보안에 해당하는 글 48

  1. 2016.03.20 문서파일을 mp3로 바꾸는 TeslaCrypt 3.0 랜섬웨어.
  2. 2015.03.27 알약이나 v3중에서 무얼 설치하는게 더 좋을까요??
  3. 2013.03.05 v3가 실행이 안되요
  4. 2012.11.16 인증서 믿을 만 한가...
  5. 2012.10.03 자동실행 프로그램의 순서를 찾아보기.
  6. 2011.12.24 알아 두어야 할 보안용어
  7. 2010.06.20 '윈도우 도움말' 악용한 공격 경고 (보안경고)
  8. 2009.10.29 특정블로그에서 링크를 클릭하면 창이 수십개 씩 떠요..
  9. 2009.07.13 왜 바이러스체크를 안전모드로 할 까 ?
  10. 2009.02.23 사무실에서 특정 사이트에 접속이 안됩니다. (프락시 우회프로그램 위험...) (1)
  11. 2009.02.16 바이러스를 막아보자. 실천편 1
  12. 2008.12.15 process explore 유틸리티로 svchost.exe가 바이러스 인지 아닌지 옥석을 가려보자.. (3)
  13. 2008.12.02 바이러스 검사시 dll 파일 지울때 꼭 확인을 해보세요.
  14. 2008.12.01 usb바이러스 때려잡기.. (3)
  15. 2008.10.12 DDoS공격 다양화, 전방위 위험에 노출
  16. 2008.10.11 해커아닌 비전문가들까지도 DDoS공격
  17. 2008.08.18 게임해킹 전격해부
  18. 2008.07.15 자동실행되는 프로그램을 레지스트리에서 찾기
  19. 2008.07.01 메모리 상주프로그램 과 바이러스 체크하는 방법
  20. 2008.06.12 안철수연구소, 무료 백신 문제있다 주장
  21. 2008.06.03 마이크로소프트(MS)를 가장해 보안 업데이트 통지 메일을 보내는 말웨어가 발견됐다
  22. 2008.05.17 해킹과 인터넷 뱅킹
  23. 2008.05.17 해킹을 당했는데...
  24. 2008.05.04 진짜 국민들이 알아서 해야 될 것은 개인정보보안....
  25. 2008.04.11 바이러스와 악성코드 체크는 어떻게 하는게 좋은가요...? (1)
  26. 2008.04.02 XP에서 V3Neo는 기억장소부족. 바이러스검사 주의사항
  27. 2008.03.21 spyAxe라는 프로그램이 저절로 인스톨되어있는데요
  28. 2008.03.01 빛자루 제대로 활용하기 (1)
  29. 2008.02.18 해킹을 방지 하는 방화벽이란 것이 있다는데
  30. 2008.02.15 program files 아래 uninstall information이라는 폴더

광학현미경을 오퍼하는 친구가 있는데...

이번에 문서파일이 mp3로 바뀌었다고 전화가 와서 방문을 했었습니다.

 

 

 

문서가 있는 폴더에 Recovery+~ 파일이 html, txt, png로 각각에 있었습니다.

 

mp3 파일의 파일 속성을 보니까..

속성값은 그대로 엑셀파일로 인식하는 것 같아서

확장자를 xls로 바꾸고 열었더니..

Recovery+~.html 이 뜨면서

돈을 요구하는 안내 문서(비트코인 1000달러)가 뜨고 

엑셀안의 데이타가 전부 깨져서 나왔습니다.

 

다른 jpg나 pdf문서들도 마찬가지 경우 였습니다.

확장자를 바꾸고 내용을 보니까, 전부 내용이 깨져서 보입니다.

 

이상한 프로세스가 있나 싶어서 작업관리자, dll, 서비스를 두져 봤는데 없더군요

문서 파일만 타킷을 삼은 것 같았습니다.

 

원인

 

체코에서 메일을 받아서 열었는데..

구글 닥스와 연결된 문서로 넘어가서 다운받고 뭘 설치하는 것 같더니만 ...

이렇게 되었다고 합니다.

 

익스플로러의 주소록도 탈취 당해서, 메일주소로 똑같은 내용이 발송되어서,

미국, 영국에 있는 거래처에 

메일을 열지 말라는 메일을 따로 보내느냐고 진땀을 뺏다고 하더군요..

 

결론

 

피싱과 랜섬웨어가 결합이 된 경우 인것 같습니다.

시스템에는 문제가 없고, 문서 파일만 암호화를 시킨 경우 였습니다.

 

조치는 우선 문서를 백업을 한 후, 나중에 복보화를 푸는 유틸리티를 기다리기로 하고

일단 컴은 포맷을 하기로...


복보화 시키려면 프로그램이 있어야 하는데... 

실행 파일은 없고, 

그렇다면 커맨드 상에서 dll 파일로 조작 했을 가능성이 있어서 살펴 보려고 했으나, 

다행이도 직원이 포맷하는 걸로 결론을 보길래 

그냥 포기를 했습니다.ㅋ



이번 경우는

문서 파일을 노린 경우이고,

파일 열기까지는 가능 한데,

데이타에 암호화를 걸어 놨기 때문에 암호화를 푸는 프로그램 밖에는 방법이 없습니다

 

랜섬웨어는

이상한 메일을 제일 조심해야 되고

중요 문서 파일은 2중 3중으로 백업을 받아두는 것이 안전합니다.

 

저작자 표시 비영리 변경 금지
신고

알약이나 v3중에서 무얼 설치하는게 더 좋을까요?? 

컴퓨터는 윈도우 7이에요..

 

 

 

바이러스 보안 q&a 중에서 가장 많은 질문이 바로 이 문제 였습니다.

 

수 년간 수많은 컴퓨터를 봤는데

개인적인 생각으로는

 

평상시에는 v3, 알약 모두 '실시간 검사'를 꺼두는 것이 좋고

인터넷 사용하다가 느낌이 좋지 않다 싶으면, '실시간 검사'를 켜서 사용하는 방법이 제일 좋을 듯 합니다.

 

인터넷이나 프로그램을 실행 중에 바이러스 체크의 영향을 덜 받고 싶으면

v3를 사용하는 편이 좋고,

오프라인에서 알약을 사용하는 것이 좋을 듯 합니다.

 

v3가 프로세스 감시 측면에서 리소스가 덜 먹는 장점이 있습니다.

 

윈도우는 사용자 프로세스를 하드디스크의 가상메모리를 사용하기 때문에

 

바이러스 프로그램이 메모리를 체크하는 과정에서

당연히 디스크를 읽는 프로세스가 발생할 것이고

 

디스크를 읽고 쓰고 하는 과정이

CPU, RAM과 디스크와의 속도 차이 때문에...

도로가 정체 되듯이 프로세스들의 실행에 정체 현상이 발생할 수 밖에 없습니다.

실행 중인 프로세스를 디스크에서 받아서

RAM에 올려 놓고

CPU에서 해석해서

다시 RAM에서 각 주변장치나 프로세스로 내려 주는 과정과

 

바이러스 체크 프로그램이

이 프로세스가 진짜인지 아닌지 구분하는 프로세스로 체크하는

과정이 반복되니까...

 

디스크에서 속도 차이 때문에 당연히 과부하가 걸릴 것이고

전체적을 윈도우 사용하는데 버벅거림 현상이 나타날 수 밖에 없습니다.

 

제일 좋은 방법은 평소에는 업데이트만 잘 신경을 쓰고

날 잡아서 한번씩 인터넷 선 빼놓고

바이러스 체크하는 것이 현명할 것 같습니다.

 

 

저작자 표시 비영리 변경 금지
신고

v3가 실행이 안되요

2013.03.05 13:49 | 보안

v3가 실행도 안되고 바로 닫힌다는 질문이 많네요

안랩의 답변을 참고 하세요.

 

 

V3 아이콘을 클릭해도 실행되지 않거나 창이 바로 닫힙니다.

 

최근 특정 프로그램의 보안 취약점 패치가 되어 있지 않은 경우 

해당 취약점을 통해 시스템을 공격하는 악성코드가 유행하고 있으며

현재 변종에 감염된 경우 발생될 수 있사오니 아래의 전용백신으로 검사를 요청드립니다.

 

작업 중인 창을 모두 닫은 후 아래의 조치를 진행해보시기 바랍니다.

 

1) [V3 GameHack Kill 전용백신 다운로드](클릭)하여 파일을 PC에 저장합니다.

2) 저장된 파일을 실행하여 [검사] > [전체 치료]합니다.

3) 컴퓨터 재부팅 후 V3가 실행되는지 확인합니다.

4) V3실행하여 [PC검사]-[정밀검사]를 진행하여 하드디스크 전체를 검사합니다.

 

추가로, 해당 악성코드의 경우 Adobe Flash Player 보안 취약점 공격으로 아래와 같이 Adobe Flash Player 업데이트와 MS 보안패치를 최신상태로 유지하셔야 재 감염을 방지할 수 있습니다.


* Adobe Flash Player 업데이트 : http://www.adobe.com/go/getflash
* Adobe Reader : http://www.adobe.com/go/getreader/

* JAVA : http://java.com/ko/download/manual.jsp (Windows 오프라인 클릭 후 다운로드)

* Microsoft : http://update.microsoft.com/ (Windows 정품인증 필요)

 

참고) Windows XP를 사용하시는데 정품이 아닌 경우

KISA에서 제공하는 PC자동보안 업데이트 프로그램을 통해 윈도우 보안패치를 항상 최신으로 유지하시기를 권해드립니다.

 

1) KISA 보호나라 사이트(클릭)로 접속합니다.

2) 설치 및 사용법을 참고하시어 [DOWNLOAD]를 받아 설치해주시기 바랍니다.

 

※ KISA는 국가에서 운영하는 곳으로 윈도우 XP 비정품 사용자분들도 중요한 윈도우 보안패치를 적용할 수 있도록 프로그램을 제공해드리고 있습니다.

 

참고) AhnLab SiteGuard 프로그램이 설치되어 있는 경우 위 전용백신을 실행 시 자체보호 관련 알림창이 발생할 수 있으며 정상적인 동작이오니 이용에 참고하시기 바랍니다.

 

* 안내된 조치 후에도 증상이 개선되지 않는 경우 아래의 페이지를 참고하시어 바이러스 신고센터로 접수해주시기 바랍니다.  접수가 완료되면 담당자가 분석 후 별도의 답변을 드립니다.

 

[바이러스 신고센터 접수방법 보기](클릭)

 

저작자 표시 비영리 변경 금지
신고

현재 2048 SSL 인증서를 서버에 적용중에 있습니다.

Windows XP SP2 이하 버전에서 2048 SSL 인증서(SHA-2)는 지원하지 않아서 안되는 것으로 알고 있습니다.

그래서 SHA-2 를 SHA-1으로 설정하고 SSL 인증서를 서버에 적용하였으나 마찬가지로 오류가 나고 있습니다.

