안티 루트킷 프로그램 중의 하나인 XueTr이 v0.4 버전을 출시했습니다. 이 제품은 윈도우 2000, XP, 2003, Vista, 2008, Windows 7을 지원합니다. 다만, 일부 운영체제에서는 64비트를 지원하지 않을 수도 있습니다.



감사합니다.


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    무료백신으로 인기를 얻고 있는 어베스트! 안티바이러스 제품의 차세대 버전인 V5의 베타 테스트가 진행 중에 있습니다.

    V5 버전의 가장 큰 특징은 슈트(Suite)의 도입입니다. '슈트'란 안티바이러스 엔진 이외에 안티 스팸, 방화벽과 같이 추가적인 보안 대책을 제공하는 프로그램의 유형을 의미합니다.

    최근에는 어베스트! V5 인터넷 시큐리티의 베타 테스트도 함께 진행되고 있는데, 설명서의 내용 중에 제품의 로드맵이 나타나있어서 소개합니다.

    어베스트!의 다음 버전에서는 다음과 같이 3가지의 형태로 공급됩니다.
    • 어베스트! 프리 안티바이러스 - 기존 어베스트! 홈 에디션과 동일하며, 개인에 한해 무료로 사용할 수 있습니다.
    • 어베스트! 프로 안티바이러스 - 기존 어베스트! 프로페셔널 에디션과 동일하며, 평가판은 30일간 제공되며, 그 이후에는 구매하셔야 사용하실 수 있습니다.
    • 어베스트! 인터넷 시큐리티 - 새롭게 추가된 제품으로, 상용 제품입니다.
    제품 별로 제공되는 기능은 다음과 같습니다.

     

    어베스트! 프리

    안티바이러스 5.0

    어베스트! 프로

     안티바이러스 5.0

    어베스트! 인터넷

    시큐리티 5.0

    고성능 안티바이러스 엔진
    안티-루트킷
    안티스파이웨어
    스크립트 쉴드(프로바이더) 아니오
    프로세스 가상화 아니오
    명령행 검사기 아니오
    안티-스팸 아니오 아니오
    방화벽 아니오 아니오

    참고로, 어베스트! V5 버전은 2010년 1월 초로 예정되어 있다고 합니다. 하지만, 위의 내용뿐만 아니라 출시 일정은 사정상 변경될 수 있다는 점을 유의하시기 바랍니다.

    감사합니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      지난 4월에는 바이러스 평가 기관으로 유명한 AV-TEST에서 윈도우 XP/비스타 운영 체제를 바탕으로 루트킷의 진단 및 치료에 대한 테스트 결과가 웹사이트에 공개되었습니다. 간단하게 정리해서 올려 봅니다.

      최초로 PC에 바이러스가 출현한 때를 회상(!)해 보면, 파일/부트 바이러스가 다수였으며 일부 메모리 상주 바이러스 등 그 전파 방법이라든지 파괴(공격) 수법이 간단하였습니다. 하지만, 최근의 상황을 보면 다양한 공격 방법을 사용하고 시스템에 미치는 영향도 매우 다양합니다. 파일을 삭제, 변조하는 경우도 있지만 일부 공격에서는 사용자가 감염된 것을 알 수 없도록 은폐하는 기법까지 사용합니다. 또한, 이메일을 통해 감염되면서 다양한 방법으로 다른 사람에게 전파하는 경우도 있습니다.

      루트킷에 대한 간략한 정의는 아래 링크를 참고하시기 바라며 본격적으로 테스트 결과를 살펴 보도록 하겠습니다.

      참고자료: http://cafe.naver.com/malzero/15338 네이버 바이러스제로 시즌2 - 베스트 님.

      1. 테스트 샘플 선정

        전체 60개의 루트킷 샘플을 준비하였으며 윈도우 XP를 기준으로 했다. 샘플에는 Sony에서 개발한 것으로 알려져 시끄러웠던 XCP/First4Internet과 독일 DVD 미스터 앤 미시즈 스미드에 사용된 Settec이 포함되어 있다. 또한 Agent, Delf, Dragonbot, Feebs, Fuzen, Graybird, Hacker Defender, Haxdoor, Hider, Hupigon, iBill, Kenfa, Klone, Madtol, Maslan, NsAnti, NT Illusion, NT Rootkit, Nuwar, Pakes, PC Client, QQPass, Rontokbro, Small, Tibs, Wpla, X-shadow 및 그 변종들도 포함되었다.

