쿨캣의 블로그 놀이

독일 백신 회사인 아비라(Avira)의 뉴스레터를 읽다가 흥미로운 부분이 있네요. 제품에 대한 언급에서 현재 6개 언어를 제공중인데 내년에 몇가지 언어가 더 추가되는데 그중에 한국어가 있습니다. (German, English, Russian, Spanish, Portuguese, Italian, French, Japanese, Korean, Chinese) 뉴스레터 역시 곧 일본어, 러시아어, 포르투갈어, 중국어, 한국어도 나온다고 하네요. (기존 독일어, 영어, 프랑스어, 스페인어, 이탈리어) 작년에 컨퍼런스에서 아비라 사장을 만났을 때만 해도 국내 진출 계획이 없다고 했었습니다. 올해 체코의 백신인 AVGTech의 AVG 가 국내 시장에 노크한 것 처럼 처럼 슬슬 유럽에서 벗어나 아시아쪽으로 눈을 돌..

이번에 안랩이 미국 사이버소프트와 제휴를 맺었습니다. - 안랩, 미 보안업체와 제휴 특수 공공시장 진출 http://xcoolcat7.tistory.com/617 - 미국에서 어메이징 한국 칭찬을 받아보니 (김홍선의 IT와 세상, 2009년 11월 15일) http://ceo.ahnlab.com/78 사이버소프트 (CyberSoft)는 1988년에 만들어진 보안회사로 VFind, waVe AntiVirus 등으로 알려져있습니다. 사실 저도 예전부터 회사 이름과 제품은 들어봤지만 사용해본 적은 없습니다. 유닉스 제품이 대부분이라 테스트하기도 힘들었구요. 이번에 안랩과 제휴하면서 다시 한번 관심을 가지고 홈페이지를 방문해 보니 윈도우 제품이 있네요. http://www.waveantivirus.com/tri..

윈도우 XP 를 처음 설치하면 방화벽은 켜져있고 바이러스 백신은 없습니다. 윈도우에 방화벽이 기본적으로 추가되자 악성코드 제작자들이 이 성가신(?) 방화벽을 무력화하고 싶어 집니다. 윈도우 방화벽은 아주 쉽게 무력화됩니다. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile 에 관련 키가 있습니다. 기본적인 윈도우에서는 아무것도 없죠. 방화벽을 한번 꺼보겠습니다. EnableFirewall이 생성되고 값이 0입니다. 악성코드 제작자들은 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\Fire..

[기사] - 알약, 안연과 기업용 보안시장 '맞짱' (머니투데이, 2009년 10월 20일) http://www.mt.co.kr/view/mtview.php?type=1&no=2009102014204363033&outlink=1 - 알약이 ‘트리플 엔진’을 채택한 이유?! (보안뉴스, 2009년 10월 20일) http://www.boannews.com/media/view.asp?idx=18243&kind=5 알약 2.0이 발표되었는데 3중 엔진을 탑재한 것으로 발표되었습니다. - 테라엔진 (기존 PC지기 엔진으로 보임) - 루마니아 비트디펜더 - 영국 소포스 필란드 F-시큐어(F-Secure)가 다양한 엔진을 탑재했었는데 알약도 그렇게 되는게 아닐까하는 생각을 해봅니다. 다만, 3중 엔진이면 그만큼 진..

- 군(軍) 인터넷망 24시간(3월 5~6일) 북(北)해커부대에 뚫렸다 (조선일보, 2009년 10월 17일) http://news.chosun.com/site/data/html_dir/2009/10/17/2009101700103.html - 군 인터넷망 해킹 당했다 (디지털타임즈, 2009년 10월 18일) http://www.dt.co.kr/contents.html?article_no=2009101902010351739002 - 군 PC 해킹 무방비 신종 바이러스 즉각적 차단 어려원 (쿠키뉴스, 2009년 10월 18일) http://news.kukinews.com/article/view.asp?page=1&gCode=pol&arcid=0921456301&code=11121400 그런데... 총리실은..

[기사] - 개인 보안솔루션시장，쟁쟁한 외국산 각축장 http://www.fnnews.com/view?ra=Sent0901m_View&corp=fnnews&arcid=0921794061&cDateYear=2009&cDateMonth=10&cDateDay=18 2009년 백신 시장의 새로운 흐름은 국내 진출 외산 업체의 개인 시장 저가 공세가 아닐까 싶다. 시만텍은 1만 5천원 - 2만 5천원에 제품을 내놓았다. 이미 무료 제품이 개인시장을 석권했는데 기존 외산 업체들이 전략을 수정해 대체로 저가로 국내 시장에 재진입하고 있는데 왜일까 ? 알약이 무료 백신을 통해 인지도를 올렸기 때문이 아닐까 싶은 생각도 든다. 향후 이런 저가 제품이 개인시장에서 무료 백신을 뛰어 넘을 수 있을지 지켜봐야 할 것이다.

