천객만래 [千客萬來] (It has an interminable succession of visitors)

[개발/이론] 악성코드 스파이웨어 분류



http://labs.no-ad.co.kr/net/SpywareDB.aspx

 

• 트래킹쿠키
2개 이상의 다른 사이트에서 공유하는 쿠키입니다. 쿠키는 사이트마다 생성하여 접속 정보를 저장하는 파일인데, 여러 사이트에서 쿠키를 공유하게 되면 사용자의 정보가 유출될 우려가 있습니다. 
• 광고 표시
프로그램 실행 중에 프로그램의 화면 내부 혹은 팝업으로 광고를 노출합니다 
• 로봇
시스템 외부에서 사용자 허락 없이 시스템을 조작할 수 있도록 하는 프로그램입니다. 
• 수집기
개인 정보 혹은 관련된 파일을 수집하는 프로그램입니다. 
• 사기
사용자의 시스템에 대하여 의도적으로 잘못된 정보를 표시하는 프로그램입니다. 
• 제거방해
해당 프로그램을 삭제할 때 불편한 과정을 거쳐야 하거나 제거할 수 없게 하는 프로그램입니다. 
• 비정상적 설치경로
프로그램 제작사의 공식 홈페이지나 포털사이트의 공개자료실 및 패키지형태가 아닌 개인 홈페이지, 동호회 등의 게시판에서 ActiveX등의 형식으로 설치되는 프로그램입니다. 
• 실행방해
다른 정상적인 프로그램의 실행을 방해하는 프로그램입니다. 
• 백도어
외부에서 시스템 내부로 접근할 수 있는 통로를 생성하는 프로그램입니다. 이 통로를 통하여 사용자의 파일을 유출하거나 시스템의 권한을 획득할 가능성이 있습니다. 
• BHO
인터넷 익스플로러의 기능을 추가/확장하는데 사용되는 기술인 Browser Helper Objects의 약자입니다. 하지만 이 기능은 원치 않는 광고를 노출하는 등의 목적으로 이용되기도 합니다. 
• 번들러
다른 프로그램을 포함하여 배포되는 프로그램입니다. 포함되는 프로그램은 설치과정에서 함께 설치되거나, 프로그램 운용중에 설치됩니다. 
• 시스템 설정 변경
윈도우의 시스템 설정을 변경하는 프로그램입니다. 
• IE 설정 변경
인터넷 익스플로러의 설정을 변경하는 프로그램입니다. 
• 다이얼러
인터넷 ISP 혹은 사설 BBS등에 사용자 확인 없이 접속하는 프로그램입니다. 
• 다운로더
다른 프로그램을 네트워크를 통해 다운로드/설치하는 프로그램입니다. 
• 드로퍼
실행 파일 내부에 보관된 악성프로그램을 파일 실행 시 특정한 다른 곳에 복사하는 프로그램입니다. 
• 가로채기
시스템의 설정을 변경하여 사용자의 요청을 가로채어 자신의 목적대로 수행하도록 유도하는 프로그램입니다. 대표적인 예로 강제적인 사이트 포워딩 행위가 있습니다. 
• 후킹
다른 프로그램의 수행을 가로채는(후킹하는) 특성을 가진 프로그램입니다. 
• 설치
설치 기능을 가진 모든 프로그램을 지칭합니다. 
• 키로거
설치 기능을 가진 모든 프로그램을 지칭합니다. 
• 키워드 변경
검색 키워드를 초기화하거나 변경하는 프로그램입니다. 
• 메일러
메일 전송을 가진 프로그램입니다. 
• 루트킷
관리자 권한이나 기타 특수한 접근 권한을 획득하는데 사용되는 프로그램입니다. 
• 툴바
인터넷 익스플로러의 추가기능으로 설치되는 도구모음 프로그램입니다. 
• 트로이 목마
정상적인 프로그램으로 가장하여 정보 수집 등의 기능을 수행하는 프로그램입니다. 
• 바이러스
정상적인 파일 안에 자신을 숨겨 파일이 실행될 때 시스템의 데이터를 변조, 파괴하며 다른 정상적인 파일에 자신을 복제해 넣는 프로그램입니다. 
• 웜
네트워크를 통해 스스로 확산되는 프로그램입니다. 바이러스와 달리 숙주가 되는 파일이 필요하지 않으며, 스스로 실행됩니다. 
• 팝업 표시
사용자에게 불편을 초래할 수 있는 별도의 창을 띄우는 프로그램입니다. 
• 시작페이지 변경
인터넷 익스플로러의 시작 페이지를 초기화하거나 변경하는 프로그램입니다. 
• 시작프로그램 변경
윈도우의 시작 프로그램 항목을 변경하거나 추가하는 프로그램입니다. 
• 로컬 코드 실행
로컬 코드를 실행하는 프로그램입니다. 
• 스파이웨어 제거
스파이웨어 제거 프로그램입니다. 
• 변장 프로그램
다른 프로그램으로 가장하여 특수한 목적을 수행하는 프로그램입니다. Trojan과 비교하여 악의적인 목적을 가지지는 않으나 사용자에게 불편을 초래할 가능성이 있는 프로그램입니다. 
• 즐겨찾기 변경
웹브라우저에 즐겨찾기를 추가하거나 변경하는 프로그램입니다. 
• 바로가기 생성
바탕화면에 바로가기를 생성하는 프로그램입니다. 
• 해킹툴
시스템의 정보를 유출하거나 변조/파괴하기 위해 사용하는 프로그램이며 일반적으로 시스템의 보안 취약점을 이용합니다. 




