보안 48

문서파일을 mp3로 바꾸는 TeslaCrypt 3.0 랜섬웨어.

광학현미경을 오퍼하는 친구가 있는데... 이번에 문서파일이 mp3로 바뀌었다고 전화가 와서 방문을 했었습니다. 문서가 있는 폴더에 Recovery+~ 파일이 html, txt, png로 각각에 있었습니다. mp3 파일의 파일 속성을 보니까.. 속성값은 그대로 엑셀파일로 인식하는 것 같아서 확장자를 xls로 바꾸고 열었더니.. Recovery+~.html 이 뜨면서 돈을 요구하는 안내 문서(비트코인 1000달러)가 뜨고 엑셀안의 데이타가 전부 깨져서 나왔습니다. 다른 jpg나 pdf문서들도 마찬가지 경우 였습니다. 확장자를 바꾸고 내용을 보니까, 전부 내용이 깨져서 보입니다. 이상한 프로세스가 있나 싶어서 작업관리자, dll, 서비스를 두져 봤는데 없더군요 문서 파일만 타킷을 삼은 것 같았습니다. 원인 체..

보안 2016.03.20

알약이나 v3중에서 무얼 설치하는게 더 좋을까요??

알약이나 v3중에서 무얼 설치하는게 더 좋을까요?? 컴퓨터는 윈도우 7이에요.. 바이러스 보안 q&a 중에서 가장 많은 질문이 바로 이 문제 였습니다. 수 년간 수많은 컴퓨터를 봤는데 개인적인 생각으로는 평상시에는 v3, 알약 모두 '실시간 검사'를 꺼두는 것이 좋고 인터넷 사용하다가 느낌이 좋지 않다 싶으면, '실시간 검사'를 켜서 사용하는 방법이 제일 좋을 듯 합니다. 인터넷이나 프로그램을 실행 중에 바이러스 체크의 영향을 덜 받고 싶으면 v3를 사용하는 편이 좋고, 오프라인에서 알약을 사용하는 것이 좋을 듯 합니다. v3가 프로세스 감시 측면에서 리소스가 덜 먹는 장점이 있습니다. 윈도우는 사용자 프로세스를 하드디스크의 가상메모리를 사용하기 때문에 바이러스 프로그램이 메모리를 체크하는 과정에서 당연..

보안 2015.03.27

v3가 실행이 안되요

v3가 실행도 안되고 바로 닫힌다는 질문이 많네요 안랩의 답변을 참고 하세요. V3 아이콘을 클릭해도 실행되지 않거나 창이 바로 닫힙니다. 최근 특정 프로그램의 보안 취약점 패치가 되어 있지 않은 경우 해당 취약점을 통해 시스템을 공격하는 악성코드가 유행하고 있으며 현재 변종에 감염된 경우 발생될 수 있사오니 아래의 전용백신으로 검사를 요청드립니다. 작업 중인 창을 모두 닫은 후 아래의 조치를 진행해보시기 바랍니다. 1) [V3 GameHack Kill 전용백신 다운로드](클릭)하여 파일을 PC에 저장합니다. 2) 저장된 파일을 실행하여 [검사] > [전체 치료]합니다. 3) 컴퓨터 재부팅 후 V3가 실행되는지 확인합니다. 4) V3실행하여 [PC검사]-[정밀검사]를 진행하여 하드디스크 전체를 검사합니다..

보안 2013.03.05

인증서 믿을 만 한가...

현재 2048 SSL 인증서를 서버에 적용중에 있습니다. Windows XP SP2 이하 버전에서 2048 SSL 인증서(SHA-2)는 지원하지 않아서 안되는 것으로 알고 있습니다. 그래서 SHA-2 를 SHA-1으로 설정하고 SSL 인증서를 서버에 적용하였으나 마찬가지로 오류가 나고 있습니다. SP2 이하에서 SHA2 알고리즘 외에도 다른 이유로 인해서 2048 SSL 인증서를 지원하지 못하는지 궁금합니다. 확인 부탁드립니다. ========================== SP3 로 업그레이드 Windows Update 및 윈도우즈 다운로드 센터에서 수동으로 파일 다운로드 및 설치를 진행합니다. sha 1,2는 알고리즘 상에 취약성 때문에 행정안전부부터 사용하지 않는 것으로 알고 있습니다. 서버에서는..