        참고로 윈도우 비스타에서는 위에서 언급한 샘플 중 6개만이 정상 동작하기 때문에 별도로 언급하지 않는다. 이 글의 하단에 있는 링크를 통해 참고하기 바란다.

      2. 동작하지 않는 루트킷 탐지 테스트

        일반적으로 안티 바이러스 제품은 서명(Signature)을 이용하여 악성 프로그램을 진단한다. 이러한 방식으로 루트킷을 진단하는 것은 매우 중요한데, 이는 실시간 감시 기능에서 루트킷이 동작하여 설치되는 것을 예방할 수 있기 때문이다.

        테스트에는 수동 검사(On-demand scan)과 실시간 감시(realtime guard) 모두가 사용되었다. 만약 실시간 감시에서 다운로드하여 실행하는 루트킷을 진단하지 못하는 경우에는 치명적인 결과를 가져온다는 것은 쉽게 알 수 있는 사실이다.

        웹 기반의 스캐너는 보통 Active-X 컨트롤을 설치하여 이용하는 방식으로 웹에 접속하여 최신의 데이터베이스를 다운로드한 이후에 검사한다.

      3. 진단 및 치료 성능 테스트

        이 테스트에 사용된 루트킷 샘플은 "실제로" 동작하는 루트킷으로 감염시에는 객체, 파일, 레지스트리 등을 변조하거나 숨기는 특징을 보이게 된다. 루트킷을 발견하여 치료하는 경우에는 이러한 변조된 상태를 원래대로 되돌리고 감염된 부분을 모두 제거하는지 알아 보는 테스트이다. 이 테스트를 위해서는 실시간 감시 기능을 끈 상태로 진행하였다.

      4. 테스트 결과

      제품 이름

      버전

      동작하지 않는 루트킷 진단

      동작하는 루트킷 진단

      루트킷이 숨긴 악성프로그램 진단

      동작하지 않는 루트킷 제거

      동작하는 루트킷 제거

      루트킷이 숨긴 악성프로그램 제거

        

      샘플 개수

      30

      30

      30

      27

      30

      30

      인터넷 보안 제품

        

        

        

        

        

        

        

      Avira AntiVir Premium Security Suite

      7.06.00.168

      28

      29

      30

      25

      7

      7

      BitDefender Internet Security Suite 2008

      11.0.13

      30

      28

      29

      27

      23

      27

      Bullguard Internet Security Suite

      7.0.0.27

      30

      7

      10

      27

      4

      0

      G-DATA Internet Security Suite 2008

      18.0.7227.533

      30

      9

      4

      27

      7

      0

      Kaspersky Internet Security 7.0

      7.0.0.119

      28

      24

      28

      25

      22

      25

      Kaspersky Personal Security Suite V

      6.0.2.621

      28

      21

      27

      25

      19

      17

      Norton Internet Security 2008

      15.0.0.60

      25

      18

      25

      25

      18

      25

      웹 기반 스캐너

        

        

        

        

        

        

        

      BitDefender Online Scanner

      1.0.2422

      30

      5

      3

      27

      2

      0

      F-Secure Online Virus Scanner

      3.2b(1.0.64)

      24

      27

      26

      24

      23

      23

      Kaspersky Online Scanner

      5.0.98.1

      28

      6

      21

      25

      0

      0

      Microsoft Windows Live Safety Scanner

      1.1.3007.0

      20

      17

      25

      19

      10

      8

      Panda Security ActiveScan

      5.54.01

      28

      25

      26

      27

      15

      26

      Trend Micro HouseCall

      6.6(1103-1060)

      27

      8

      5

      27

      7

      1

      안티 루트킷 프로그램

        

        

        

        

        

        

        