악성코드를 분석하기 위해서는 수상한 파일부터 찾아야합니다. 일단 증상을 듣고 예상을 해야하죠. 후배에게 연락와서 웹브라우저가 안된다고 하더군요. 웹브라우저가 안되면 대부분 1. 액티브 X 컨트롤 충돌 2. BHO(Browser Helper Object) 문제 입니다. 안리포트를 통해 내용을 확인하니 프로세스 등에서는 수상한 파일이 없었고 결국 BHO 를 확인했습니다. 파일 중에 C:\Windows\system32\dllcache 에 존재하는 파일이 있더군요. 정상적인 파일이 dllcache 에 존재하는건 좀 드물죠. 해당 파일을 삭제하니 웹브라우저가 제대로 된다고 합니다. 해당 프로그램의 버그로 보이네요.

제가 활동하는 카페에 들렸다가 삼성 임직원 아웃백 할인쿠폼(50%) 생성기란 프로그램을 접했습니다. 제작 날짜는 2007년 12월로 되어 있어 2년 전쯤에 작성된 프로그램이네요. 사람들 댓글을 보고.. 기대 없이 실행했습니다. 역시 결과는.... 퀵하게 봤는데.. 악성코드는 아닌 듯 합니다. 프로그램보면 2007년 12월 14일(금) 오후 2시 쯤에 만들었네요. 제작자가 직장인 이라면 점심 먹고... 문듯 아이디어가 생각나서 만들어본게 아닐까 생각합니다.

악성코드 샘플을 보다보면 다양한 나라에서 제작된 것을 알 수 있습니다. - 물론 국가를 유추할 수 있는 경우에만 그렇지만요. 과연 이 샘플이 해당 국가를 벗어날까하는 경우도 있습니다. 보통 국내 분석가들이 접하는 샘플들은 대체로 중국, 미국, 유럽산 샘플이 많을 겁니다. 간혹 생소한 나라들 샘플이 있습니다. 그때는 웬지 모르게 국가 정보를 검색해 보게 되더군요. 이번에 본 샘플은 전형적인 VB 스크립트 웜입니다. USB 메모리 드라이브에 autorun.inf 파일을 생성하구요. 샘플을 보다가 lk 라는 국가 코드를 보고.... 처음보는 나라가 이 악성코드에 감염되면 변경되는 홈페이지인 http://www.rjt.ac.lk/aps에 접속해보니 스리랑카에 있는 대학이네요. 스리랑카라... 들어는 본적이 있는..

1997년 8월에 안랩에 입사했을 때 바이러스 분석은 모두 종이에 프린트해서 일일히 손으로 종이에 적어 나가는 형태로 했습니다. 참... 이때는 안철수연구소로 바뀌기 전인 2000년 이전이라 회사이름은 띄어쓰기도 안한 '안철수컴퓨터바이러스연구소'(아.. 길다)입니다. 예전 자료를 정리하다가 입사하고 얼마되지 않아 분석한 것으로 보이는 종이를 찾았습니다. 지금은 ?! 이렇게 일일히 종이에 프린트 했다가는 종이 낭비 엄청납니다. 악성코드 크기가 엄청 커졌으니까요. 이때가 그립네요. 지금도 예전 분석자료는 몇몇 분석가만 접근할 수 있는 분석실에 보관되어 있습니다

AutoIt은 자동 명령을 수행해주는 프로그램으로 자동 수행할 내용을 EXE로 변환할 수 있습니다. http://www.autoitscript.com/autoit3/ 악성코드 제작자들이 AutoIt을 이용해 악성코드를 제작하고 있고 백신 업체에서 AutoIt 으로 작성된 악성코드를 진단하고 있습니다. 오늘 샘플을 보다가 다음과 같은 문구가 있네요. 'This is a compiled AutoIt script. AV researchers please email avsupport@autoitscript.com for support.' (컴파일된 AutoIt 스크립트 입니다. AV 연구가들은 avsupport@autoitscript.com으로 연락주세요.) 아마 백신에서 AutoIt으로 작성된 파일을 오진하는..