SP2 이하에서 SHA2 알고리즘 외에도 다른 이유로 인해서 2048 SSL 인증서를 지원하지 못하는지 궁금합니다.

확인 부탁드립니다.

==========================

 

SP3 로 업그레이드
Windows Update 및 윈도우즈 다운로드 센터에서 수동으로 파일 다운로드 및 설치를 진행합니다.


sha 1,2는 알고리즘 상에  취약성 때문에 행정안전부부터 사용하지 않는 것으로 알고 있습니다.

 

서버에서는 핫픽스를 설치를 해야 합니다.
2003 기준으로 아래 주소에서 받으시면 됩니다.

http://support.microsoft.com/kb/968730/ko

 

오늘 technet에 올라온 질문을 답변하다가 문뜩 생각나서... 올립니다

 

인터넷에 보면 인증서 프로세스가 나오지요

 

 

그런데 인증서에 대해서 잘 모르는 일반인들은 인증서 로그인 했으니까

괜찮겠지 하는 막연한 느낌을 가지게 됩니다.

 

인증서라는 것이 프로그램이고 사람이 만들었기 때문에 전체 인증서 알고리즘이 문제가 됩니다. 알고리즘이 튼튼한 인증서가 내 정보를 지킬 수 있습니다.

 

인증서의 종류는 많이 있습니다.

우리나라에서는 한국전자인증 것을 제일 많이 사용하고 있습니다.

또한 정부도 인증서에 대해서 관리를 하고 있습니다.

 

질문하신 SHA 1 2는 행안부에서 알고리즘 상에 치명적인 문제가 생겨서 사용하지 않을 것을

권하고 있는 인증서입니다.

윈도우에서 지원 할 리가 없겠지요..

 

디바이스가 노트북, pc, 테블릿, 스마트폰.

앞으로는 어떤 디바이스가 나올지 모릅니다.

이런 디바이스들도 앞으로 비지니스 환경에 많이 사용될 것이 확실시 됩니다.

 

내가 사용하는 인증서의 명칭을 잘 확인해두는 것

두번째.. 알려진 인증센터의 인증서인지 확인 하는것

 

이 두가지를 잘 알고 있으면서 스마트기기를 사용해야 할 시기가 된 것 같아서

적어 봤습니다.

 

저작자 표시 비영리 변경 금지
신고

자동실행되는 프로그램의 순서를 바꾸고자 하는 이슈가 많더군요.

기본적으로 윈도우에서 레지스트리에서 어떻게 읽어 오는지 알아보겠습니다.

 

 

윈도우 부팅, 드라이버 로드 과정.

 

윈도우의 기본장치, 디스크나 그래픽, 키보드, 마우스 등의 장치 드라이버를 먼저 로드합니다.( 아래 키에는 장치관리자, 윈도우 서비스에 관한 키가 있습니다.)

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

 

윈도우 화면이 나오는 과정을 통해 자동실행하는 윈도우서비스 관리자 실행

 

윈도우 서비스.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

 

하위의 키는 사용자마다 있는 수도 있고 없을 수도 있습니다.

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

윈도우 로그온 창이 나오고, 로그 온 을 한 후에 진행.

 

아래 키는 없을 수 있는데 만약 일반 가정에서 생겼다면.. 일단 자세히 들여다 봐야 할 필요가 있습니다. 이 키는 특정 프로그램을 설치 했을 때 생기는 키입니다.

기업체에서 권한을 줘서 사용한다든지 등등의 이유로 만들어 지는데...

악성코드의 침입이 우려가 되는 키 이기도 합니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

 

위에 키 값이 잘못되어 있는 경우는

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit C:\windows\system32\userinit.exe,c:\windows\badprogram.exe

 

userinit.exe는 사용자의 로그온 프로필, 폰트, 바탕화면, 시작프로그램 등등을 연결시켜주는 역할을 하는데 만약 userinit.exe, xxxxxxxx 라고 적혀 있다면 거의 해킹이나 악성코드를 조심해야 합니다.

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon  오른쪽 창의 shell 의 값 explorer.exe

 

윈도우가 nt에서 개인유저용으로 만들어 역사를 알 수 있는 키입니다

nt 키에 로그온 과정이 되고 shell 즉 명령을 해석하는 역할을 하는 것은 탐색기라는 것을 보여주는 키입니다.

그런데 여기에 explorer.exe 외에 다른 것이 써 있거나 explorer.exe, xxxx 등의 파라미터가 붙어 있다면 요거 문제 있겠지요. 초창기 win32 용 바이러스들이 이런 수법을 좀 썼던 적이 있으니까요.

 

여기까지과 윈도우 부팅해서 로그온 해서 엔터 친 후까지 과정이고..

 

다음 바탕화면이 구성이 되고 작업관리자들이 제대로 뜰때 실행되는 프로그램들을 볼까요

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

제일 많이 봤던 부분일 겁니다. msconfig도 여기의 레지스트리 키를 불러오고..

일반 윈도우 최적화 프로그램도 여기를 불러다 놓고 최적화를 시키는 것이죠.

 

그 다음이 시작에 있는 시작 프로그램입니다.

 

이 레지스트리 키와 친해져도 일반 가정에서 발생하는 바이러스는 80-90%는 찾을 수 있습니다.

 

악성코드는 이와는 별개로 찾는 경우가 훨씬 많다는 것도 이해해 두세요.

 

sysinternal 사의 autorun 이라는 유틸리티를 사용하면 도움이 될 겁니다.

특히 코덱관련되서 좋은 툴을 제공하니까..

요즘 스마트폰, 테블릿 등 여러 장치를 사용하다 보면 엄청난 드라이버와 코덱이 설치가 됩니다. 사용하지 않는 경우에 정리할 때 도움이 많이 될 겁니다.

 

 

 

 

저작자 표시 비영리 변경 금지
신고

제로 데이(Zero-day)

종종 소프트웨어 기업들이 "제로 데이" 취약성이나 이용에 관해서 이야기하는 것을 들어 보았을 것이다.
"제로 데이"라는 표현은 소프트웨어에서 최근에 발견된 보안 취약성으로
아직 소프트웨어 제조업체가 수정하지 못한 부분을 일컫는다.

상식적으로 제로 데이 위험은 반드시 주의해야 할 것으로 알려져 있지만
모두가 이것을 조심하는 것은 아니다. 


최근 마이크로소프트가 발표한 보고서에 따르면 주요 보안 위협 중
제로 데이 취약성을 이용하는 것은 거의 없다.

그래도 사용자는 자신이 사용하는 소프트웨어를 늘 최신 상태로 업데이트 해야 한다.

 
원격 코드 실행(Remote code execution)  

‘원격 코드 실행’은 사이버 범죄자가 취약성을 이용해
원격 지역에서 사용자의 컴퓨터에 접속하고  악성 소프트웨어를 실행하는 것을 지칭하는 용어이다. 

일반적으로 원격 코드 실행에 의존하는 악성 소프트웨어는
웹 브라우저,
이미지 뷰어 애플리케이션,
비디오 및 음악 재생기,
PDF 뷰어 등의 버그를 활용한다.

마이크로소프트의 릴리스 노트에서도 알 수 있듯이 이런 버그들은 일반적으로 범죄자들이 취약성을 이용하기 위해서
특별히 제작한 웹 페이지(와 이미지 또는 비디오 파일)에 의해서 작동된다. 

이것이 잘 모르는 링크를 클릭하거나 이메일 첨부파일을 열어보는 것을 조심해야 하는 이유이다. 
특히, 첨부파일이 이미지 파일이거나 PDF일 때는 더욱 주의해야 한다.

 
샌드박싱(Sandboxing)

원격 코드 실행으로부터 보호하는 방법 중 하나로 샌드박싱이라는 것을 채택하는 방법이 있다.
이 기술은 공격자가 한 소프트웨어에서 보안 취약점을 발견하더라도 
앱과 다른 소프트웨어 프로세스를 고립시킴으로써 공격자가

사용자의 컴퓨터에 악성 소프트웨어를 설치하기 위해서 이것을 사용하지 못하도록 하는 것이다.

어도비 리더 X(Adobe Reader X)는 샌드박싱을 사용하는 것으로 잘 알려져 있다.
일반적으로 범죄자들은 리더가 PDF를 취급하는 방식의 버그를 통해  PC에 악성 소프트웨어를 설치하기 때문에 샌드박싱을 추가함으로써  리더의 보안이 비약적으로 향상되었다.

샌드박싱을 사용한다고 해서 소프트웨어가 공격에 영향을 받지 않는 것은 아니지만
이 기술을 통해 공격 시도를 막을 수 있는 또 하나의 보안 수단을 추가할 수 있다.

 
 
SSL  

은행의 웹 사이트를 방문하거나 아마존에서 쇼핑을 하면 
자신의 브라우저의 툴바에 자물쇠 아이콘이 나타나고 웹 주소가 
 "http" 대신에 "https"로 시작하는 것을 보았을 것이다." 이것은 SSL이 작동하고 있는 것을 뜻한다. 

SSL(Security Socket Layer)는 사용자와 방문하고 있는 사이트 사이에서
교환되는 정보를 보호하는 수단이다. SSL은 넷(Net) 상에서 데이터가 이동할 때
데이터를 암호화하여 보호한다.

저작자 표시 비영리 변경 금지
신고

윈도우 XP와 윈도우 서버 2003의 온라인 도움말 및 지원센터 기능을 악용한 제로 데이 취약점이 발견돼
사용자들의 주의가 요구된다고 17일 밝혔다.



이번에 발견된 제로 데이 공격은
사용자가 웹에서 마이크로소프트 도움말 파일에 접속해 도움말 파일을 다운로드 받을 수 있게 하는
윈도우 도움말 및 지원센터의 취약점을 악용한 것으로 ,
윈도우XP 운영 환경으로 감염된 웹사이트를 방문하면 공격에 노출되게 된다.

현재까지 전 세계 20여 개 국에서 300건의 관련 공격을 접수 받았으며,
이는 레벨 10을 가장 심각한 보안위협 수준이라고 했을 때 레벨 6~7 수준의 위험도에 해당한다고 설명했다.

아직까지 마이크로소프트에서 해당 문제점에 대한 패치를 발표하지 않은 상황이라 위험도는
더욱 높아질 전망이다.


마이크로소프트 측은 취약점은 감염된 해당 사이트에서 제거됐지만

지난 주 해당 취약점이 공개된 만큼 이후 추가적인 공격이 늘어날 것으로 보고 있다.


마이크로소프트 관련 정보
=====================
http://www.microsoft.com/technet/security/advisory/2219475.mspx

저작자 표시 비영리 변경 금지
신고


특정블로그에서 익스플로러를 실행하면 위와 같은 검색 창이 자동으로 뜨며
관련 링크를 클릭하면 계속 수십개의 익스플로러 창이 실행됩니다.
혹시 악성 코드 같은 걸까요?
해결 방법을 알고 싶습니다
==============================

반드시 내컴퓨터에 악성코드라고 할 수 없습니다.