Posted by SB패밀리

스파이웨어 피해방지 요령 및 대처방법


1. 스파이웨어 피해 방지 요령

이용자가 정품 소프트웨어 사용 등의 보안의식을 생활화하는 것이 스파이웨어의 피해를 줄일 수 있음

- 인터넷은 믿을 수 있는 사이트 위주로 방문하고, 의심되는 고아고나 링크는 클릭하지 않기
- 출처, 첨부파일 등이 의심스러운 이메일은 열어보지 말고, 바로 삭제하기
- 소프트웨어 설치를 알려주는 "보안경고창"이 뜰 경우, 믿을 수 있는 사이트에서만 "예"를 선택하고, 그렇지 않은 경우에는 "예", "아니오" 중 어느 것도 선택하지 말고 사이트 닫기
- 일주일에 한 번 윈도우 등 주요 소프트웨어 보안 패치하기
- 정기적으로 백신 소프트웨어 업데이트 하기

2. 스파이웨어 감염시, 대처 방법

스파이웨어에 감염되었을 경우에는 '스파이웨어 제거 프로그램'을 이용하여 치료하시고, 필요시에는 한국정보보호진흥원에 신고(http://www.krcert.or.kr)



Posted by SB패밀리

[광고/마케팅] 인터넷 사용자 상당수, 강제로 접한 온라인 광고 불신





기업 간 홍보경쟁이 치열해 지면서 온라인 팝업광고 등을 통해 제품과 회사를 홍보하는 기업들이 늘고 있다. 하지만 정작 인터넷 사용자들은 원치 않는 강제적 광고를 접할 경우 해당 기업과 제품에 거부감을 느끼는 것으로 밝혀졌다.

이는 취업포털 잡코리아(www.jobkorea.co.kr)가 최근 전국 20세 이상의 성인 남녀 815명을 대상으로 <애드웨어를 통한 불법 인터넷 광고 인식 여부>에 관해 조사를 실시한 결과 드러난 사실이다.

애드웨어란, 컴퓨터 사용 시 자동적으로 광고 사이트가 표시되게 하는 악성코드의 일종이다. 기업들이 자사 홈페이지 방문 유도 및 제품 홍보를 위해 P2P사이트(음악, 영화, 게임 다운로드 사이트) 프로그램을 인스톨 시, 한꺼번에 사용자 동의를 구해 실제 사용자는 해당 프로그램이 깔리는지 미처 파악하지 못한 채 원치 않는 광고에 노출되게 하는 방식이다.