보안 2012.11.16

자동실행 프로그램의 순서를 찾아보기.

자동실행되는 프로그램의 순서를 바꾸고자 하는 이슈가 많더군요. 기본적으로 윈도우에서 레지스트리에서 어떻게 읽어 오는지 알아보겠습니다. 윈도우 부팅, 드라이버 로드 과정. 윈도우의 기본장치, 디스크나 그래픽, 키보드, 마우스 등의 장치 드라이버를 먼저 로드합니다.( 아래 키에는 장치관리자, 윈도우 서비스에 관한 키가 있습니다.) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services 윈도우 화면이 나오는 과정을 통해 자동실행하는 윈도우서비스 관리자 실행 윈도우 서비스. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services 하위의 키는 사용자마다 있는 수도 있고 없을 수도 있습니다. HKEY_LOCAL_MACHINE\Softwa..

보안 2012.10.03

알아 두어야 할 보안용어

제로 데이(Zero-day) 종종 소프트웨어 기업들이 "제로 데이" 취약성이나 이용에 관해서 이야기하는 것을 들어 보았을 것이다. "제로 데이"라는 표현은 소프트웨어에서 최근에 발견된 보안 취약성으로 아직 소프트웨어 제조업체가 수정하지 못한 부분을 일컫는다. 상식적으로 제로 데이 위험은 반드시 주의해야 할 것으로 알려져 있지만 모두가 이것을 조심하는 것은 아니다. 최근 마이크로소프트가 발표한 보고서에 따르면 주요 보안 위협 중 제로 데이 취약성을 이용하는 것은 거의 없다. 그래도 사용자는 자신이 사용하는 소프트웨어를 늘 최신 상태로 업데이트 해야 한다. 원격 코드 실행(Remote code execution) ‘원격 코드 실행’은 사이버 범죄자가 취약성을 이용해 원격 지역에서 사용자의 컴퓨터에 접속하고 ..

보안 2011.12.24

'윈도우 도움말' 악용한 공격 경고 (보안경고)

윈도우 XP와 윈도우 서버 2003의 온라인 도움말 및 지원센터 기능을 악용한 제로 데이 취약점이 발견돼 사용자들의 주의가 요구된다고 17일 밝혔다. 이번에 발견된 제로 데이 공격은 사용자가 웹에서 마이크로소프트 도움말 파일에 접속해 도움말 파일을 다운로드 받을 수 있게 하는 윈도우 도움말 및 지원센터의 취약점을 악용한 것으로 , 윈도우XP 운영 환경으로 감염된 웹사이트를 방문하면 공격에 노출되게 된다. 현재까지 전 세계 20여 개 국에서 300건의 관련 공격을 접수 받았으며, 이는 레벨 10을 가장 심각한 보안위협 수준이라고 했을 때 레벨 6~7 수준의 위험도에 해당한다고 설명했다. 아직까지 마이크로소프트에서 해당 문제점에 대한 패치를 발표하지 않은 상황이라 위험도는 더욱 높아질 전망이다. 마이크로소프..

보안 2010.06.20

특정블로그에서 링크를 클릭하면 창이 수십개 씩 떠요..

특정블로그에서 익스플로러를 실행하면 위와 같은 검색 창이 자동으로 뜨며 관련 링크를 클릭하면 계속 수십개의 익스플로러 창이 실행됩니다. 혹시 악성 코드 같은 걸까요? 해결 방법을 알고 싶습니다 ============================== 반드시 내컴퓨터에 악성코드라고 할 수 없습니다. 특히 요즘은 블로그나 홈피등을 방문할 때도 조심을 해야 합니다. 사이트에 접속하는 것으로도 악성코드나 바이러스 감염이 될 수 있습니다. 더욱 조심해야 할 것은 엑티브x를 설치를 해야 된다면 무조건 빠져 나오세요 내가 좀비 컴퓨터가 될 지도 모르니까요.. 그리고 나서 꼭 바이러스나 악성코드를 체크를 해보세요 요즘 해커나 악성코드 제작자들은 돈을 바라고, 조폭수준으로 만들어서 퍼뜨리기 때문에.. 처음 가는 사이트 방..

보안 2009.10.29

왜 바이러스체크를 안전모드로 할 까 ?