특히 요즘은 블로그나 홈피등을 방문할 때도 조심을 해야 합니다.

사이트에 접속하는 것으로도 악성코드나 바이러스 감염이 될 수 있습니다.
더욱 조심해야 할 것은 엑티브x를 설치를 해야 된다면 무조건 빠져 나오세요
내가 좀비 컴퓨터가 될 지도 모르니까요..
그리고 나서 꼭 바이러스나 악성코드를 체크를 해보세요

요즘 해커나 악성코드 제작자들은 돈을 바라고, 조폭수준으로 만들어서 퍼뜨리기 때문에..
처음 가는 사이트 방문을 할 때 조심해야 합니다.

그리고 악성코드 체크 프로그램도 쉽게 아무거나 사용하지 마세요.
어떤 사람들 보니까 악성코드 치료한다고 핸드폰 결제를 쉽게 하는데...
이것도 문제가 될 수 있으니까...

개인정보는 내 스스로 지켜야지.. 돈으로 대신 해보겠다는 생각을 가지는 순간부터가
이미 내 개인정보를 쉽게 노출 시킬 수 있습니다.

그리고 악성코드 프로그램은 될 수 있으면 전문업체 것을 쓰세요
편하다고.. 공짜라고 해서 덥석 쓰다가는 독이 될 수 있습니다.
안철수 v3 lite
신뢰감 있고 제일 좋잖아요....






저작자 표시 비영리 변경 금지
신고
목요일서 부터 ddos 때문에 공중파, 신문, 인터넷 모두 씨끄러웠네요.
어짜피 언젠가는 한 번 겪을 수 밖에 없다고 생각을 했었는데..

ddos가 이번에 관공서를 공격을 했으니까, 그나마 각인이 되었지..
쇼핑몰이나 포탈 공격 정도로 끝났다면,  제대로 인식을 하지 못하고 넘어 갔을 겁니다.

카페를 보거나 죽 일반 사용자의 질문을 받아보면..
"악성코드, 바이러스 체크를 해봤더니.. 이상이 없으니까..
바이러스는 아니니까.
다른 고치는 방법을 알려 달라는 것이" 거의 같은 질문 내용입니다.
한마디로 기가 막히죠.. ㅋㅋ

현재 컴퓨터를 사용하고 있는데... 바이러스가 걸린 것 같다는 생각이 들면..
우선 현재의 컴퓨터 환경과 다른 환경을 만든 다음 체크를 해야 하는 것이 상식입니다.

바이러스가 걸린 상태라면 이미 바이러스 체크 프로그램도 안전하지 못할 수 있다는 가정을 해야 되겠지요..



안전모드는
윈도우에서 개발한 그래픽드라이버, 마우스, 키보드 드라이버만 띄워 놓고..
그 외에 사운드 등 다른 장치들을 전부 막아 버린 상태에서 부팅을 시키게 되죠..
이 때 물론 랜선이나 인터넷을 할 수 있는 연결장치는 모두 본체에서 빼야 겠지요..

안전모드로 부팅이 되면
자동실행되는 프로그램이나 다른 모듈, 드라이버의 영향을 받지 않게 되므로..
바이러스 체크를 확실하게 할 수 있습니다.

바이러스, 해킹, 백도어, 악성코드 등이 내 컴퓨터에 걸린 것 같다고 생각이 되면..
최대한 빠르게 이런 조치를 해아 합니다.








저작자 표시 비영리 변경 금지
신고

다른 사이트에는 접속에 문제가 없으나, http://www.photofunia.com/ 이 사이트에만 접속이 안됩니다.
다른 컴에서 위의 사이트에 접속을 하면은 정상적으로 연결됩니다. 하지만 사무실 컴에서는 연결이 안되고 있습니다.



ping 명령을 실행하면은 아래와 같이 됩니다



 Ultrasurf 라는 프로그램을 사용하면 된 다던데.... ?

===================

ttl expired in transit 라는 뜻은
ttl 은 기본값이 255이고 라우터를 지나갈때마다 한 개씩 숫자가 감소하는데..

숫자가 0 이 되어 버리면 위와 같은 에러사인이 나옵니다.

 

사무실이니까 방화벽이나 필터링을 해놓은 것 같습니다. 확인을 해보세요.


ultrasurf 프로그램을 보니까 프락시 우회프로그램이더군요..
프로그램을 사용하지 않는 것이 좋겠네요...
중국애들이 많이 사용하는데, 내 컴퓨터가 해킹의 도구가 될 수 있습니다.

보통 사무실에서는 아래 그림과 같이 파이어월을 거쳐서 라우터 - 인터넷에 접속하게 되어 있습니다.



위 그림에서 proxy, firewall를 우회해서 해외의 사이트로 접속을 하게 만든 다음..
다시 인터넷으로 접속하게 하는 것이 바로 우회프로그램들 입니다.


문제는
내 컴퓨터가 해킹이나 기타 어떤 사이트를 공격할 수 있는 중간 좀비 컴퓨터로 이용될 수 있다는 것입니다.
주로 사무실에서 메신저, 기타 게임사이트를 접속할 때.. 등
많이 사용하는 것으로 알고 있는데...  조심해야 합니다.



신고
요즘 가뜩이나 경제도 바닥인데 컴퓨터 까지 말썽 부리면 정말 짜증이 나겠죠..

집이나 사무실, 노트북을 가지고 다니던 내 컴퓨터에 상태를 꼭 체크할 것이 있습니다.

첫번째 제어판의 윈도우의 서비스 부분에서 자동실행되는 서비스를 외우고 있어야 합니다.



아울러 서비스항목에 없던 것이 새롭게 생기는 것도 체크를 해두어야 합니다.
윈도우서비스는 부팅 될 때, 실행되는 서비스인데.
레지스트리에서도 찾을 수 없는 프로그램이 떡 하니 윈도우서비스로 위장할 수 있기 때문입니다.


두번째로는 레지스트리입니다.
레지스트리는 많은 부분을 아셔야 하니까 잘 알아두세요..





레지스트리 부분의 이곳 3부분은 반드시 체크를 해두어야 됩니다.
나중에 바이러스에 걸리 더라도 한번 씩 열어봐야 되는 부분입니다.

해킹인 경우에도 개인의 경우에는 주로 백도어라는 프로그램이 실행되어서
정보를 빼내어 가기 때문에 자동실행되는 프로그램에서 원인을 찾아 내야 합니다.

프로그램의 이름을 알아 둔다.

작업관리자의 프로세스 탭을 유심히 한번 씩 체크 하기 바랍니다.



작업관리자의 세부항목은 프로세스 메뉴를 보시면 됩니다.

컴퓨터 하다가 지루할 때마다 한번 씩 열어서 눈에 익혀두는 것이 제일 좋은 방법일지도 모르죠..

신고
한번 쯤은 process explorer 이라는 유틸리티를 들어 보셨을 겁니다.

마이크로소프트의 Technet의 자료실에 있고, 안철수 연구소 등 윈도우의 프로세스를 따져보는 데는
이것만한 유틸리티가 없습니다. 
이 프로그램을 svchost.exe가 바이러스 인지 아닌지 구분하는 방법을 찾아 드리려고 합니다.


이제 하나 하나 분석을 해볼 까요

svchost.exe라는 놈은 원래 하는 일이 윈도우 서비스(제어판/관리도구/서비스)를 실행하는 역할을 하는 놈입니다.
아래에서 보는 것과 같이
마우스를 갔다 되면 윈도우의 Service가 하나씩 나옵니다.
노란색 상자안에 있는 글자들 제어판/관리도구/서비스에서 볼 수 있을 겁니다.
영문윈도우에는 서비스명도 영어로 되어 있는 것을 간과해서는 안 되겟지요...



여기 까지 svchost.exe의 파일의 역할 설명이 되겠네요..

그럼 이번에는 svchost.exe는 과연 언제 실행이 될 까요...?

위에 그림에서 이미 눈치 챈 분도 있을 겁니다.
윈도우 부팅하고,  로그온을 해서 바탕화면이 나오는 중간 과정에 실행이 됩니다
.
그러니까 그림에서 보듯이 winlogon.exe 하위에 service.exe 밑에 5-6개가 포진 되어 있는 것입니다

그런데 여기서 바이러스와 관련된 문제를 하나 꺼내 자면...
사용자가 로그온을 해서, 사용자 계정의 설정을 연결시켜주는 역할을 하는 것이 있을겁니다.
그 파일이 userinit.exe 라는 파일입니다.
아마 윈도우 사용하면서 많이 봤을 겁니다.

레지스트리에 정의가 되어 있는데.. 바이러스 만든 놈들이 요런 허점을 이용하는 것입니다.
레지스트리는 admin 계정이면 언제든지 레지스트리를 바꿀 수 있는 것을 역이용하는 것이죠..
(비스타에는 이런 약용되는 점을 막는 다는 것입니다.)


레지스트리에서 자동실행되는 레지스트리 키가 있지요
이 키보다 전에 실행되는 부분이 바로 위 레지스트리의 키 입니다.
다들 자동 실행부분을 관리를 잘 하니까 이제는 잘 모르는 이 부분을 조작을 해서 침투를 하는 것이죠..

위 그림과 틀리게 내 레지스트리가 되어 있다면 한번 의심해도 됩니다.(Userint, load, run)

그리고 svchost.exe는 반드시 system32 폴더에 있는 것이 진짜 입니다.
system32 하위 폴더에 있어서 실행되는 것은 바이러스 일 가능성이 큽니다.

위 2번째 그림에서 보면... 왼쪽 창에
윈도우를 보면 sysetm idle process 와 explorer 2개로 구성이 되어 있는것을 보실 수 있습니다.

작업관리자에서 system idle이 뭐냐고 물어 보는 사람들 많은데..
idle process라는 것을 이해 하기 쉽게 말하자면,,, 윈도우 서비스라고 이해하면 됩니다
윈도우 운영체제를 사용하는데 있어서 불편함이 없이
사용자가 사용할 수 있도록 만반에 준비를 해주는 역할을 하는 것입니다.

그럼 explorer는 뭐냐면 탐색기 맞습니다.
shell 역할을 하는 것으로 사용자가 키보드를 치거나, 드래그 드롭, 메뉴선택등...
사용자가 하는 행동을 프로그램에 전달하고, 다시 윈도우의 모든 서비스를 전달, 호출, 실행, 종료를
하는 머리 역할을 하는 파일입니다.

그림에서 보듯이 모든 응용프로그램들은 explorer.exe 하위에서 실행이 되게 되어 있습니다.
만약 svchost.exe가 service.exe 하위에서 실행되지 않고..
explorer 밑에서 실행이 되고 있거나.. 엉뚱한 프로세스 밑에서 작동을 하고 있다면
바이러스일 가능성이 거의 99% 입니다.