실제로 이번 설문에 참가한 815명의 남녀 중, 80.2%(654명)가 '애드웨어 감염을 경험한 적이 있다'고 답했고 이들 중 60.6%는 어떤 경로로 감염됐는지조차 모르고 있었다.

애드웨어 감염에 따른 스트레스 정도를 5점 척도(5점_매우 스트레스~1점_스트레스 없음)로 표시하게 한 조사에서도 응답자 2명 중 1명에 해당하는 53.4%가 '매우 스트레스'라고 답했고, 29.7%는 그 다음 단계인 4점을 표시했다.

반면 '스트레스 없음'이라고 답한 사람은 1.7%로 아주 극소수였다.

그렇다면 인터넷 사용자들은 애드웨어 감염으로 인해 어떤 불편(*복수응답)을 겪고 있을까?

질문 결과, △원치 않는 광고를 접하는 스트레스(52.9%)가 가장 큰 것으로 조사됐다. 다음으로 △네트워크 트래픽 발생으로 인한 부팅속도 느려짐 등 컴퓨터 기능 저하(44.6%) △인터넷 검색 및 이용에 방해(36.7%) △개인정보 노출에 대한 불안감(22.6%) △애드웨어를 제거하기 위해 들이는 시간 허비(14.1%) 등의 불편함을 호소했다.

그렇다면 애드웨어를 통한 광고효과는 어떠할까? 안타깝게도 기업들이 많은 비용을 들여 시행하고 있는 해당 광고 방법은 긍정보다는 역효과를 유발하는 것으로 파악됐다.

애드웨어를 통해 광고를 접한 인터넷 사용자 대부분이 해당 기업과 제품 등을 불신하고 있었던 것.

설문 참가자 83.8%가 '애드웨어로 접한 웹사이트, 제품, 기업 등에 대해 불신한다'고 답했고, 반면 기업과 해당 제품이 친숙하게 느껴진다는 의견은 2.0%에 불과했다.

특히, 애드웨어를 이용하는 기업에 대해 △비윤리적(88.7%)이며, △신뢰할 수 없다(88.1%) △불공정 거래를 할 것 같다(87.8%) 등의 상당히 부정적인 인식을 가지고 있었다.

출처:잡코리아

http://media.daum.net/press/view.html?cateid=1065&newsid=20120517090814499&p=newswire

Posted by SB패밀리
출처: 하우리 

PC와 인터넷의 급속한 발전은 우리에게 편리함을 줌과 동시에 수많은 악성코드들을 만들어 냈으며, 해마다 그 악성코드의 양은 크게 증가하고 있다. 독일의 한 안티바이러스 연구기관인 AV-Test.org 에서는 다음과 같은 흥미로운 데이터를 발표했다. 매년 증가하는 유니크한 악성코드 샘플의 통계를 작성하여 발표한 것이다. 2009년 5월을 기준으로 약 2200만개의 누적 샘플 개수를 보이고 있으며, 최근 2~3년동안 매년 약 2배 이상의 증가 추세를 보이고 있다. 




이처럼 악성코드는 백신업체들이 감당하기 힘들만큼 크게 증가하고 있으며, 앞으로 그 양은 점점 더 많아질 것이다. 그럼 이러한 악성코드들을 현재 백신업체들은 어떻게 탐지하고 진단하고 있을까? 먼저 백신업체들은 접수된 샘플들의 악성행위 여부를 판단해야할 것이다. 

1. 악성코드의 일반적인 행위들

바이러스 분석가들은 접수된 샘플의 무엇을 보고 악성코드임을 확인할 수 있을까? 악성코드들은 일반적으로 다음의 행위들을 수행하며, 분석가들은 크게 정적 분석과 동적 분석을 통해 해당 행위들을 식별하게 된다.