      AVG Anti-Rootkit Free

      1.1.0.42

      n/a

      30

      29

      n/a

      26

      27

      Avira Rootkit Detection

      1.0.1.17b

      n/a

      28

      30

      n/a

      23

      28

      BitDefender Rootkit Uncover

      1.0b2

      n/a

      24

      28

      n/a

      16

      12

      F-Secure Blacklight

      2.2.1064.0b

      n/a

      28

      28

      n/a

      20

      27

      GMER

      1.0.13.12551

      n/a

      30

      28

      n/a

      19

      26

      IceSword

      1.2.2.0

      n/a

      25

      26

      n/a

      10

      6

      McAfee Rootkit Detective

      1.1.0.0

      n/a

      26

      29

      n/a

      21

      28

      Microsoft Rootkit Revealer

      1.71.0.0

      n/a

      15

      14

      n/a

      n/a

      n/a

      Panda Security Anti-Rootkit

      1.07.00

      n/a

      24

      28

      n/a

      22

      27

      Rootkit Unhooker LE

      3.7.300.509

      n/a

      30

      30

      n/a

      22

      28

      Safe'n'Sec Pro

      3.0.0.4104

      n/a

      18

      9

      n/a

      7

      3

      Sophos Anti-Rootkit

      1.3.1(1.07)

      n/a

      26

      26

      n/a

      17

      24

      System Virginity Verifier

      2.3

      n/a

      15

      3

      n/a

      10

      3

      Trend Micro Rootkit Buster

      1.6b

      n/a

      30

      29

      n/a

      20

      24

      1. 마무리

        실제 이 데이터를 보면서 100% 성능을 보장하리라 확신하는 유저는 없으리라 생각되지만, 루트킷에 대한 다양한 테스트 결과를 보면 어느 한 측면에서 우위를 점하더라도 다른 부분에서 취약한 경우가 많다. 자기가 사용하는 보안 제품과 더불어 함께 안티 루트킷 전문 프로그램을 현명하게 선택한다면 보다 나은 보안을 갖출 수 있다고 생각된다.

        자료: http://www.av-test.org/down/papers/2008-04_vb_rootkits.pdf

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        요즘 루트킷이 점차 세력을 뻗치고 있습니다. 안티 바이러스 백신은 한 두개만 있어도 충분히 커버가 되지만, 루트킷의 경우 적어도 3-4가지 이상은 사용해야만 안전을 보장 받을수 있습니다.

        아래 표는 제가 사용하는 루트킷을 총정리해 둔 것입니다. 물론, 이 이외에도 안티루트킷이 있기는 하지만 회사의 지명도나 기술력을 감안하여 정리해 놓은 것입니다.

        날짜와 버전은 틀릴 수 있으며 링크는 제품 링크와 다운로드 링크를 구분했습니다.

        유용하게 사용하시기 바랍니다.


        Anti-RootKit 프로그램 정리

        프 로 그 램

           

        버전

        링크

        AVG

        Anti-Rootkit

        2007-04-13

        V1.1.0.42

        http://free.grisoft.com/doc/5390/lng/us/tpl/v5#avg-anti-rootkit-free

        http://free.grisoft.com/softw/70free/setup/avgarkt-setup-1.1.0.42.exe

        BitDefender

        RootkitUncover

        2007-04-13

        V1.0 Beta 2

        http://beta.bitdefender.com/showmain.php

        http://download.bitdefender.com/windows/desktop/internet_security/beta/bitdefender_isecurity_v10-RC1.exe

        http://download.bitdefender.com/windows/desktop/internet_security/beta/bitdefender_antirootkit-BETA2.exe

        F-Secure

        BlackLight

        2007-04-13

        V2.2.1061

        http://www.f-secure.com/blacklight

        https://europe.f-secure.com/exclude/blacklight/fsbl.exe

        HiJack This

        2007-04-13

        V1.99.1

        http://www.tomcoyote.org/hijackthis/

        http://tomcoyote.org/hjt/hjt199//hijackthis.zip?