2007년에 발견된 바이러스 샘플이지만 확인이 필요해서 타사 진단명을 보다가 Xema가 보이네요. V3 진단명을 유심히 본 사람들이라면 V3에 유독(?) Xema가 많은걸 알 수 있습니다. Xema(안랩에서는 제마라고 읽습니다.) 의 비밀을 살짝 얘기하자면... 안랩 분석가가 마땅히 지을 이름이 없을 때 붙이기 위해 만든 진단명입니다. - 참고로 Xema는 순우리말을 변형한 겁니다. Win-Trojan/Xema.variant (이건 다수의 변형을 1개의 진단명으로 사용해서 증상이 제각각입니다.) Win-Trojan/Xema 등은 모두 지을 이름이 마땅하지 않아 지은거죠. 이 악성코드 제일 첫 이름이 V3에서 Win-Trojan/Xema였을 겁니다. 안랩에서 이후 추가 분석하다가 바이러스임이 밝혀졌고 진단..

악성코드를 분석할 때 증상위주로 파악하기 위해서 자동분석을 많이 사용합니다. 이때 문제가 발생하는건 크게 다음과 같습니다. 1. 자동분석 탐지 (가상환경, 모니터링 도구 등의 유무) 2. 인자 값 필요 3. 특정 환경 필요 (설치된 다른 프로그램 등) 4. 기타 (더 있을텐데 생각이 안나서..) 2,3번의 경우도 많은데 자동분석 시스템에서는 지극히 평범하고 정상적인 프로그램처럼 나옵니다. 하지만, 코드를 분석하면 원인을 알 수 있습니다. Ollydbg로 열어보면 실제 코드가 0x00401000 에서 시작하는 전형적인 비주얼 C 로 작성된 코드임을 알 수 있습니다. 0x00401000에 브레이크포인트(F9)를 걸고 달립니다. 0x00401045 에서 레지스트리를 읽어서 특정 값인지 비교합니다. 악성코드가 ..

포티넷(Fortinet)에서 자사의 보안 프로그램을 무상 제공하고 있다. [기사] - 포티넷 코리아, 포티클라이언트 4.1 버전 무상 제공 http://newswire.ytn.co.kr/newsRead.php?md=A01&tm=1&no=428108 한글도 지원된다. http://www.forticlient.com/download.html 에서 다운로드 할 수 있다.

- 그날이 온다? 특정일 활동 악성코드 http://kr.ahnlab.com/info/securityinfo/secuinfo/newSecuNewsView.ahn?category=001&mid_cate=001&cPage=1&seq=15002 ---- 원래 8월에 완료하는게 계획이었는데... 여름이라 그런지 통 글도 잘 안써지고 쓸 내용도 잘 안떠올라 지난 주에 종료했더니 달랑 2페이지의 짧은 글이 되었습니다. - 글이 짧으면 올리는 분들은 좋아하십니다만... 주변에 컴퓨터에 대해 잘 모르는 분들이 특정일에 활동하는 악성코드에 대해 오해하는 부분이 많아 글을 써봤습니다. 그리고, 예전에는 쉽게 볼 수 있던 바이러스 달력 관련 자료 찾기도 참 힘들더군요. 인터넷 검색해서 기사 내용 하나 겨우 찾았습니다. - ..

스페인 판다시큐리티에서 지난 20년간 가장 위험한 컴퓨터 위협을 발표했습니다. - Ranking of the most dangerous computer threats of the last 20 years http://www.pandasecurity.com/emailhtml/oxygen/090509_ENG_in.htm 1위는 예루살렘 바이러스(Jerusalem virus)인데 보통 1987년 이스라엘에서 제작되었다고 얘기되고 있지만 이탈리아에서 제작되었다는 설도 있습니다 2위의 Barrotes 바이러스는 국내에서도 발견되었지만 아무래도 스페인 회사다보니 스페인에서 제작되고 세계로 퍼저나간 바이러스를 선정한게 아닐가 합니다. 자료 중 잘못된게 있네요. Cascade 바이러스는 1997년이 아니라 1987년에..

- 백신 안깔면 접속 차단 법제화되나 (미디오 오늘, 2009년 9월 4일) http://www.mediatoday.co.kr/news/articleView.html?idxno=82663 - 방통위, 악성프로그램 확산방지법 제정작업 착수 (디지털타임스, 2009년 9월 3일) http://www.dt.co.kr/contents.html?article_no=2009090402010431693003 9월 7일 방통위.인터넷진흥원, 악성프로그램 확산방지법률안 토론회가 서울 명동에서 열립니다. 토론회 참석 요청을 받았는데 당일 대응업무라 전 참석하기 힘들겠네요. - 무슨 얘기가 오고가는지 궁금하긴 하지만... * 법률 주요 내용 - 이용자 컴퓨터의 보안프로그램 설치 및 업데이트 - 침해사고 발생 시 감염 컴퓨터..