목요일서 부터 ddos 때문에 공중파, 신문, 인터넷 모두 씨끄러웠네요. 어짜피 언젠가는 한 번 겪을 수 밖에 없다고 생각을 했었는데.. ddos가 이번에 관공서를 공격을 했으니까, 그나마 각인이 되었지.. 쇼핑몰이나 포탈 공격 정도로 끝났다면, 제대로 인식을 하지 못하고 넘어 갔을 겁니다. 카페를 보거나 죽 일반 사용자의 질문을 받아보면.. "악성코드, 바이러스 체크를 해봤더니.. 이상이 없으니까.. 바이러스는 아니니까. 다른 고치는 방법을 알려 달라는 것이" 거의 같은 질문 내용입니다. 한마디로 기가 막히죠.. ㅋㅋ 현재 컴퓨터를 사용하고 있는데... 바이러스가 걸린 것 같다는 생각이 들면.. 우선 현재의 컴퓨터 환경과 다른 환경을 만든 다음 체크를 해야 하는 것이 상식입니다. 바이러스가 걸린 상태라..

보안 2009.07.13

사무실에서 특정 사이트에 접속이 안됩니다. (프락시 우회프로그램 위험...)

다른 사이트에는 접속에 문제가 없으나, http://www.photofunia.com/ 이 사이트에만 접속이 안됩니다. 다른 컴에서 위의 사이트에 접속을 하면은 정상적으로 연결됩니다. 하지만 사무실 컴에서는 연결이 안되고 있습니다. ping 명령을 실행하면은 아래와 같이 됩니다 Ultrasurf 라는 프로그램을 사용하면 된 다던데.... ? =================== ttl expired in transit 라는 뜻은 ttl 은 기본값이 255이고 라우터를 지나갈때마다 한 개씩 숫자가 감소하는데.. 숫자가 0 이 되어 버리면 위와 같은 에러사인이 나옵니다. 사무실이니까 방화벽이나 필터링을 해놓은 것 같습니다. 확인을 해보세요. ultrasurf 프로그램을 보니까 프락시 우회프로그램이더군요.. 프..

보안 2009.02.23

바이러스를 막아보자. 실천편 1

요즘 가뜩이나 경제도 바닥인데 컴퓨터 까지 말썽 부리면 정말 짜증이 나겠죠.. 집이나 사무실, 노트북을 가지고 다니던 내 컴퓨터에 상태를 꼭 체크할 것이 있습니다. 첫번째 제어판의 윈도우의 서비스 부분에서 자동실행되는 서비스를 외우고 있어야 합니다. 아울러 서비스항목에 없던 것이 새롭게 생기는 것도 체크를 해두어야 합니다. 윈도우서비스는 부팅 될 때, 실행되는 서비스인데. 레지스트리에서도 찾을 수 없는 프로그램이 떡 하니 윈도우서비스로 위장할 수 있기 때문입니다. 두번째로는 레지스트리입니다. 레지스트리는 많은 부분을 아셔야 하니까 잘 알아두세요.. 레지스트리 부분의 이곳 3부분은 반드시 체크를 해두어야 됩니다. 나중에 바이러스에 걸리 더라도 한번 씩 열어봐야 되는 부분입니다. 해킹인 경우에도 개인의 경우..

보안 2009.02.16

process explore 유틸리티로 svchost.exe가 바이러스 인지 아닌지 옥석을 가려보자..

한번 쯤은 process explorer 이라는 유틸리티를 들어 보셨을 겁니다. 마이크로소프트의 Technet의 자료실에 있고, 안철수 연구소 등 윈도우의 프로세스를 따져보는 데는 이것만한 유틸리티가 없습니다. 이 프로그램을 svchost.exe가 바이러스 인지 아닌지 구분하는 방법을 찾아 드리려고 합니다. 이제 하나 하나 분석을 해볼 까요 svchost.exe라는 놈은 원래 하는 일이 윈도우 서비스(제어판/관리도구/서비스)를 실행하는 역할을 하는 놈입니다. 아래에서 보는 것과 같이 마우스를 갔다 되면 윈도우의 Service가 하나씩 나옵니다. 노란색 상자안에 있는 글자들 제어판/관리도구/서비스에서 볼 수 있을 겁니다. 영문윈도우에는 서비스명도 영어로 되어 있는 것을 간과해서는 안 되겟지요... 여기 까..

보안 2008.12.15

바이러스 검사시 dll 파일 지울때 꼭 확인을 해보세요.