좀 어려운 내용이지만 요 부분을 잘 명심해야 돈 안들이고, 바이러스를 차단시킬수 있고..
레지스트리나 process explorer 프로그램 만 있으면
쉽게 바이러스 검사를 해볼 수 있습니다.
사실 바이러스검사는 저도 1년에 한번 해볼까 말까 합니다.

그냥 나타나면 바이러스 체크하는 것보다
이런 식으로 파일이나 프로세스 차단 부터 해두고 경과를 지켜 보는 것을 땡 칩니다.
이 글을 누가 보면 안되는데...
싫어 할 사람들 많아 지는데... ㅎㅎ

신고
요즘 보니까 바이러스 체크 프로그램이 전쟁이더군요..
무료로 바이러스 체크를 할 수 있는 프로그램이 외산, 국산 할 거 없이 많은데...

초창기 나올 때 부터 불안 불안 했던것이 현실화 되는 것 같아서 안타깝네요..

프로그램들을 제작해서 상용화 한다는 것이 장난이 사실 아니거든요.
노하우가 장난이 아니죠..

블로그 통신을 보니까 외산 , 국산 프로그램들이
윈도우의 중요한 dll 파일을 바이러스 걸린 것으로 착각하고
삭제하는 오류가 있다던데...



조심해야 합니다.
검사시 dll 파일을 삭제하려는 움직임이 보이면 꼭 아래 삭제하면 안되는 dll 파일을 참고하고 결정을 하세요

http://sungtg.tistory.com/613


신고
어느 작업장에서 외장하드를 많이 사용하게 되었는데...
usb 바이러스 때문에 이러지도 못하고 저러지도 못하는 사태가 발생을 하였습니다.

서버의 하드 용량이 모자라서 외장형을 꼭 사용하게 되었는데..
용량 문제를 해결하니까.. 이제는 usb 바이러스 때문에 폴더나 파일이 숨겨져서 애 좀 먹었습니다.



우선 점검 부터 해봤지요.

레지스트리에서 먼저 자동실행되는 것이 있는지 확인을 해봤지요
특별하게 내가 모르는 프로세스는 없는 거 같고..
그러므로 자동실행되는 문제는 아니고...




흔히 쉽게 놓치는 레지스트리 logon 부분을 살펴보았습니다.
logon에도 별 이상이 없었습니다.
이 부분은 윈도우 부팅시 윈도우의 사용자계정 즉 바탕화면이나 그 외 설정을 연결시켜주는 부분이라서
바이러스들이 참 좋아하는 부분입니다

 

탐색기에서 폴더옵션에서 숨김파일을 표시를 해놔도 계속 안되고...
usb 드라이브에 folder.exe , desktop.exe, autorun.inf는 지워도 계속 생기는 것이었습니다.

하다 하다 안되서 v3를 돌려 봤더니 바이러스를 잡더 군요.
한동안 쓰다 보니까 다시 생기는 것입니다...
문제가 장난이 아니다.. c: 드라이브의 보이지는 않지만 뭔가가 있다는 생각이 들더군요..

다시 레지스트리를 열어서 놓친 데가 없는지 확인하던 중에..
위 레지스트리 그림중에 Userinit 이 부분에 system32 폴더의 userinit.exe, xxxxx 잔뜩 늘어져 있었습니다.
그럼 어디서 찾을 필요도 없이 system32 폴더와 windows 폴더를 autorun 이나 folder, desktop으로 검색하니까 나오길래 삭제하고..
다시 탐색기의 옵션을 바꿔서 저장하니까 이제 제대로 되더군요..

sql서버, 이미지서버까지 쓰는 작업장이라서...
우선 ip, 컴퓨터이름 부터 싹 바꾸는 작업을 했지요..
혹시 웜하고 붙어 다닐까봐서...
한 이틀 동안 고민한 거 생각하면
....

시간이 아깝다는 생각도 나고.....

userinit.exe를 조금만 일찍 생각을 해냈어도.... 쉽게 해결 되었을 것을...

참 algsrv.exe msfun80.exe 이것들로 system32에 있다면 바이러스 일 가능성이 큽니다.
신고
한국정보보호진흥원 노명선 팀장

“일반 인터넷 사용자와 웹서버 운영자, ISP나 IDC업체, 정부 등 각 주체별로 역할에 맞는 보안 노력을 강화해야 한다”

1일, <디지털데일리>와 <한국침해사고대응팀협의회>가 공동주최한 ‘All about DDos-안티DDoS 대작전' 컨퍼런스에서 노명선 한국정보보호진흥원(이하 KISA) 팀장은 “올해 들어, 국내 분산서비스거부(DDoS)공격 10건 중 4건은 금품 요구 공격이었다”며 “이는 최근 전 세계적으로 심각한 사회문제로 대두된 만큼, 일반 인터넷 사용자부터 정부까지 각 역할에 맞는 노력을 기울여야 한다”고 강조했다.

그는 “특히 웹서버 운영자나 ISP, IDC 등은 DDoS공격시 수사기관이나 KISA 등에 신고하고 로그확보와 악성코드채취, 봇넷 차단 등을 통해 신속한 공조대응을 해야 한다”고 설명했다.

최근 DDoS 공격은 봇넷(Botnet)을 이용한 공격이 늘어나고 있다. 이는 악성코드를 제작해 웹사이트를 통해 유포되며, C&C서버를 통한 좀비(Zombie) PC를 조정하는 것.

또 조직적으로 역할을 분담해 금품을 요구하는 공격형태도 늘고 있다.

현재 DDoS 관련 법률적 규정은 정보통신망 이용촉진 및 정보보호 등에 대한 법률 중 침해사고의 정의와 정보통신망 침해행위 등의 금지 및 정보통신기반 보호법 중 기반시설 침해해위 등의 금지에 명시돼 있다.

노 팀장은 “한편 예전에는 화상채팅 등의 성인사이트나 도박 등 불건전사이트들의 신고 사례가 많았으나 최근엔 소핑몰, 금융, 온라인강의, 포털 등 일반기업들에까지 전방위적인 공격이 늘고 있다”고 말했다.

그는 “협박형태는 점차 대범해지고, 공격 트래픽 규모는 수십 메가바이트에서 수십 기가바이트까지 증가하는 있는만큼 각 주체별 역할이 중요하다”고 말했다.

일반 인터넷 이용자는 백신프로그램을 통한 주기적 보안점검을 생활화해야 하고, ISP․IDC 및 일반기업들은 DDoS 공격시 자사 고객에 대한 우선적 보호조치를 강화해야 할 것으로 보인다.

노 팀장은 “DDoS 공격탐지 및 대응체계 구축을 위한 지속적인 투자는 물론 악성 봇에 감염된 가입자 PC에 대한 대응 및 예방에도 적극적으로 나서야 할 것”이라며 “정부 역시 공격발생시 유관기간과 신속한 공조 및 좀비PC자체를 억제하기 위해 국민들을 대상으로 인식제고를 강화해야 한다”고 주장했다.

그는 “현재 정부차원에서 국민들이 많이 이용하는 12만개 사이트를 대상으로 탐지를 강화하고 있다”고 덧붙였다.
신고

경찰청 사이버테러대응센터 김영환 팀장

"일반인들의 보안의식이 낮다는 점을 이용, 특히 회원수가 많은 포털업체 카페나 개인 블로그에 ‘유명 연예인 000 동영상 보러가기’와 같은 글을 올리고 마치 동영상 프로그램을 다운받는 것처럼 위장한 후 액티브X방식으로 악성코드를 유포하는 방식이 늘고 있다." 

김영환 경찰청 사이버테러대응센터 팀장은 1일, <디지털데일리>와 <한국침해사고대응팀협의회>가 공동주최한 ‘All about DDos-안티DDoS 대작전' 세미나에서 “일반 인터넷 사용자들은 자신의 PC가 DDoS 공격에 이용되는 것을 전혀 모르고 있다”며 “또 최근엔 이러한 공격기법 등이 인터넷을 통해 유포 및 공유가 가능해 전문 해커가 아닌 비전문가들도 쉽게 공격이 가능하다”고 설명했다.

김팀장은 최근 수사 사례를 인용하며 “지난 3월 해외소재 해커그룹으로 자칭한 공격자들이 국내 유명 증권사를 상대로 회사 고객센터에 전화해 공격중단을 대가로 2억원을 요구한 사건이 있었다”며 “공격자들은 대처할 시간을 촉박하게 준 후, 요구에 불응할 시 추가로 공격할 것이라는 등 계속해서 협박했다”고 설명했다.

최근 공격유형이나 수법을 보면 주로 해외 C&C 서버 및 국내외 좀비 PC로 구성된 봇넷(Botnet) 이용 공격이 늘고 있고, 다이나믹 도메인(Dynamic Domain) 이용하고 C&C IP를 수시로 변경해 추적이 어려운 상황이 자주 벌어지고 있다.

김 팀장은 “또 다른 공격사례를 살펴보면 C&C 서버는 미국 샌프란시스코의 서버 호스팅 업체 서버를 임대해서 사용하고 있었는데, 국내에 만여대 PC가 자체 업데이트 기능이 있는 좀비PC로 사용되고 있었다”며 “협박방식도 국제전화를 비롯해 인터넷 전화와 메신저 등 다양했다”고 설명했다.

그는 “인터넷사용자은 인터넷에서 출처불명의 프로그램을 다운하는 것을 지양하는 등 보안의식을 강화하고, ISP․ IDC 및 기업차원에선 IP 스푸핑(Spoofing) 공격시 추적방법을 마련하고 차단장비를 설치하는 등의 적극적인 대응을 해야 한다”고 강조했다

신고

게임해킹 전격해부

2008.08.18 10:12 | 보안
해킹이란, 적법한 권한을 갖지 않은 채 타인의 데이터 정보에 접근하여 이를 가져가거나 수정하는 것을 말한다. 초기에는 개인의 실력 과시용으로 사용되던 형태에서 소규모 커뮤니티 단계를 거쳐 집단적이고 조직적인 해킹으로 발전했다. 초기에는 단순히 실력을 보여주고 유명세를 타고자 하는 것이 주된 목적이었지만, 현재는 금전적 이익을 추구하는 것으로 변질되었고, 그 범위가 전세계로 확대되고 있는 실정이다.

이런 해킹에 근거해 게임을 통해 이루어지고 있는 해킹이 게임 해킹이다. 초기 온라인 게임은 MMORPG(다중접속역할수행게임) 형태의 게임이 주류를 이루면서 오토플레이나 매크로와 같은 해킹이 많이 이루어졌다. 이런 툴은 자기 과시용이나 개인 연구용으로 제작되는 경우가 많았다. 그러나 그 형태가 점차 상업화되어가고 있고 실제로 우리나라에서 오토플레이나 매크로 등은 이미 상업적으로 사용되고 있는 것이 현실이다.