(1) 최초 감염

* 취약점(80% 이상)을 통한 최초 파일 생성
악성코드가 최초로 PC에 감염되기 위해서는 어떠한 선행 이벤트가 반드시 수행되어야 한다. 사용자가 이메일의 첨부파일을 클릭한다던지, USB를 PC에 꽂거나 또는 인터넷으로부터 특정 파일을 다운로드하여 실행하는 등의 행위들이 먼저 일어나게 되며, 그러한 행위로 인해 악성코드들이 PC에 감염되게 되는 것이다. 먼저 앞의 이러한 행위들은 대부분 사용자의 부주의로 인해 발생하는 경우가 많다. 하지만 최근의 악성코드 감염은 사용자도 모르게 PC의 운영체제 또는 웹브라우저 등과 같은 애플리케이션의 취약점을 통하여 은밀하게 이루어지고 있으며, 이는 전체 감염 원인의 80% 이상을 차지하고 있다. 따라서 PC의 취약점을 패치하여 제거하는 것만으로도 악성코드 감염의 대부분을 예방할 수 있다.

(2) 파일 생성

* 자신복사, 다운로드, 드롭
악성코드가 최초로 PC에 감염되게 되면, 악성코드의 실체인 파일(자신)을 시스템 어딘가에 위치시키게 된다. 주로 임시폴더에 최초 생성된 악성코드를 시스템폴더로 복사하게 된다. 또한 다른 악성코드를 인터넷에서 다운로드하거나, 자신의 몸체에 담고 있는 다른 악성 파일들을 꺼내어 드롭하는 등의 행위를 수행한다. 



이러한 행위를 하기 위해 사용되는 파일/디렉토리 관련 API들에는 다음과 같은 것들이 있다.

가. 파일 생성 관련 API
- CreateFile
- ReadFile
- WriteFile
- CopyFile
- GetSystemDirectory
- GetWindowsDirectory 




나. 다운로드 관련 API 
- URLDownloadToFileA 



다. 드롭 관련 API 
리소스 섹션 등으로부터 내부의 파일을 드롭할 때 사용된다. 
- FindResourceA 
- LoadResource




(3) 실행되도록 등록 (부팅 시)

* 레지스트리, 서비스, BHO
악성코드는 가능한 시스템에서 오래 살아남아야 하며, 또한 시스템이 시작될 때마다 실행을 시켜줄 수 있는 무언가가 필요하다. 이를 위해 악성코드는 주로 레지스트리, 서비스 등에 악성코드 파일의 경로를 등록한다. 또한 웹 브라우저등이 실행될 때 사용되는 BHO(Browser Helper Object)에 등록하기도 한다.

주로 악성코드가 사용하는 레지스트리의 경로는 다음과 같다.
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- HKML\SYSTEM\CurrentControlSet\Services

이러한 행위를 하기 위해 사용되는 레지스트리/서비스 관련 API들에는 다음과 같은 것들이 있다.
- RegCreateKey
- RegOpenKeyEx
- RegSetValueEx
- RegQueryValueEx
- CreateServiceA
- OpenServiceA
- StartServiceA 






(4) 프로세스 동작

* 프로세스, 쓰레드, DLL Injection, 서비스
악성코드는 주로 독립적인 프로세스 형태로 동작하거나 다른 정상 프로세스에 Injection되어 쓰레드 상태로 동작한다. 또한 DLL을 Injection하거나 보안 프로그램들을 종료시키기 위해 적당한 프로세스를 검색한다던지 하는 등의 여러 가지 프로세스 관련 행위들을 수행한다.

해당 행위들을 하는 데 관련된 API들은 다음과 같다. 특히 CreateRemoteThread는 DLL 형태의 악성코드를 프로세스에 Injection하기 위해 주로 사용되는 API이다.
- CreateProcess
- FindProcess
- TerminateProcess
- CreateThread
- CreateRemoteThread
- WriteProcessMemory
- ShellExecute
- StartServiceA 






(5) 네트워크 활동

* 포트 오픈, 특정 도메인/포트 접속, IRC 접속 등
악성코드의 가장 활발한 활동은 주로 네트워크 활동으로 나타난다. PC에서 수집한 정보들을 악성코드 제작자에게 전송하기 위해서는 네트워크 관련 활동은 필수적이기 때문이다. 최근의 악성코드들이 개인정보를 절취하는 등의 악성코드인 점을 감안했을 때 네트워크 관련 활동들은 중요하게 다루어질 수 밖에 없다. 또한 악성코드의 전파를 위해서도 네트워크 활동은 꼭 필요하다.

