728x90
반응형

악성코드/Inside AV 11

백신 업체들 노트

백신 업체들에서 노트가 나온게 있어 한번 찍어봤습니다. 안랩 노트입니다.오른쪽이 2002년 (당시 안철수연구소)이고 왼쪽이 최근인데 언제인지 기억 안납니다. (2009년-2011년 일 듯) 안랩 로고에 Ahnlab.com이 들어갔었죠.당시 닷컴 기업 열기 때문일 겁니다. 요즘은 닷컴 사용 잘 안하죠. 체코 Avast 노트입니다.버전 6.0이면 2011년 쯤 받은게 아닐까 추정합니다. 속지에 제일 깔끔하네요. Microsoft와 노르웨이 Norman입니다.노르웨이어로 보이는데 읽을 수 없어 정확한 의미는 모르겠네요.

존 맥아피(John McAfee) 끝나지 않는 보안 이야기

존 맥아피(John McAfee)는 맥아피 연합을 설립하고 상당히 잘나가는 보안 업체로 성장 시킨 후 회사를 팔고 업계에서도 사라졌죠. 하지만, 남미의 한 나라인 벨리즈(Belize)에서 마약 연류 사건과 살인 혐의로 뉴스에 계속 언급되고 있습니다. 그런데, 태생이 IT라서 그런지 관련된 내용이 계속 나오고 있습니다. 첫째, 사진 속 위치 정보를 통해 위치가 들어납니다. - Fugitive John McAfee's location revealed by photo meta-data screw-up (Sophos) http://nakedsecurity.sophos.com/2012/12/03/john-mcafee-location-exif/ 요즘 사진 이미지에는 장소 정보가 포함되는 경우가 많은데 재미있네요. ..

정보보호 전문가를 꿈꾼다면...

디지털타임스에 실린 '정보보호 전문가를 꿈꾼다면' 입니다. http://www.dt.co.kr/contents.htm?article_no=2012032002012269785002 좋은 얘기입니다. 그런데.. 한가지 문제가 있습니다. 바로.. 다음 부분입니다. '특히 관심이 있었던 바이러스 관련된 분야는 많은 자료를 찾아보고, 직접 제작해보곤 했다.' 다른 보안업체의 경우는 어떨지 몰라도 적어도(!) 백신 회사의 경우는 윤리적 문제로 바이러스 제작자를 채용하지 않습니다. 따라서, 정보보호 전문가를 꿈꾼다면 바이러스 제작 경험은 마이너스라고 생각합니다. 물론 요즘은 많이 완화되어 자기 전파 기능이 없는 백도어, 키로거 등의 트로이목마는 문제가 적을 수 있지만 자기 전파 기능이 있는 웜, 바이러스 제작 경험은..

다른 업체도 모든 샘플을 처리하지는 못하는군

- 파일 이름 : svsupdates.exe - 파일길이 : 75,736 - MD5 : 19482fa125f3364078c34331365798a0 팩은 처음 보는건데 OllyDbg 와 프로세스 뷰어를 강제 종료해서 압축을 풀어보니 전형적인 악성 IRCBot 이더군요. 바이러스 토털 검사 결과를 보니 아무도 진단 안하네요. 어.. 27일에 최초 검사된 샘플이군요. 안랩은 한국시간으로 2007년 12월 27일 오후 3시 58분에 국내 고객으로 부터 접수 받았습니다. 제가 샘플을 본게 28일 저녁이고 다시 검사해보니 현재까지도 어떤 업체도 진단하지 않네요. (한국 시간으로는 밤 늦게 검사했지만 이곳 시간으로는 오후 1시 10분이군요) 잘 작동하는 샘플인데 하루가 지나도 어떤 업체도 진단 못하는 샘플. 아쉽게도..

기사 - Dr. Web CEO 와 개발자 인터뷰

http://www.boannews.com/media/view.asp?idx=8273&kind=0 이번 AVAR 2007 Seoul에 CEO 와 개발자가 왔다. - Dr. Web 이 아닌 뉴테크웨이브 소속으로 참석했다. 인터뷰 기사를 보면 러시아 (넓게 동부유럽)쪽에서 왜 안티 바이러스가 강세인지 비슷한 생각을 하는 것으로 보인다. 교육 인프라, 수학 등.... 그리고 한국은 외부와 단절되어 자국민으로만 제품을 개발하고 있는 한계점(?)도 있지 않을까 ? 유럽, 미국 업체들은 세계 각지의 개발자들이 옮기면서 다른 기술도 수용하는 편이다.