한국게임산업개발원 ‘2006 대한민국 게임백서’에 따르면, 국내 온라인 게임은 2005년 1조 4천억 원을 넘어서며 전년 대비 41.3% 급증했다. 이는 전체 게임 매출의 50.4%를 차지하는 것으로 온라인 게임이 국내 시장에서 얼마나 큰 위치를 차지하고 있는지 말해준다. 또한, 주목해야 할 것은 게임 아이템이다. 온라인 게임의 성장과 함께 게임 아이템 시장은 2005년 6000억 원을 기록하며, 2008년 현재 추정되는 규모는 연간 1조원이라고 한다. 더 나아가 게임 아이템 시장이 온라인 게임 시장보다 커질 것이라는 예측도 나오고 있다.

이렇게 화려한 발전을 이룬 게임 시장은 해커들이 침투하기 좋은 조건의 '장'이었고, 결국 해킹이 게임 시장까지 잠식했다. 이것은 어찌 보면 자연스러운 단계였을지도 모른다. 결국 온라인 게임 시장의 산업화와 발전이 온라인 게임 해킹을 불러온 화근인 셈이다.

온라인 게임 해킹 나날이 급증, 사이버 암시장서 거래

안철수연구소가 집계한 바에 따르면 온라인 게임 해킹 프로그램은 매년 큰 폭으로 증가하고 있다. 지난 2005년 13건에 불과하던 해킹 프로그램 발견 수는 이듬해 34건을 거쳐 2007년에는 139건으로 늘었다. 특히 이때 모든 게임을 대상으로 하는 범용 툴은 감소하는 추세인 데 반해 특정 게임만을 대상으로 하는 전용 툴은 증가 추세인 것이 특징적이다. 올해 들어서도 6월까지 발견된 게임 해킹 프로그림이 벌써 142건에 달한다. 올해는 300건이 넘을 것으로 전망된다.

일반적으로 게임 해킹은 게임이 사용하는 메모리나 파일을 조작하는 방식을 쓴다.대부분의 게임에서 적용되는 범용 툴은 대부분 무료로 배포되며 오픈 소스로 공급

구분

전용 툴

범용 툴

2005

13

427

2006 34 396
2007 139 57
2008 상반기 130 12
된다. 때문에 누구나 쉽게 이를 이용할 수 있어 게임 해킹을 일반화하는 데 일조했다. 대표적인 것이 게임 사용자의 로그인 계정을 탈취하는 트로이목마 종류이다. 이 때문에 많은 사용자들이 게임 및 개인 정보가 유출되어 큰 사회적 문제가 되기도 하였다.

이와 달리 특정한 게임에서만 반응하고 작동하는 전용 툴은 범용 툴에 비해 짧은 주기로 업데이트된다. 따라서 많은 게임 사용자들이 이 전용 툴을 구하기 위해 노력하고 있으며 이른바 ‘사이버 암시장’이 형성되어 있다. 더욱 강력한 전용 툴을 판매해 높은 수익을 올리고자 전문 업자들이 뛰어들고 있으며 이로 인한 피해는 계속 증가하고 있다.
오토플레이부터 스피드핵까지 종류 다양
이처럼 온라인 게임 사용자를 노리는 해킹 툴에는 어떤 유형이 있을까? 갖가지 방식으로 불공정한 방식으로 게임의 변칙 플레이를 유도하는 주요 해킹 기법들을 알아보자.

첫째, 오토플레이(Auto-play)가 있다. 흔히 ‘오토’라 불리며, 사용자 수준의 후킹(hooking) 명령어를 통해 이를 하드웨어에 적용할 수 있는 물리적 신호로 전환시켜 키보드와 마우스를 자동으로 조작하게 하는 프로그램이다. 쉽게 말해 가만히 있어도 알아서 게임 내 사냥이 가능하다는 것이다. 이는 컴퓨터 내 프로그램으로도 활용이 가능하지만 USB나 오토 전용 마우스, 블루투스 등에서도 역시 활용 가능하다. 바로 이 점 때문에 오토플레이는 각종 주변기기 장치에 내장된 채 판매되어 온라인에서 쉽게 구매 및 사용할 수 있다. 또한 사용자들 역시 비용에 비해 만족도가 높다고 생각한다. 때문에 오토플레이는 현재의 게임 해킹 툴 중 70% 이상의 비중을 차지하고 있다.

둘째, 스피드 해킹(Speed Hacking)이 있다. 흔히 1인칭 슈팅 게임(FPS, First-Person Shooter)에 이용되며, 사용자 수준으로 지정해둔 시간에 대해 윈도우 내 논리적 시간(Logical Time)을 변형하여 기기의 시간을 증대시키는 효과를 얻는다. 즉, 단기간 혹은 사용기간 내 게임의 속도가 높아진다. 이 프로그램의 가장 큰 특징은 게임을 하는 중에 속도가 증가하는 만큼의 부담을 하드웨어가 직접 받는다는 것이다. 쉽게 말해서 초당 하드 실린더의 회전을 규격 이상으로 증가시키기 때문에 전 하드웨어가 그에 따라 운영되어 사용자들의 PC의 내구성과 수명에 악영향을 미친다.

셋째, 비사용자 로봇(Non-client bot)이 있다. 이 프로그램은 원래의 게임 프로그램 소스를 분해해 해킹 툴에 덧씌운 것으로, 사용자가 해당 게임에 접속하지 않고도 실제로 게임을 진행하는 것과 동일한 효과를 얻는 해킹 툴이다. 이러한 장점 때문에 소위 ‘작업장’에서 게임 머니, 아이템 등을 대량 취득하기 위해 사용된다.

넷째, 파일수정(File modification)이 있다. 이는 해당 게임의 업데이트 파일 혹은 프로그램 내의 파일을 각 영역 별로 분리하여 그 데이터를 수정하는 것이다. 따라서 프로그램 언어를 일정 수준 갖춰야 하며 프로그램이 업데이트될 때마다 이 역시 진보한다는 특징을 가진다. 그러나 현재까지 파일 수정을 통한 해킹은 적발되지 않고 있으며 온라인 게임이 아닌 소프트웨어 게임에 ‘에디트’로 주로 적용된다.

다섯째, 패킷 사기(Packet Cheating)가 있다. 이는 사용자의 컴퓨터를, 클라이언트 서버에서 직접 운용되는 프로그램인 것처럼 위장하여 프로그램 내 채팅 언어를 조작하여 해킹을 시도한다.
게임 보안은 선택이 아니라 필수
이런 해킹 툴을 근절해 모두가 즐겁게 게임을 할 수 있는 환경을 만들기 위해서는 사용자와 게임 업체 모두의 노력이 필요하다.

우선 게임 사용자 스스로가 해킹 툴을 사용하지 않는 자정 노력이 필요하다. 현재 게임 해킹이 발생하는 가장 핵심적인 이유는 좀더 쉽고 빠르게 게임의 레벨을 높이거나 아이템을 얻으려는 데 있다. 물론 이런 유혹을 이기는 것은 쉽지 않다. 그러나 해킹 툴을 사용하는 것은 게임 개발자들의 의욕을 떨어뜨릴 뿐 아니라 게임을 즐기는 다른 사용자에게 피해를 준다. 특히 해킹 툴을 사용하는 것은 범죄와 동일하다는 것을 반드시 기억해야만 한다.

다음으로 게임 업체는 게임 사용자를 위해 철저한 보안 대책과 대응법을 마련해야 한다. 해킹 툴 사용과 시도가 명백하다면 단호히 대응해야 한다. 실제로 게임 업체가 이들에 대해 취하는 대응은 강력하지만 그 수는 매우 적다. 왜냐하면 해킹 툴 사용자에 대한 처벌이 해당 게임의 사용자 수를 줄이는 경향이 있기 때문이다. 그러나 장기적으로 보면 온라인 게임 전용 해킹 툴의 급증으로 게임 이용자들의 피해가 늘면 해당 게임에 대한 이미지가 실추되고 이용률은 낮아질 수밖에 없다. 결국 게임 업체의 수익성 저하와 게임 산업 위축으로 이어지게 될 것이다. 따라서 이용자에게 온라인 게임 보안 솔루션을 제공하는 등 적극적인 대책이 필요하다.

온라인 게임 지킴이 ‘핵쉴드 온라인 게임’
온라인 게임 보안 솔루션 중 대표적인 것이 '핵쉴드 온라인 게임 2.0(AhnLab HackShield for Online Game 2.0)'이다. 이 솔루션은 온라인 게임을 실행할 때 게임과 함께 작동해 게임 프로그램의 해킹이나 변칙 플레이를 막아줌으로써 게임을 정상적이고 안전하게 이용할 수 있게 해준다. 오토플레이, 메모리 조작, 스피드핵 등 다양한 해킹 툴을 탐지/제거한다.

동종 제품 대비 보안성과 편의성이 높고, 윈도 비스타 64비트까지 지원한다는 것이 특징이다. 보안성 측면에서는 안철수연구소의 검증된 시그니처(signiture) 엔진과 함께 메모리 휴리스틱 엔진을 탑재해 변종 해킹 툴의 감지/차단 기능이 탁월하다. 또한 USB 등을 통해 공공연히 판매되고 있는 하드웨어 오토마우스에 대응할 수 있으며, 메모리 전체 영역에 대한 조작을 감시할 수 있다. 제품 패치 및 엔진 업데이트를 자동으로 할 수 있으며 실시간 해킹 모니터링 및 보고서 출력을 할 수 있다.

'핵쉴드 온라인게임 2.0'은 정부 지정 '차세대세계일류상품'이며, 적용된 기술 대부분이 특허를 획득했다. 그라비티, JC엔터테인먼트, 웹젠 등 글로벌 온라인 게임 업체와 공급 계약을 맺어 중국, 일본, 동남아, 미국, 브라질, 러시아 등 해외 10여 개국에서 안전한 게임 환경을 책임지고 있다.

 
출처 안철수연구소
신고

악성코드 때문에 고생을 많이 하게 될 겁니다.
레지스트리에서 자동실행되게 설정해 놓고 부팅 때 자동실행되게 만들어 놓는데..
일반적으로 잘 알고 있는


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

사용자 삽입 이미지

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
사용자 삽입 이미지

원래 레지스트리는 윈도우NT머신에서 가져온 것이기 때문에
레지스트리의 Windoes NT 하위에도 넣어서 자동실행 시킬 수 있습니다.
윈도우 로그온 만하면 실행시킬 수 있는 레지스트리의 키입니다

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
사용자 삽입 이미지

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
사용자 삽입 이미지

다음에는 윈도우서비스..
제어판/관리도구의 서비스 부분에서 자동실행시킵니다.
알약이나 v3등 바이러스 체크프로그램들이 윈도우의 서비스를 이용해서 자동실행됩니다.