네트워크 활동과 관련하여 사용되는 API들에는 다음과 같은 것들이 있다.
- WSAStartup
- WSASend
- socket
- send
- recv
- listen
- accept
- gethostbyname
- InternetGetConnectedState

(6) 악성행위

* 보안기능 비활성화, 온라인 게임 계정 절취, DDoS, 스팸메일 발송 등
앞서 나왔던 모든 행위들과 관련 API들을 통해 기본적인 악성코드의 행동들을 수행했다면, 다음은 본격적으로 악성코드가 원하는 악성행위들을 수행하는 것이 남았다. 자신을 방해하는 보안 프로그램 및 운영체제의 보안 기능들을 비활성화하거나, 절취하고자 했던 게임 계정 등의 각종 정보를 절취하고, 감염된 수많은 좀비 PC들을 활용하여 특정 서버에 DDoS 공격을 수행하여 서비스를 방해하는 등의 악성행위가 있다. 또한 금전적인 목적으로 돈을 받고 스팸메일을 대신 발송해주는 등의 너무나도 많은 악성행위들이 존재하며 이러한 행위들을 토대로 해당 샘플의 악성코드 여부가 확실하게 판별되며, 악성행위들은 주로 악성코드의 진단명에 영향을 준다. 




2. 악성코드 탐지 기법

바이러스 분석가들이 악성코드의 일반적인 행위들을 식별하여 해당 샘플의 악성코드 여부가 확실하게 가려졌다면 해당 샘플들은 백신제품이 진단할 수 있도록 어떠한 형태로 가공되어야 할 것이다. 일반적으로 백신제품들이 악성코드를 진단하기 위해 사용하는 탐지 기법에는 Signature 기반 탐지 방법과 Heuristic 기반 탐지 방법이 있다.

(1) Signature 기반 탐지

시그니쳐(Signature) 기반 탐지 방법은 악성코드 파일을 유니크(Unique)하게 식별하기 위해 사용되는 방법으로, 시그니쳐는 백신 프로그램이 파일들을 스캔할 때 해당 파일을 유일하게 식별할 수 있도록 사용되는 특정 데이터 부분을 말한다. 여기서 시그니쳐는 패턴이라는 이름으로 불리기도 한다.

대부분의 백신 제품들은 해당 벤더에 알려진 모든 악성코드들을 시그니쳐 형태로 가공한 데이터베이스를 포함하고 있다. 이 데이터베이스는 바이러스 분석가 또는 시그니쳐 제작자들에 의해 식별된 새로운 악성코드들의 시그니쳐들로 정기적으로 업데이트 된다. 제품을 통해 새로운 파일들을 스캔할 때, 데이터베이스로부터 시그니쳐와 파일과의 일치 여부를 확인하게 된다.

다음은 악성코드를 식별하는 오픈소스 프로젝트 도구인 YARA의 시그니쳐 중 일부이다. 특정 String을 시그니쳐로 규정하여 파일에서 해당 String이 일치할 경우 악성코드로 식별하여 탐지하는 방법이다. 



시그니쳐를 설계하고 생성하기 위해서는 먼저 악성코드가 동작하는 운영체제와 파일의 종류들을 식별할 수 있어야 한다. 대부분의 사용자 및 기업의 PC 운영체제 환경이 윈도우(Windows) 시스템을 기반으로 구성되어져 있기 때문에 대부분의 악성코드 또한 윈도우 시스템 기반으로 제작되어 있다. 윈도우 시스템에서는 파일이 실행가능하기 위해서는 PE(Portable Executable)라는 윈도우의 실행파일 형식을 가지고 있어야 한다. 따라서 따라서 대부분의 악성코드가 PE 구조를 가지고 있으며, PE 구조 상에서의 특징을 기반으로 시그니쳐를 생성하는 경우가 많다. 