        Lavasoft

        ARIES Rootkit Remover

         

         

         

        http://www.majorgeeks.com/Lavasoft_ARIES_Rootkit_Remover_d4912.html

        Rootkit Hook Analyzer

         

        V2

        http://www.resplendence.com/hookanalyzer

        http://www.softpedia.com/get/Security/Security-Related/RootKit-Hook-Analyzer.shtml

        Rootkit Revealer

         

        V1.71

        http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx

        http://download.sysinternals.com/Files/RootkitRevealer.zip

        Sophos

        Anti-Rootkit

         

        V1.2

        http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html

        http://www.sophos.com/products/free-tools/sophos-anti-rootkit/eula

        http://www.sophos.com/support/cleaners/sarsfx.exe

        Panda Anti-Rootit

         

         

        http://www.pandasoftware.com/products/antirootkit/

        http://acs.pandasoftware.com/marketing/promo/en/antirootkit.exe

        McAfee

        Rootkit Detective

         

        V1.0

        http://vil.nai.com/vil/stinger/rkstinger.aspx

        http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          보안 벤더로 유명한 맥아피(www.McAfee.com)에서 루트킷을 진단 치료할 수 있는 루트킷 디텍티브 1.0(Rootkit Detective 1.0)을 무료로 공개합니다.

          다운로드: http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

          주요 특징은 다음과 같습니다.
          • 프로세스, 파일, 레지스트리 등 숨겨져 있는 개체들을 진단할 수 있다.
          • 시스템에서 실행 중인 모든 프로세스의 정보를 보여 준다.
          • SSDT(System Service Descriptor Table) 후킹, 사용자/커널의 IAT/EAT(Import/Export Address Table) 후킹과 같은 다양한 후킹 정보를 보여 준다.
          • 발견된 숨겨진 파일/레지시트리를 치료/삭제할 수 있다.
          • 악성 코드가 실행 중인 프로세스를 종료시킬 수 있다.
          • 사용자는 샘플을 관련 사이트에 접수할 수 있다.

          사용할 수 있는 운영체제는 다음과 같습니다.

          • WIndows XP 홈 SP2
          • Windows XP 프로 SP2
          • Windows 2000 SP4
          • Windows 2000 서버
          • Windows 2003 서버 SP1

          다른 안티 루트킷 제품에 비해 운영체제면에서 서버급을 지원한다는 점에서 훨씬 강점을 가지고 있습니다.

          아래 화면은 루트킷 디텍티브를 실행한 것입니다.

          사용자 삽입 이미지

          아래 화면은 Vanish라는 루트킷을 감지해 낸 것입니다.
          사용자 삽입 이미지


          그리고, 다음 사항을 주의해야 합니다.

          • McAfee Entercept Products에 관계된 레지스트리 항목을 진단합니다.
          • McAfee Antispyware Enterpise에 관계된 mfehidk.sys 파일을 후킹한 커널 서비스로 진단합니다.
          • Windows 2000 SP4 환경에서 shim.dll을 가리키는 IAT/EAT 후킹을 진단합니다.
          • Zone Alarm의 vsdatant.sys를 진단합니다.
          • Go Back software가 설치된 시스템에서는 Goback2k.sys 파일을 후킹한 서비스로 진단합니다.
          • F-Secure Internet Security Suite 2006이 설치된 시스템에서는 fsndis5.sys 파일을 후킹한 서비스로 진단합니다.
          • Kaspersky Internet Security 2006이 설치된 시스템에서는 klif.sys 파일을 후킹한 서비스로 진단합니다.
          • McAfee Desktop Firewall이 설치된 시스템에서는 FireTDS.sys 파일을 후킹한 서비스로 진단합니다.
          • McAfee Host Intrusion Prevention이 설치된 시스템에서는 Hidsys.sys 파일을 후킹한 서비스로 진단합니다.
          • VSE 제품이 설치된 시스템에서는 ZwCreateThread라는 서비스 이름을 진단합니다.
          • 윈도우 2000 플랫폼에 Kaspersky Internet Security 2006이 설치된 경우에는 실행이 안됩니다.
          • IAT/EAT와 SSDT 후킹으로 진단한 많은 사항들은 적합한 프로그램이 사용하는 경우도 있으니 주의해야 합니다.

          감사합니다.

          PS: 사용해본 결과 McAfee의 명성답게 확실히 검사하기 때문에 좀 느립니다. ㅎㅎ.


           


          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus


            Web Analytics Blogs Directory