사용자 삽입 이미지
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ALYac_PZSrv
사용자 삽입 이미지

그나마 이렇게 뚫고 들어오는 바이러스는 쉽지요..
항상 윈도우 실행되면 꼭 실행되어야 하는
explorer.exe, svchost.exe, lsass.exe, services.exe 같은 프로세스에 기생해서
dll파일 형태의 바이러스가 골치가 아프지요..









신고

메모리 상주프로그램은 도스와 98까지 썻던 말이죠.
컴퓨터 부팅되고 나서 끌때까지 계속 메모리에 상주하면서
기본적인 서비스를 제공하는 것을 말합니다.

옛날 영문도스만 있었던 시절 한글을 띄우는 mshbios.com든가 한글 띄우는
실행파일이 있었고, 현재도 이름이 같은 command.com 이 역시
메모리에 상주하면서 도스 명령어를 해석하는 인터프리터 역할을 했지요.

지금은 메모리 상주프로그램을 바이러스 관계된 용어로 많이 사용하고
윈도우에서 굳이 매치를 시킨다면 윈도우 서비스 부분과
explorer.exe lsass.exe winlogon.exe service.exe smss.exe 등이 있고
svchost.exe 에서 불러들이는 각종 윈도우서비스와 관련된 dll 파일이
될 수 있겠지요

사용자 삽입 이미지




























위 그림에서 보듯이 부팅 시키고 난 후 작업관리자를 열었을 때,
떠있는 프로세스는
윈도우를 종료할 때 까지 떠 있어야 하는 프로세스가 대부분입니다.

문제는 항상 바이러스가 문제입니다.

바이러스 중에 가장 골치 아픈것이 바로 explorer.exe에 기생하는 dll 파일들입니다.
explorer.exe는 그야말로 윈도우를 구성하는 큰 틀입니다.
바탕화면, 시작 등 윈도우가 부팅되면 자동으로 실행되서 화면을 구성하게 되는데
요런 점을 잘 이용하고 있답니다.

바이러스를 분석해보면
명목상으로는 실행 파일을 만들어서 사용자가 알아볼 수 있게끔 꾸미지만
실제로는
일반 사용자는 dl 파일에 대해서 모르기 때문에
탐색기가 실행될 때 같이 실행되는 dll 파일에  슬쩍 끼워서
부팅 될 때마다 자동으로 실행되게 만들지요...

대부분 사용자는 이유도 모른채 당할 수 있습니다. 요즘 같이 보안이 중요한 시대는
특히 백도어 역할을 해서 일종에 통로를 열어 놓을 수 있는 바이러스이기 때문에
각별히 조심 할 필요가 있습니다.

가끔 내 explorer.exe에 무슨 dll 파일들이 떠 있는지 확인을 해보세요
cmd.exe (콘솔창)을 실행 시켜서
tasklist /m 이라고 입력을 해보세요

사용자 삽입 이미지
















다음에 exploter.exe 를 찾아서 실행되고 있는 dll 파일을 눈에 익혀 두세요

사용자 삽입 이미지

컴퓨터가 이상하다 싶을 때
작업관리자와 이 명령어가지고 번갈아 확인하면서 바이러스를 진단 할 수 있습니다.

그리고 나서 v3나 백신프로그램을 사용해야 겠지요


신고

안철수연구소는 포털, 통신사와 같은 비보안 업체들이
외산엔진을 기반으로 제공하는 무료 백신이 문제 있다고 주장했다.
구체적인 문제점으로 신종 보안 위협에 24시간 365일 긴급대응 및 기술지원이 어렵다는 것을
비롯해 다음과 같은 점들을 꼽고 있다.

첫째, 국내에서 확대되고 있는 무료백신은 세계적으로 유례가 없는 모델이며
글로벌 경쟁력을 갖춰야 하는 소프트웨어 산업에 도움이 되지 않는 모델이다.

미국의 경우 세계 최대 인터넷 업체인 구글은 시만텍의 ‘노턴’ 백신 평가판(실시간 제외)을 탑재함으로써 마케팅 채널을 제공하는 상생 모델이며
AOL의 경우에도 맥아피 백신 번들(1년 기한 제한, 사용자정보수집 동의 회원 한정)을 제공하는 수준에 그친다. 보안 기업의 전문성과, 유료 서비스 시장을 존중하고 있다. 분명 시만텍이나 맥아피의 브랜드를 달고 있다.
브랜드 표시 없이 제공되는 국내 방식과는 분명 다르다.

둘째, 포털이나 일반 소프트웨어 업체 등 비보안 업체가 무료 백신을 배포하는 것은 단지
회원(사용자) 유지를 통한 자사의 이익 극대화를 위한 것일 뿐이다.

보안은 애플리케이션(소프트웨어)만 설치하면 끝나는 것이 아니라 신종 보안 위협에 24시간 365일 긴급대응, 기술지원, 고객지원 등 오래 축적된 노하우와 서비스가 중요하다. 이런 시스템도 갖추지 않은 비보안 업체가 무료 백신을 배포하는 추세가 지속되면, 결국 보안업체나 서비스 제공업체 모두 무료백신 유지를 위한 고비용 구조를 유지하기가 불가능하다.

결국 국내의 무료 제공자는 서비스를 중단할 것이고, 외산 벤더는 높아진 인지도를 믿고 엔진 비용을 높이려 시도할 것이며 뜻대로 안 되면 철수할 수 있다.

셋째, 외산 엔진을 저가에 구매해 탑재한 것은 사용자 보호에 도움이 되지 않는다.

금전을 노리는 국지적 공격이 압도적으로 많은 상황에서 외산 엔진이 국내 상황에 우선적으로 대응하리라
기대할 수 없으며, 오진 등 문제가 발생했을 때 일일이 본사에 요청해 해결해야 하므로 대응이 느릴 수밖에 없다

신고
Tag : 무료백신
마이크로소프트(MS)를 가장해 보안 업데이트 통지 메일을 보내는 말웨어가 발견됐다.

미국 보안업체 트렌드마이크로에 따르면,
이 말웨어는
Important update from MS WindowsXP/2003 Professional Service Pack 2(KB946026)’이라는 제목으로 메일을 보내
‘긴급 취약성’을 수정하기 위해 최신 보안 업데이트를 설치할 것을
메일 수신자에게 요구한다.

수신자가 메일내 링크를 클릭하면,
‘PE_VIRUT. XZ’라는 말웨어에 감염된다.

이 말웨어는 EXE 및 SCR 파일에 침입해 실행 장소에 따라서는 심각한 파괴를 일으킨다.  윈도우의 업데이트를 통한 보안업데이트가 안전하다.

신고

해킹과 인터넷 뱅킹

2008.05.17 16:01 | 보안

가정에서 직장에서 컴퓨터를 이용해서 인터넷 뱅킹을 많이 이용하는데..
개인의 경우에는 조심해야 할 부분이 바로 백도어프로그램과 키로그 프로그램들입니다.

백도어를 심어서.. 키로그를 이용해서 암호, id, 공인인증서 암호등을 빼내갈 수 있기 때문입니다.
요즘은 악성코드나 바이러스 와 함께 숨겨져 들어오기 때문에..
사용자들은 바이러스 이겠거니 하고 넘어가는 경우도 종종 생길 수 있습니다.

사용자 삽입 이미지


키보드해킹이란 ?

파일이나 데이터를 해킹하는 것과는 다른 방법의 특수 프로그램을 통해
유저가 키보드를 통해 입력하는 모든 정보(아이디, 비밀번호, 채팅 중 대화내용, 메일작성내용, 주민번호, 계좌-카드-번호)를 해킹하는 것을 말합니다.

500-660만개의 키보드해킹 관련 프로그램
약 500만개 이상의 프로그램이 검색되며 무료 Trial버젼도 다수이며, 인터넷상에서도 쉽게 구할 수 있습니다.
직원업무감시, 자녀관리프로그램 등 상용합법제품이지만 해킹으로 악용될 수 있습니다
.


쉬운 감염

E-mail을 통한 감염
해커는 특정인 또는 불특정 다수에게 메일을 보내 이를 읽는 것만으로도 감염시킬 수 있습니다.

게시판을 통한 감염
해커는 포탈 등의 게시판 또는 블로그에 호기심을 자극하는 제목의 글을 올리고 이를 클릭하는 것만으로도 감염시킬 수 있습니다.

심지어 특정사이트를 방문하는 것만으로도 감염될 수 있습니다.
 
쉬운 해킹

해커는 감염된 유저가 인터넷을 사용할 때 실시간으로 내용을 볼 수 있습니다.
해커가 지정한 메일이나 게시판으로 유저의 키보드입력정보를 받아보고 저장할 수 있습니다.
해커가 입력한 특정단어(“은행”, “게임”, “채팅” 등)를 키워드검색하게 하여 원하는 정보만을 받아볼 수도 있습니다.


2005년 부터는 모든 금융기간은
키보드 보안프로그램을 다운 받아야 인터넷뱅킹을 사용할 수 있게 법으로 지정이 되어 있습니다.
비교적 은행 뱅킹은 안전하지만..

문제는 개인사용자의 습관이 문제가 될 수 있습니다.
인터넷 사이트 중에 이상한 사이트를 들락 거리고.
프로그램을 모두 설치해야 직성이 풀리고.. 한다면
보장 못하죠..

인터넷 뱅킹을 하려면 최소한 집에 있는 컴퓨터든, 사무실에 있는 컴퓨터든..
작업관리자를 한번 열어 봐서
이상한 프로세스가 떠 있나 확인을 해야 겠지요..

창을 하나만 사용하세요.
창하나가 보통 프로세스 하나이니까 iexplorer.exe 즉 익스플로러창이 하나만 떠 있는데...
작업관리자에 여러개가 떠 있다거나..
telnet.exe 같은 통신용 프로그램이 떠 있다면 문제가 되겠지요..

또 하나는
한 금융사이트를 방문하고 나서는 반드시 로그아웃과 익스플로러 창을 꼭 닫고
오른쪽 하단에 보안키 프로그램이나 yesxxx 인증 프로그램들의 정상적인 종료를 확인한 후에
다시 다른 사이트를 방문을 하세요..

인터넷의 무서움에 대해서는 인지를 아직 못하는 게 사실입니다.

며칠전 은행권 해킹은
무선랜을 통해서 해커가 전산망에 접근되어진 PC에 랜카드 주소 즉 MAC address와 ip주소를
탈취 gateway화 시켜서 은행전산망에 들어가는 스니핑이라는 해킹 기술이었습니다.

해킹당한 첫번째 컴퓨터와 연결된 네트워크에 악성코드를 뿌리면서 점차 확산되는 것이죠.

우리나라는 인터넷에 관해서는 전 세계의 테스트배드 역할을 합니다
인프라가 좋은 만큼 위험성도 제일 높다고 볼 수 있습니다.