파일 전체의 데이터를 MD5 및 SHA-1등과 같은 해쉬를 통해 해쉬값을 생성하고, 해당 해쉬값을 시그니쳐로 사용하여 그 값을 비교하는 방법은 쉽게 악성코드를 유일하게 식별할 수 있다. 오진이 거의 없는 탐지 방식이지만, 해당 악성코드 샘플들을 백신 업체들이 모두 보유하고 있어서 해쉬값을 만들 수 있는 경우에만 탐지가 가능하며 악성코드 변종들을 탐지하지 못하는 단점이 있다. 일부 백신제품들에서는 아직도 이 방법을 일부 사용하기도 한다.

일부 변종들이 주로 코드부분은 동일하지만 데이터부분의 데이터들을 조금씩 바꾸는 경우가 많은 것에 착안하여 PE 구조의 코드 섹션 영역만을 해쉬하여 시그니쳐로 사용하기도 한다.

탐지의 속도 및 정확성을 증가시키기 위해 파일의 특정 위치로부터 특정 범위까지의 해쉬값을 시그니쳐로 사용하는 방식은 국내 백신업체들이 가장 많이 사용하고 있는 방식이다. 주로 파일이 실행될 때 코드의 시작지점인 엔트리 포인트를 기준으로 특정 위치를 지정하고, 그 위치로부터 특정 범위의 값을 CRC, MD5 등과 같은 해쉬값으로 계산하여 시그니쳐를 생성하는 방식이다.

일반적으로 시그니쳐 기반의 탐지 방법은 정확성이 매우 뛰어나며, 탐지 속도가 빠른 장점이 있다. 하지만 악성코드 파일이 조금만 바뀌어도 탐지를 할 수 없게 되는 문제가 많으며 변종들에 대한 탐지가 쉽지 않다. 최근의 악성코드의 급격한 증가로 수십, 수백만의 새로운 악성코드들을 모두 수집하여 시그니쳐를 생성하는 데는 무리가 있다. 이에 백신업체들은 자동화된 악성행위 분석 시스템과 시그니쳐 생성 시스템을 운영하여 접수되거나 수집된 샘플들에 대한 시그니쳐를 생성하고 변종과 새로운 악성코드들을 탐지하기에 효과적인 Heuristic 기반 탐지 기법을 병행 도입하여 악성코드에 대응하고 있다.

(2) Heuristic 기반 탐지

휴리스틱(Heuristic) 기반 탐지 방법은 시스템의 룰과 패턴을 사용하여 알려지지 않은 악성코드를 탐지하기 위해 사용하는 기법이다. 대부분의 백신제품들은 시그니쳐 기반 탐지를 보조하기 위해 향상된 탐지와 효율성의 몇가지 형태의 휴리스틱 기법을 사용한다.

시그니쳐를 사용하여 정확하게 탐지되지 않는 악성코드는 정의된 의심스러운 기준들의 휴리스틱 룰셋과 비교하여 탐지하게 된다. 특정한 코딩 기법의 사용, 의심스러운 것으로 생각되는 행위와 구문들과 그러한 의심스러운 행위들의 조합 등을 통해 해당 파일에 대한 위험을 정의한다.

변종 및 유사한 악성코드들을 Generic하게 탐지하기 위해 사용되는 Generic 탐지 기법 또한 일종의 휴리스틱 유형 중의 하나이다. 악성코드를 시그니쳐 기반 방식으로 정확하게 식별하지 못하는 경우에 알려진 악성코드들의 유사성을 고려하여 탐지할 수 있도록 사용된다.

앞서 악성코드의 일반적인 행위들을 살펴보았다. 일반적인 행위들에서 사용된 API들의 사용 빈도와 사용 순서들의 조합을 하나의 룰셋으로 정의하고 일정 임계치를 정의하여 해당 임계치 이상의 사용이 감지될 경우 악성코드로 간주하는 것도 일종의 휴리스틱 기법의 예이다.

윈도우 시스템 상에서의 PE 구조를 갖는 악성코드의 경우 다음과 같은 몇 가지 의심스러운 PE 구조 특징을 정의하고 휴리스틱 진단에 이용하게 된다.