요즘 보니까 바이러스 체크 프로그램이 전쟁이더군요.. 무료로 바이러스 체크를 할 수 있는 프로그램이 외산, 국산 할 거 없이 많은데... 초창기 나올 때 부터 불안 불안 했던것이 현실화 되는 것 같아서 안타깝네요.. 프로그램들을 제작해서 상용화 한다는 것이 장난이 사실 아니거든요. 노하우가 장난이 아니죠.. 블로그 통신을 보니까 외산 , 국산 프로그램들이 윈도우의 중요한 dll 파일을 바이러스 걸린 것으로 착각하고 삭제하는 오류가 있다던데... 조심해야 합니다. 검사시 dll 파일을 삭제하려는 움직임이 보이면 꼭 아래 삭제하면 안되는 dll 파일을 참고하고 결정을 하세요 http://sungtg.tistory.com/613

보안 2008.12.02

usb바이러스 때려잡기..

어느 작업장에서 외장하드를 많이 사용하게 되었는데... usb 바이러스 때문에 이러지도 못하고 저러지도 못하는 사태가 발생을 하였습니다. 서버의 하드 용량이 모자라서 외장형을 꼭 사용하게 되었는데.. 용량 문제를 해결하니까.. 이제는 usb 바이러스 때문에 폴더나 파일이 숨겨져서 애 좀 먹었습니다. 우선 점검 부터 해봤지요. 레지스트리에서 먼저 자동실행되는 것이 있는지 확인을 해봤지요 특별하게 내가 모르는 프로세스는 없는 거 같고.. 그러므로 자동실행되는 문제는 아니고... 흔히 쉽게 놓치는 레지스트리 logon 부분을 살펴보았습니다. logon에도 별 이상이 없었습니다. 이 부분은 윈도우 부팅시 윈도우의 사용자계정 즉 바탕화면이나 그 외 설정을 연결시켜주는 부분이라서 바이러스들이 참 좋아하는 부분입니다..

보안 2008.12.01

DDoS공격 다양화, 전방위 위험에 노출

한국정보보호진흥원 노명선 팀장 “일반 인터넷 사용자와 웹서버 운영자, ISP나 IDC업체, 정부 등 각 주체별로 역할에 맞는 보안 노력을 강화해야 한다” 1일, 와 가 공동주최한 ‘All about DDos-안티DDoS 대작전' 컨퍼런스에서 노명선 한국정보보호진흥원(이하 KISA) 팀장은 “올해 들어, 국내 분산서비스거부(DDoS)공격 10건 중 4건은 금품 요구 공격이었다”며 “이는 최근 전 세계적으로 심각한 사회문제로 대두된 만큼, 일반 인터넷 사용자부터 정부까지 각 역할에 맞는 노력을 기울여야 한다”고 강조했다. 그는 “특히 웹서버 운영자나 ISP, IDC 등은 DDoS공격시 수사기관이나 KISA 등에 신고하고 로그확보와 악성코드채취, 봇넷 차단 등을 통해 신속한 공조대응을 해야 한다”고 설명했다...

보안 2008.10.12

해커아닌 비전문가들까지도 DDoS공격

경찰청 사이버테러대응센터 김영환 팀장 "일반인들의 보안의식이 낮다는 점을 이용, 특히 회원수가 많은 포털업체 카페나 개인 블로그에 ‘유명 연예인 000 동영상 보러가기’와 같은 글을 올리고 마치 동영상 프로그램을 다운받는 것처럼 위장한 후 액티브X방식으로 악성코드를 유포하는 방식이 늘고 있다." 김영환 경찰청 사이버테러대응센터 팀장은 1일, 와 가 공동주최한 ‘All about DDos-안티DDoS 대작전' 세미나에서 “일반 인터넷 사용자들은 자신의 PC가 DDoS 공격에 이용되는 것을 전혀 모르고 있다”며 “또 최근엔 이러한 공격기법 등이 인터넷을 통해 유포 및 공유가 가능해 전문 해커가 아닌 비전문가들도 쉽게 공격이 가능하다”고 설명했다. 김팀장은 최근 수사 사례를 인용하며 “지난 3월 해외소재 해커..