각자가 이제는 보안에 신경을 많이 써야 됩니다.

신고

해킹을 당했는데...

2008.05.17 15:25 | 보안
 

저좀 꼭 좀 도와주세요...,
위기 입니다....부탁요...

몇일 전에 해킹을 당했는데...
키로그가 설치되어 있더군요...
또 보서브도 설치가 된것 같은데...

어떻게 지우는지좀 가르쳐 주세욤...
프로그램 있으면 좀 가르쳐 주시고요...
부탁드립니다...

 
 일단 키로그 프로그램과 보서브 프로그램을 먼저 설명을 해야 겠네요.

 우선 보서브 프로그램을 설명 드려야 겠네요
 보서브는 백오리피스라고 하는 백도어 프로그램입니다.
 (보서브.딥보.넷버스.NUKE.스쿨버스.메테오르..등등)

 키로그 프로그램은 키입력을 스킨해서 저장했다가
 몰래 키스트록 했던 정보를 빼오는 프로그램입니다.

 해킹을 하려면 ip를 알아야 하는데..
 ip주소를 연결시켜주는 프로그램입니다.

 그러니까 해킹을 할때 내컴퓨터의 ip주소로 외부에서 연결을 가능하게 만드는
 프로그램입니다.  탐색기실행, 키보드 스킨, 파일삭제, 등등
 자기 컴퓨터 처럼 모든 것을 할 수 있습니다
.

 평소에 작업관리자/프로세스를 잘 보고 있다면, 잘 찾을 수 있습니다.
 윈도우에서 어떤 실행이나 작업을 하려면 모든 것이 프로그램 즉 프로세스가 있어야
 일을 하게 되는 것이니까,
 
 평소에 내 컴퓨터에 어떤 프로그램들이 설치되었고
 프로그램의 이름은 알고 있다면 해킹이든 악성코드든 바이러스든
 문제 될 것이 없지요..
사용자 삽입 이미지

 
 
   
 
 




















BOSERVE.EXE UMGR32.EXE(키로그) 의 프로세스를 끝낸 후 삭제를 하세요
프로그램의 이름은 확실치 않습니다.
이름이 만들기 나름이니까요..

다음에는 이런 백도어 프로그램들은 윈도우가 부팅되면서 실행되게 설정을
해 놨으니까 필히 레지스트리에서 삭제를 해야 합니다.
사용자 삽입 이미지

키로그 프로그램 종류

achtung - Codex Data Systems 에서 개발한 윈도우용 키로그 툴
em - 레코드와 재생기능의 키로그 툴
ik - 보이지 않는 키로그 툴
ik97 - 보이지 않는 키로그 툴 97
iksnt - NT 용 키로그 툴
iksv - Windows95/98   용 키로그 툴
keycopy - 모든 키보드의 입력을 저장해주는 키로그
keylog시리즈 - 윈도우용  키로그
keylogwin - 윈도우용 키로그 툴                 
keylogwn - 윈도우용 키로그 툴
keyrec - 도스용 키로그 툴
keytrap1 - KeyTrap v1.0  (키보드 전용) 
keytrap2 - KeyTrap v2.0  (키보드 전용) 
keytrap3 - KeyTrap v3.0  (키보드 전용)
log - 키로그 툴
pb19c - 입력시와 똑같은 속도와 상황으로 재생해 주는 키로그 툴
pcpro21 - 키로그 툴
phantom - 도스용 키로그 툴
phantom2 - 도스와 윈도우즈버전을 phantom 의   2.0 버전     
Family Keylogger
Perfect Keylogger 1.74 Pro? Kg(Crack) Excell
Ghost_Keylogger
I-Spy
Elite.Keylogger
007 Spy SoftWare(KeyLogger+) Plus Serial By DeeOhGee

신고
Tag : 해킹
광우병관련 얘기 때문에 온통 씨그럽네요..

진짜 국민들이 알아서 해야 될 것은 개인의 정보보호입니다.
해킹이나 바이러스는 완벽한 방어가 없기 때문입니다.

옥션사태를 봐도 얼마전에 들은 얘기가 요즘은 중국에서 먼저 전화를 해서 돈을 요구한답니다.
그러다 결국 해킹을 한다는 것이지요.
보통 중국쪽 해커가 많다고 들었습니다.
어떤 방법으로 해킹을 할 지.. 방어할 방법이 묘연하기 때문에 불가능합니다.

기존에 쇼핑몰은 초창기 모델이라서 기존에 오프라인 기업체와 비슷합니다.
편하면 그만큼 누출 가능성이 많습니다.

인터넷뱅킹은 비교적 안전하니까 pc방 같은 대중적인 장소만 피하고
사무실이나 집의 2개의 컴퓨터에서만 사용한다면 별 문제없을 것 같고

주민번호는 sms로 주민번호 도용을 알려주는 서비스를 이용하면 좋지요
카드도 sms를 이용해서 내카드의 사용내역을 실시간으로 받아보면 되지요..

문제는 쇼핑몰인데.. 가능한 새로운 통장을 만들어서 쇼핑몰 용으로 사용하고
평소에 잔고를 비워두면 되겠네요.. 은행이체로 해두는 것이 안전하겠지요.
이미 등록된 쇼핑몰이 있다면 전부 회원정보를 바꾸어야 겠지요.

네트워크 세상에서는 누구도 믿을 수 없습니다.
내가 내 정보를 철통같이 보호를 해야 안전합니다.
누가 대신 해준 다는 것은 이미 시대 착오입니다.
신고

이것저것 악성코드나 바이이러스체크하는 프로그램을 깔아봤답니다...
ad-aware, 에드워치, v3, 알약, 이지크린, 울타리, 등등을 써보았답니다...

도대체 무슨프로그램을 깔아서 사용해야 하는지요...컴이 점점 느려져서 미치겠어요... 답변부탁드립니다...
============================

프로그램 사용법


유사한 프로그램은 하나 만 사용하는 것이 좋은 거 아시죠..
아무리 메모리가 빵빵하더라고

실행되는 프로그램을 감시하고
인터넷을 감시하고
메모리를 감시하고 하면
느려지게 되어 있습니다.

사용을 잘 해야 합니다.
항상 켜 놓지 말고 이틀이나 사흘에 한번씩 체크를 하는 습관을 들이는것이
제일 좋은 방법입니다.

프로그램의 선택

바이러스나 악성코드는 안철수연구소 제품하나 정도면 됩니다.

바이러스나 악성코드는 시그니처라는 보안기술에 의해서 프로그램을 만듭니다.
시그니처는 해킹이나 바이러스 침투, 제로데이공격등에 대한 방어/퇴치기술이라고
보며 됩니다. 과거에는 이런 시그니처를 외국기업에서 구입을 해서 퇴치프로그램을 만들었습니다
한예로 곰플레이어에 백도어문제가 나왔을때
외국기업인 라드웨어라는 업체에서 곰플레이어에 시그니처 기술을 알려주서
안정적으로 곰플레이어를 사용할 수 있도록 한적이 있지요..

시그니처 기술은 주로 외국 기업의 보안업체가 가지고 있었지만
최근에는 안철수 연구소에서 자체적으로 시그니처를 개발해서
수출까지 하고 있습니다.

그만큼 보안업체에서는 시그니처가 중요합니다.
노우하우가 제일 중요하지요..
그래서 안철수 거 하나만 사용하는 것이 좋습니다.


사용자 삽입 이미지
포탈사이트의 툴바도 많이 사용하는데 이것도 하나 정도만 사용하세요
툴바에도 악성코드체크 등 여러가지 기능이 들어 가 있기 때문에
검색기능만 있는 것을 사용하는 것이 좋겠다 싶어요..


사용자 삽입 이미지
            레지스트리 정리 프로그램은 클릭투트윅이 좋을 것 같습니다

신고
 


XP 도스에서여 V3Neo를 실행하면 기억장소부족이랍니다..

예전 98이나 거기선 config.sys, autobat.exe 가서emm386 등등
add했는데
XP는 억케하나여.. 방법좀 알켜주세여....


요즘은 ntfs 파티션을 사용해서 하드디스크를 사용하기 때문에
A: 로 부팅하면 ntfs디스크를 인식을 못합니다.

그러므로 xp에서 v3neo를 정상적으로 돌리려면 V3.EXE, V3WARPN.V3D, V3WARPD.V3D, V3WARPA.V3D, CWSDPMI.EXE, V3NEO32.V3D 파일이 필요합니다.

파일들이 모두 있다면
자기의 컴퓨터에 문제가 있는 경우입니다.

현재 사용하거나 사용중인 프로그램을 모두 닫은 후에 사용해보세요.
만약 자동실행중인 프로그램이 많다면 그것도 문제가 될 겁니다.

v3neo는 메인메모리를 영역을 사용합니다.
그러므로 메인메모리 부분에 다른 프로그램이 사용 중이거나
윈도우 부팅되면서 자동실행되는 프로그램...
즉 방화벽이나 키보드관련 유틸리티, 기타 등등이 많을 경우
메모리가 부족하다고 나올 겁니다.

안전모드로 부팅시켜서 한번 실행을 해보는 것이 좋겠습니다.

사용자 삽입 이미지

기본적으로 바이러스나 악성코드를 검사할 때 주의사항으로는
검사는 파일을 검사를 하는 것이므로
현재 사용 중이면 검사가 안됩니다.

그러므로 사용중이거나 작업관리자/프로세스에 올라간 프로세스들은 중지를
시키고 해야 합니다. 기본적으로 사용하는 프로세스는 중지시키면
안되는 것 아시죠...

또 하나는 파일검사를 적게 만들고 검사하는 것이 좋겠죠..
시간이 짧게 걸릴 테니까요..
임시파일들.. 현재 사용하지 않는 프로그램들... 이런 파일들을
미리 삭제한 후 검사를 해야 빠릅니다.

요즘은 워낙에 디스크 용량이 커서 바이러스 검사 한번 제대로 하려면
몇시간 씩 걸리기 때문에 시나리오를 잘 짠 후에 검사를 시작하는것이 좋겠죠..


 

신고

질문

안녕하세요. 간만에 질문을 드립니다.
컴퓨터에 spyAxe라는 프로그램이 저절로 인스톨되어있는데요.
그거가 지워도 컴재시작하면 자동으로 또 생기고 그래요. 바이러스 스캔도 이미다 했고요,
ad-aware프로그램을 이용해서 malware 레지스트리도 제거했습니다.
또한 msconfig에서 spyaxe실행안하게하고 regedit가서도 machinesoftwaremicrosoftwindows un에 레지스트리값도 지워보고요.
인터넷에 뒤져서 해볼만한건 해봤습니다.

그리고 오른쪽 아래 시간옆에
You Computer is infected!
Windows has detected spyware infection

it is recommended to use special antispyware tools
to precent data loss.
Windows will now download and install the most
up-to-date antispyware for you.