VirusBulletin 에 소개된 안티바이러스 사람들

- Costin Rair - Virus Bulletin 1999.12 p.14 - 15 루마니아 태생. BadSectors.3428 바이러스에 감염되면서 바이러스를 분석해 치료하는 프로그램 개발 MSCAN (Main Scan)을 제작해 루마니아 BBS를 통해 배포하고 이후 GeCAD와 함께 상업용 프로그램인 Romanian AntiVirus (RAV) 제작. 이후 회사는 RAV를 마이크로소프트사에 팔고 Costin 은 Kaspersky 로 옮겨 현재 Kaspersky 연구소 루마니아 연구소장을 하고 있음. 불행히(?) 나와는 동갑이며 사교성이 많은 편으로 보여 여러 사람들과 잘 어울림. 개인적으로 친분이 있음. 루마니아 가면 잘해줄거라 생각됨 ~ - Eddy Willems - Virus Bulletin ..

McAfee 의 Univ.GR 진단명은 ?

McAfee 진단명을 보면 예전 도스 바이러스 진단명 중 Univ 가 자주 눈에 띈다. 특정 바이러스에 대한게 아니라 궁금했는데 Univ 는 바로 Universal Generics 이다. 예전 도스 바이러스 시절에 PS-MPC, VCL 등 바이러스 생성 도구로 만들어진 프로그램을 위해 사용되었다고 한다. 1999년 11월까지 McAfee 는 10 개의 Universal Generics 가 있었다는 사실 ~ 이걸로 McAfee 는 시그니처 수를 줄였다. 하지만, 요즘같은 시대에는 쉽지 많은 않은 일이다.

백신별 엔진 + 시그니처 크기

제가 가지고 있는 백신의 엔진(주로 DLL)과 시그니처 파일의 크기입니다. 부가적인 프로그램은 빠진 순수 엔진과 시그니처 길이 입니다. 압축 후에도 길이 비교해서 큰 변화없는건 이미 압축되어 있다는 얘기겠죠. Fortinet : 44 MB -> 44 MB (압축 추정) Trend : 35.2 MB -> 22.2 MB (미압축. 34.1 MB 시그니처 파일만 압축할 때 21.6 MB 로 줄어듬) Rising : 28.1 MB -> 24.2 MB (압축 추정. DLL 파일이 30개로 많음) V3 : 26.1 MB -> 14.4 MB Microsoft : 20 MB --> 18.6 MB (압축 추정) AntiVir : 18.3 MB --> 16 MB (압축 추정) F-PROT : 17.9 MB -> 8.6 M..

사라진 AntiVirus 제품들

1980년대 후반 부터 시작된 안티 바이러스 제품들 많이 등장 했지만 또 많이 사라졌다. 이에 과거 제품을 한번 정리해 보았다. - Carmel Turbo AntiVirus(이스라엘) : CPAV의 모체가 된 제품으로 시장에서 철수 (1998년 말) - Central Point CPAV (미국) : 시만텍에 인수됨 (1994년) - Cheyenne Inoculan (미국): CA 에 인수됨. - Cybec Vet (오스트레일리아) : CA 에 인수됨 (1991년 1월) - Dr Solomon's AVTK (영국): McAfee 에 인수됨 (1998년 6월) - EliaShim/eSafe (이스라엘) : Aladdin Knowledge Systems (AKS)에 인수 (1998년 12월) - ESaSS T..

VForum 에 대해서

VForum VForum은 안티 바이러스 연구원들이 서로 정보를 논의하는 곳이다. 메일링 리스트 서버는 현재는 플로리다에 있지만 예전에는 AV-TEST 가 있는 독일 함부르크(Hamburg)에 있었다. 1990년대 중반까지는 주로 기술적 논의(Technical discussion)가 있었다고 한다. 직접 디스어셈블된 내용이 오고가면서 분석 내용을 공유했다고 한다. 1990년 말 Vforum의 멤버가 변경되면서 기술적인 논의는 줄어들었다. 2005년 EICAR 2005 컨퍼런스에서 사이트를 함부르크 대학에서 플로리다(Florida)로 옮겼다고 한다. 또한 안티 바이러스 전문가 뿐 아니라 IT 보안쪽으로도 멤버를 확대했다. 메일링 리스트 가입은 추천 후 투표를 통해 결정된다. 따라서, 가입을 위해서는 가입된..

728x90
반응형