- 코드의 실행이 마지막 섹션에서부터 시작될 경우
- 의심스러운 섹션의 Characteristics
- 의심스러운 엔트리포인트로부터 다른 섹션으로의 이동
- 의심스러운 섹션의 이름

이렇듯 휴리스틱 기반 탐지는 시그니쳐 기반 탐지에 비해 해당 룰셋을 정의하기 위해 사전 연구와 많은 분석 및 테스트가 필요하다. 과거의 백신제품들이 시그니쳐 기반 탐지 방식에 많이 의존하였다면, 최근에는 악성코드의 증가로 새로운 악성코드들의 효과적인 진단을 위해 휴리스틱 기반 탐지 기법에 대한 많은 연구와 활용이 증가하고 있다. 하지만 휴리스틱 기반 탐지 기법은 향상된 탐지 능력과 효율성을 갖게 되는 반면에 탐지 속도가 느려지는 단점이 있으며, 오탐(False Positive)의 가능성이 크다는 단점이 있다. 앞으로 얼마나 이러한 단점들을 극복해낼 수 있느냐에 백신 업체들의 기술력이 판가름 날 것이다.

(주)하우리 기술연구소 기반기술팀 연구원 최상명 

출처: 
http://ssl.hauri.co.kr/customer/security/colum_view.html?intSeq=93&page=2 
Posted by SB패밀리
홈페이지 은닉형 악성코드 유포 패턴 분석방법 연구


출처:  한국인터넷진흥원
Posted by SB패밀리
악성코드 분석 방법론

 출처: KISA - 동명대학교 정보보호동아리 THINK (2007.10.21)

 
Posted by SB패밀리
악성코드에 한 번 잡히게 되면 악성코드 오진 신고를 하거나 새로 만들게 된다.

이 때 여러가지 기술이 있는데... 회피하는 방법 여러가지를 만들어 둬야겠다.

알약을 보면 기득권 같다..권한은 많고 책임은 적은
악성코드 분류 정보가 없다... 마음대로 진단한다는 건지... ㅜㅜ; 
Posted by SB패밀리
아이쇼소프트 사의 아이쇼 사이드바가 알약 2011.08.01 일자로 악성코드로 진단되었습니다.

트로이목마 Trojan.Generic.6277621(1) 로 분류되었습니다.

실행 파일명은 softsideengine.exe 다른 파일명으로 배포 될 수도 있습니다.

만약, 알약 악성코드 진단 오진이면 알려주세요.



Posted by SB패밀리
포토샵을 설치하면 자동을 설치되는 프로그램 Bonjour.
mDNSResponder.exe 라는 프로그램으로 사용자의 시스템 리소스를
허락도 없이 사용하는 프로그램이다.
아도브사의 adobe CS3를 설치하면 사용자의 허락없이 자동으로 설치되고
방화벽에도 자동으로 예외프로그램으로 등록이 된다.
그렇다고 무엇인지도 모르고 삭제할 수도 없고
자동으로 상주되는 프로그램이라 바로 삭제가 되지도 않는다....

자세한 방법은 아래 글을 읽어보자.


Posted by SB패밀리

아이폰 주식시대가 왔다고 한다.
아이폰으로 주식거래서비스가 되기 때문이다.
그동안 문제가 되어온 스마트폰에 대한 보안문제가 해결되어 공인인증서나 악성코드 등을 방지할 수 있다는 것이다.

그럼 현재 아이폰 주식거래가 되는 증권사는 어디인가?

미래에셋증권, KB투자증권은 2월10일부터 증권거래서비스를 오픈했다.
이 증권사의 주식거래 서비스를 이용하려면 애플 앱스토어에서 어플리케이션을 다운받아 증권사 홈페이지를 PC나 노트북으로 접속하여 아이폰으로 공인인증서를 내려받으면 된다고 한다.
미래에셋증권은 오픈기념 이벤트를 3월 31일까지 한다고 하니.. 참고하시기 바랍니다.


SK증권은 3월 3일부터 아이폰 증권거래가 가능하다고 했다.
여기에 지난 1월에 시세 조회서비스를 오픈한데 이어 선착순 2000명에게 월 500만원 주식거래만으로 스마트폰을 무료로 제공하는 약정할부금 지원이벤트를 지난달 8일부터 시행하고 있다.
Posted by SB패밀리