Click here to protect your computer from psyware

이렇게 메세지가 계속뜨네요... 윈도 업데이트해도 똑같습니다.
결국은 제가 찾은것이 외국싸이트에 smitRem.exe 이라는 툴을 받아서
제거하면 없어졌다고 누가 그랬는데요.
제 컴퓨터가 아니라서 아직 안해봤습니다.

근데 제가 물어보고싶은것은
이런 악성프로그램들이 레지스트에서 어디에 숨어있길래...
지우고 spyaxe에 관한 레지스트리를 지워도 그럴까요..

이름을 다른이름으로 바꾸고 인스톨시키게 숨어있나보죠?
저 smitRem.exe라는 툴 쓰면 없어질듯한데요.
저는 그거보다 manual로 어디경로를 차단해봐야하는지..
자세히 알았음 해서 멜드립니다.

만약 spyaxe프로그램말고
다른악성프로그램이 저것과 같은 증세일경우 remove tool만 기다릴순 없잖아요.

이런 악성코드프로그램을 치료를위한 확인해야할 레지스트리경로를 좀 자세히 알켜주세요.
참고로 외국싸이트 http://www.bleepingcomputer.com/forums/topic36868.html 여기주소고요
. smitRem.exe툴 입니다.
이툴은 또 억케 만들어졌는지 궁금하군요..

너무 길어진것 같습니다. 죄송합니다. 읽어주셔서 감사드리고요.

요즘 또 책 준비하신다고 하신거같은데. 좋은책 부탁드리고요. 좋은하루되세요. 안녕히계세요.


분석


사이트를 방문해서 프로그램을 보았습니다.

Print out these instructions as we will need to shutdown every window that is open later in the fix.
Download smitRem.exe and save the file to your desktop.

Double click on smitRem.exe and then click on Start. When it is done, click on the OK button.
You should now have a folder called smitRem on your desktop.

Next, please reboot your computer in SafeMode by doing the following:

Restart your computer

After hearing your computer beep once during startup, but before the Windows icon appears, press F8.
Instead of Windows loading as normal, a menu should appear
Select the first option, to run Windows in Safe Mode.
When your computer has started in safe mode and you see the desktop, close all open Windows.
Open the smitRem folder on your desktop and double click the RunThis.bat file to start the tool.
Follow the prompts on screen and wait for the tool to complete and disk cleanup to finish.

When the tool is finished, it will will create a log named smitfiles.txt in the root of your drive, eg; Local Disk C: or the partition
where your operating system is installed. Examining that log should show that the infection was cleaned.
Reboot your computer back to normal mode.


내용을 보니까 설치하는 방법과 실행하는 방법을 알려주더군요.

처음에 사이트를 방문해서는 별로 신뢰가 가지 않는 사이트였는데
설명을 읽어보니까 프로그램의 설명을 제대로 해놓아서 안심이 되더군요..

부팅때 애드웨어가 걸렸다고 사인이 나오는 것은
Runthis.bat 파일 때문일 겁니다.

부팅되면서 자동으로 실행이 되도록 .bat파일로 작성이 되어서
영문 사인이 나오는 겁니다.

이것을 삭제 하려면 c: 폴더에 있습니다.
시작 - 시작프로그램에 있는 Runthis.bat 파일을 삭제를 하세요.

아니면 레지스트리 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun에서

RunThis.bat를 찾아서 삭제를 하면 됩니다.


신고

사용자 삽입 이미지

  V3 검사/치료
바이러스, 웜, 해킹은 물론 스파이웨어까지 인터넷을 통해 유입되는 각종 악성코드에 대해 검사,
치료하여 다양한 보안 위협으로부터 사용자의 시스템을 안전하게 보호합니다.

  튜닝
쿠기, 임시 인터넷 파일, 열어본 페이지 목록 등 인터넷 사용 시 생성된 각종 파일을 깨끗하게 청소할 수 있으며,
메모리 최적화, 인터넷 최적화 기능을 통하여 항상 최적의 시스템 상태를 유지할 수 있으므로 보다
쾌적한 시스템 상태를 유지할 수 있습니다.
 
 네트워크 방화벽
네트워크로 유, 출입되는 사용자 시스템의 모든 트래픽 현황을 한눈에 볼 수 있어
웜 등 비정상적인 트래픽을 유발하는 악성코드의 접근 상태를 확인하여 신속하게 차단하므로
악성코드로부터 시스템을 안전하게 보호할 수 있습니다.

감염자 자동 추적 및 차단
악성코드가 네트워크를 통해 사용자의 시스템에 침입한 경우,
치료와 동시에 감염자 IP를 추적하여 자동으로 차단하므로 사용자가 인지하지 못할 경우라도
보안위협에 대한 신속한 대처가 가능합니다.

 그레이웨어 검색, 차단
PC에 설치된 프로그램을 검색하여, 불필요하고, 원치않는 프로그램을 삭제, 차단하도록 도와줍니다.
또, 실시간 감시 및 차단 기능을 통해 PC에 불필요한 프로그램이 설치되는 것을 방지합니다.

 파워V3 실시간 자동 검사, 차단
매번 검사하고 치료하는 번거로움 없이, 파워V3 실시간 자동 검사 및 차단 기능이 더욱 안전하고 강력한
PC 보안 환경을 만들어 드립니다.
외부 장치로부터 파일을 복사할 때나 감염된 파일을 클릭할 때에도
자동으로 바이러스와 스파이웨어의 감염 여부를 검사하고 차단/치료합니다.

 최신 엔진 자동 업데이트
최신 바이러스, 스파이웨어 치료를 위한 엔진을 4시간 간격으로 자동으로 업데이트하므로,
빛자루 사이트 방문을 하거나 특별한 설정을 할 필요가 없으므로 편리하게
항상 최상의 보안상태를 유지할 수 있습니다.

제대로 사용하기 

악성코드는 실시간만 ON 해놓으시면 2~3일에 한번씩 하시면됩니다.
PC튜닝은 일주일에 1~2번이면 충분합니다.
그레이웨어는 프로그램 설치나, 엑티브를 많이 사용하였을때 가끔식 확인만 하시면되요

자동검사, 차단을 사용하면 프로그램의 실행속도가 느려질 수 있습니다. 평상시에는 꺼두셨다가..
컴퓨터가 이상하다고 생각이 되면 사용하는 것이 좋겠습니다.

자동업데이트는 일주일에 한번정도 많이 사용한다면 2-3일에 한번씩 체크를 해보는 것이 좋겠네요


아무리 좋은 프로그램이 있더라도
사용자가 보안에 대한 심각성을 깨우치는 것이 중요하고,
스스로 체크하는 습관을 가지는 것이 제일 중요합니다.
습관이 되면, 보안에 대해서 걱정을 덜어도 될 겁니다.

신고
Tag : 빛자루

해킹을 방지 하는 방화벽이란 것이 있다는데
 

우리 학원 홈을 만들어 놓고 글들을 올리고 있는데요.
숙제는 직접 컴샘님 메일로 올리고요.
그런데,언제부턴가 컴선생님께서 제가 다니는 곳(인터넷사이트)을
잘 알고 있더라구요.

내 컴을 들여다 보는 것 같아 무척 기분이 이상합니다.
해킹을 방지 하는 방화벽이란 것이 있다는데 그것을 설치하면
해킹을 방지 할 수 있는지요.
또, 방화벽은 어떻게 설치하는 것인지 알고 싶습니다.
항상 감사드리며, 좋은 하루 돼세요.


방화벽은 해킹방지를 하기 위해서
기업체에서 많이 사용하다가 몇년 전부터 개인 인터넷 사용자도
해킹의 위험에 노출되어 있어서 개인용 방화벽 프로그램을 많이 사용하게
되었습니다.

프로그램을 보면
백신체크 프로그램(안철수연구소, 노턴안티, 등등)
악성코드체크 프로그램
금융기관접속시 사용하는 키보드 보안프로그램(nprotect 잉카인터넷)
등이 방화벽 역할을 하는 프로그램들입니다.

해킹 당하는 느낌이 들때 간단하게 체크하는 방법이 있습니다.

도스창(cmd.exe)를 열고
netstat -an 엔터를 쳐서 확인할 수 있습니다.

사용자 삽입 이미지

netstat 명령어는
 현재 시스템과 네트워크로 연결이 이루어진 상태를 보여주는 명령어로

State가
LISTENING 포트가 열려가 누군가가 접속하기를 기다리는 중입니다
ESTABLISHED는 연결되어있는 상태를 말하며
CLOSED는 이미 연결이 끊어졌음을 말한다.
LISTENING은 현재 시스템에서 열려있는 포트를 말한다


예를 가정한다면

0.0.0.0:445 0.0.0.0:0 LISTENING
445 번 포트(0.0.0.0:445)가 현재 열려(LISTENING)있음을 알 수 있고,
. . .
. . .
150.2.50.14:445 68.235.32.153:4461 ESTABLISHED
내 445번 포트로(150.2.50.14:445) 68.235.32.153 이라는 놈이 접속(ESTABLISHED)했다는 것입니다.

개인사용자는 인터넷사이트 방문시 사이트주소(IP)가 ESTABLISH가 될겁니다.
IP주소를 확인을 해보려면
주소창에 IP주소를 넣고 엔터를 쳐보면 어느 사이트로 떨어지는지
확인이 됩니다.

개인이 해킹당할 확률은 극히 작고
당하는 경우는
이름 모를 특정사이트에 접속되어서 백도어 프로그램이 몰래 심은다음에
해킹 당하는 것이 대부분입니다.
개인은 주로 인터넷 서비스업체로 부터 ip를 할당받는 방식이기
때문에 고정ip가 없어서 해킹하기가 어렵습니다.

결국 백도어라는 프로그램을 자동실행 시키게끔 해놓고
정보를 빼갈수 있으니까
웹서핑을 할 때는 이상한 사이트는 클릭하지 마세요.


 

신고
Tag : 백도어, 해킹
program files 아래 uninstall information이라는 폴더가 있는데 이 폴더의 하는 일은 무엇입니까?
 

안녕하세요,수고하십니다,
C: 드라이브 program files 아래 uninstall information이라는
폴더가 있는데 이 폴더의 하는 일은 무엇입니까?
삭제해도 되는지 궁금합니다.

사용자 삽입 이미지

그 폴더는 익스플로러의 uninstall정보가 들어가 있는 폴더입니다.
과거 98이나 me의 익스플로러 4.0이 설치된 정보가 저장된 폴더 였습니다.
상위 버전에서는 상관이 없지만..
98을 사용하면 그냥 두시는것이 좋습니다.

98에서는 MS사의 응용프로그램들이 Uninstall 정보를 넣어두는 것으로
사용하다가 2000부터는 사용을 하지 않게 되었습니다.

신고

티스토리 툴바