보안 2008.10.11

게임해킹 전격해부

해킹이란, 적법한 권한을 갖지 않은 채 타인의 데이터 정보에 접근하여 이를 가져가거나 수정하는 것을 말한다. 초기에는 개인의 실력 과시용으로 사용되던 형태에서 소규모 커뮤니티 단계를 거쳐 집단적이고 조직적인 해킹으로 발전했다. 초기에는 단순히 실력을 보여주고 유명세를 타고자 하는 것이 주된 목적이었지만, 현재는 금전적 이익을 추구하는 것으로 변질되었고, 그 범위가 전세계로 확대되고 있는 실정이다. 이런 해킹에 근거해 게임을 통해 이루어지고 있는 해킹이 게임 해킹이다. 초기 온라인 게임은 MMORPG(다중접속역할수행게임) 형태의 게임이 주류를 이루면서 오토플레이나 매크로와 같은 해킹이 많이 이루어졌다. 이런 툴은 자기 과시용이나 개인 연구용으로 제작되는 경우가 많았다. 그러나 그 형태가 점차 상업화되어가고..

보안 2008.08.18

자동실행되는 프로그램을 레지스트리에서 찾기

악성코드 때문에 고생을 많이 하게 될 겁니다. 레지스트리에서 자동실행되게 설정해 놓고 부팅 때 자동실행되게 만들어 놓는데.. 일반적으로 잘 알고 있는 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_CURRENT_USER\Software\Microsoft..

보안 2008.07.15

메모리 상주프로그램 과 바이러스 체크하는 방법

메모리 상주프로그램은 도스와 98까지 썻던 말이죠. 컴퓨터 부팅되고 나서 끌때까지 계속 메모리에 상주하면서 기본적인 서비스를 제공하는 것을 말합니다. 옛날 영문도스만 있었던 시절 한글을 띄우는 mshbios.com든가 한글 띄우는 실행파일이 있었고, 현재도 이름이 같은 command.com 이 역시 메모리에 상주하면서 도스 명령어를 해석하는 인터프리터 역할을 했지요. 지금은 메모리 상주프로그램을 바이러스 관계된 용어로 많이 사용하고 윈도우에서 굳이 매치를 시킨다면 윈도우 서비스 부분과 explorer.exe lsass.exe winlogon.exe service.exe smss.exe 등이 있고 svchost.exe 에서 불러들이는 각종 윈도우서비스와 관련된 dll 파일이 될 수 있겠지요 위 그림에서 보..

보안 2008.07.01

안철수연구소, 무료 백신 문제있다 주장

안철수연구소는 포털, 통신사와 같은 비보안 업체들이 외산엔진을 기반으로 제공하는 무료 백신이 문제 있다고 주장했다. 구체적인 문제점으로 신종 보안 위협에 24시간 365일 긴급대응 및 기술지원이 어렵다는 것을 비롯해 다음과 같은 점들을 꼽고 있다. 첫째, 국내에서 확대되고 있는 무료백신은 세계적으로 유례가 없는 모델이며 글로벌 경쟁력을 갖춰야 하는 소프트웨어 산업에 도움이 되지 않는 모델이다. 미국의 경우 세계 최대 인터넷 업체인 구글은 시만텍의 ‘노턴’ 백신 평가판(실시간 제외)을 탑재함으로써 마케팅 채널을 제공하는 상생 모델이며 AOL의 경우에도 맥아피 백신 번들(1년 기한 제한, 사용자정보수집 동의 회원 한정)을 제공하는 수준에 그친다. 보안 기업의 전문성과, 유료 서비스 시장을 존중하고 있다. 분..

보안 2008.06.12

마이크로소프트(MS)를 가장해 보안 업데이트 통지 메일을 보내는 말웨어가 발견됐다

마이크로소프트(MS)를 가장해 보안 업데이트 통지 메일을 보내는 말웨어가 발견됐다. 미국 보안업체 트렌드마이크로에 따르면, 이 말웨어는 Important update from MS WindowsXP/2003 Professional Service Pack 2(KB946026)’이라는 제목으로 메일을 보내 ‘긴급 취약성’을 수정하기 위해 최신 보안 업데이트를 설치할 것을 메일 수신자에게 요구한다. 수신자가 메일내 링크를 클릭하면, ‘PE_VIRUT. XZ’라는 말웨어에 감염된다. 이 말웨어는 EXE 및 SCR 파일에 침입해 실행 장소에 따라서는 심각한 파괴를 일으킨다. 윈도우의 업데이트를 통한 보안업데이트가 안전하다.

보안 2008.06.03