기 어려웠다고 한다.

      출처: http://www.channelregister.co.uk/2007/07/06/webmail_trojan/

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        최근 바이러스 제작자들이 윈도우 업데이트 관련 기술인 BITS에 눈을 돌리고 있다는 소식을 들은 적이 있다. 이러한 우려에 부응하듯이 이 기술을 사용하는 트로이 목마가 발견되었다는 소식입니다.

        Windows Update(Microsoft Update)는 대량의 파일을 효과적으로 배포하기 위해 BITS(Background Intelligent Transfer Service)라는 기술을 사용합니다.

        여기서 문제가 되는 부분은, 윈도우 방화벽이나 운영체제 보안 측에서 볼 때, 이러한 기술로 전송되는 데이터를 바이패스 한다는 점입니다.

        Symantec에서 지난 5월 10일에 발견된 이 트로이목마("downloader"로 감지)는 안티 바이러스의 동작을 방해하는 등의 동작을 하지 않지만, 연결 방식으로 BITS만을 사용한다는 점에서 눈길을 끌고 있습니다. 자세한 내용은 아래 링크를 참고하기 바랍니다.

        출처: FoxNews.com

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus

          최근에 윈도우 XP의 라이선스 액티베이션을 이용하는 흥미로운 트로이 목마가 발견되었습니다. Symantec에 따르면, Troyan.Kardphisher라고 명명된 트로이 목마는 기술적인 헛점이 아니라 사회 공작 즉, 사용자를 속이는 공격을 합니다.

          윈도우 XP를 처음 설치하면 아래와 같이 액티베이션 여부를 물어보는 단계가 있습니다.

          그런데, 이 트로이 목마가 감염되고 나서 컴퓨터를 재부팅하고 나면 위의 화면이 나오게 됩니다.문제는 여기서, Yes나 No만 선택할 수 있고, 작업 관리자등 다른 모든 작업을 진행할 수없습니다. 그 다음에는 액티베이션 화면에서 아래과 같이 신용카드 정보를 입력하는 단계가 나타납니다. 카드 정보를 제대로 입력하지 않으면 컴퓨터가 종료됩니다.

          트로이 목마를 치료하는 방법은 아래 링크를 참조하세요. http://www.symantec.com/security_response/writeup.jsp?docid=2007-042705-0108-99&tabid=2

          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            판다랩스는 판다라는 안티 바이러스 제품을 개발하는 회사입니다. 이 회사에서 요즘 새롭게 전파되는 Spamta 웜/트로이목마에 대한 간략한 정보가 있어 정리해서 알려 드립니다.

            판다랩스는 Spamta 패밀리(Spamta.VK 웜과 Spamtaload.DT 트로이목마)가 빠르게 전파되고 있다고 경고했다. 이 두 웜과 트로이 목마는 판다랩스의 악성코드 감시 센터에서 대략 80%를 차지할 정도라고 전했으며, Spanta는 최근 몇달간 가장 극성을 부린 것으로 알려졌다.

            Spamta.VK 웜이 컴퓨터에 감염될 때에는 대규모의 메일을 발송하기 위해 다수의 서버에 연결한다. 이 메일 속에는 Spamtaload.DT 트로이 목마가 포함되어 있으며, 실행 파일을 첨부로 숨겨져 있다. 그 다음 순서로는 Spamta.VK의 사본을 다운로드하여 각각의 컴퓨터에 감염시키고 다시 동일한 과정을 진행하여 무차별로 감염 경로를 다각화한다.

            이러한 공격 패턴은 두 가지의 형태가 교묘하게 결합된 명백한 예로, 웜의 전파 기능은 트로이 목마를 널리 배포하는데 사용되고, 그 다음에는 트로이 목마가 각각의 컴퓨터에 웜의 사본을 새롭게 감염시킨다고, 'Luis Corrons'가 전했다.

            판다 社의 Proactive TruPrevent 기술로 이러한 웜의 샘플들을 바이러스 데이터베이스 없이도 진단이 가능하다고 밝혔다. 사용자는 TruPrevent를 설치함으로써 항상 보호받을 수 있게 된다.

            Spamtalord.DT 트로이목마는 자신을 은폐시키기 위해 텍스트 파일과 유사한 아이콘으로 교묘하게 보여 준다. 실행 시에는 오류 메시지를 보여 주고, 컴퓨터가 시작할 때마다 실행할 수 있도록 레지스트리의 시작 관련 부분에 키를 등록한다.

            Spamta.VK 웜은 몇몇 악성 파일을 다운로드하여 실행을 하고, 이메일을 통해 자신을 전파하기 위해 여러 서버에 접속한다.

            Spamta의 공격 코드에는 단 기간내에 다수의 변형이 나타날 수 있는 형태를 포함하고 있다. 해커의 명백한 목표는 한 두개의 변형 버전에 보안회사나 사용자에게 한 두개의 변형 버전에 이목을 집중시키면서 다른 변형으로 눈치채지 못하게 감염을 계속 시도한다. 사용자는 새로운 변형이 출현에 대해 보안을 해야 한다. 사용자와 조직 모두 새로운 악성 프로그램을 진단하고 차단하기 위해서는 판다의 TruPrevent(TM)와 같은 능동적인 방어 기술을 가진 제품으로 보호하기를 추천한다고 'Luis Corrons'가 밝혔다.

            이러한 악성 프로그램/코드이 사용자의 컴퓨터를 감염시켰는지 알아 보려면 다음의 주소에서 판다의 온라인 무료 스캔 프로그램을 통해 검사하고 치료할 수 있다.

             http://www.infectedornot.com/.

            또, 이러한 보안 위협에 대한 정보는 판다 소프트웨어의 백과사전을 참고하기 바란다.

            http://www.pandasoftware.com/virus_info/encyclopedia/.

            원문 출처: http://sev.prnewswire.com/computer-electronics/20070403/LATU09703042007-1.html

            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus


              Web Analytics Blogs Directory