2010. 3. 31. 14:03

시만텍(www.symantec.co.kr) 지난해 만우절을 겨냥했던 변종 컨피커(또는 다운애드업 공격으로 현재 전세계  650만대의 컴퓨터가 컨피커 웜에 감염되어 있으며아직까지도 새로운 변종이 지속적으로 등장하고 있어 사용자들의 각별한 주의가 요구된다고 밝혔다

 

역대 최악의  바이러스  하나로 꼽히는 컨피커 웜은 일단 감염되면 컴퓨터가 실행될  윈도우 자동 업데이트윈도우 보안 센터윈도우 디펜더윈도우 오류 보고와 같은 시스템 서비스를 비활성화시킨다이후 서버에 연결해 추가로 전파할 명령을 받고개인 정보를 전송하고컴퓨터에 악성코드를 설치한다

 

이렇게 악성코드에 감염된 숙주 컴퓨터는 봇넷(좀비PC)으로 변해 원격 서버의 명령에 따라 사용자 몰래 스팸 메일이나 악성 프로그램을 발송하는데 악용된다특히 불법 복제 시스템의 경우 대개 마이크로소프트 업데이트  패치를 받을  없으므로 마이크로소프트 윈도 정품을 설치하지 않은 사용자가 가장 위험하다자신의 컴퓨터 속도가 현저히 저하되거나 주요 보안 관련 사이트에 접속이 되지 않는다면  악성코드의 감염을 의심해   있다.

 

시만텍은 현재 전세계적으로  650만대의 컴퓨터가 컨피커 웜에 감염되어 있으며컨피커 웜의 배후 범죄세력이 여전히 감염된 컴퓨터에 대한 키를 보유하고 있기 때문에이를 DDoS 같은 사이버 공격에 동원할 경우 피해가 걷잡을  없이 커질  있다고 경고하고 있다

 

실제 가장 규모가  봇넷  하나인 마리포사 봇넷(Mariposa Botnet) 활동기간 동안 1,100만여 대의 컴퓨터를 감염시켰으며포춘지가 선정한 세계 천대기업을 포함한 전세계 기업을 대상으로 감염된 시스템으로부터 기업 정보 개인 정보 유출하거나온라인 뱅킹 정보를 도용하는 공격을 감행하기도 했다또한 모든 스팸의 32.8% 발송하는 것으로  알려진 러스톡 봇넷(Rustock Botnet) 160~240 대의 컴퓨터에 잠복하고 있는 것으로 추산된다 같은 사례에 비추어   컨피커 웜에 감염된  650만대의 컴퓨터들은 언제 터질  모르는 시한폭탄과 같다는  시만텍의 지적이다.

 

현재까지 시만텍이 파악한 컨피커  관련 정보는 다음과 같다.

 

Ÿ    650만대의 시스템들이 여전이 컨피커.A 혹은 컨피커.B 변종 바이러스에 감염되어 있다.

Ÿ   P2P 방식으로 전파되는 컨피커.C 변종은 2009 4 150만대를 정점으로 현재 감염대수가 21~22만대 사이로 꾸준히 감소세에 있다.

Ÿ   2009 4 8일에 배포된  다른 변종인 컨피커.E 바이러스의 경우 2009 5 3 이후 감염된 시스템 상에서 자체적으로 삭제되었다.

Ÿ   현재까지는 컨피커 웜에 감염된 시스템들이 어떠한 범죄활동에도 이용되고 있지 않지만, 650만대라는 엄청난숫자를 생각하면  결과는 여전히 위협적이다. 

 

시만텍코리아 윤광택 이사는 “최근의 공격은 수천 또는 수만 대의 시스템을 악성코드로 감염시켜원하는 공격을 수행하도록 정교하고 전문화된 형태로 발전하고 있으며특히 좀비PC 만드는 악성코드의 전파가 탐지되지 않도록 여러 우회기법을 사용하고 있다, “기존의 전통적인 악성코드 탐지 기술인 시그니쳐 방식뿐만 아니라이를 보완해주는 행위 기반  평판 기반 탐지기술과 같은 최신 솔루션을 도입해야 한다 강조했다

 

한편시만텍은 컨피커 웜으로부터 시스템을 안전하게 보호하기 위해 다음과 같은 사용자 지침을 발표했다

 

Ÿ   시스템에 최신 패치를 설치하여 최신 상태로 유지한다.

Ÿ   여러  사이트에서 팝업되는 "무료보안 검사를 이용하지 않는다.

Ÿ   메모리 스틱  기타 USB 장치에서 발견된 프로그램을 자동 실행하는 "자동 실행기능을 실행 중지해 둔다.

Ÿ   암호를  관리한다.(주기적인 암호 변경  복잡한 조합 사용 )

Ÿ   중요한 개인 정보를 포함하거나 은행 계좌 또는 신용 카드에 액세스하는 사이트마다 별도의  암호를 사용한다.

Ÿ   여러 보안 계층으로 구성된 우수한 보안소프트웨어 스위트 제품을 설치한다.


 

Posted by 푸른가을
2010. 2. 5. 11:00

조금 전 컴퓨터 부팅을 시키는데 갑자기 알림창이 하나 뜨더군요.
V3Lite를 사용 중인데, Smart Defense라는 기능이 생겼으니 사용하려면 약관에 동의하고 사용하라는 창이었습니다.
일단 무엇인지 궁금하여 약관은 확인하지도 않고(-_-) 일단 동의하고 실행했습니다.

Smart Defense란?

‘스마트 디펜스’는 클라우드 컴퓨팅 개념이 적용된 기술로 수많은 악성코드 데이터를 모두 PC에 다운로드해 처리하던 방식에서 진일보한 기술이다. 수천만 개의 유형별 파일 DNA(파일의 시그니처) 데이터베이스를 중앙 서버에서 관리하며, PC 내 파일이 악성코드인지를 실시간으로 확인해준다.

- 출처 : 안랩 홈페이지(http://www.ahnlab.com / 디지털데일리 기사 인용)

한마디로 Smart Defense는 악성코드로 의심되는 파일을 실시간으로 감시하면서 해당 파일을 보내면 분석후 업데이트에 적용하기 위한 방식인 듯 싶습니다.

그런데, Smart Defense가 제가 주로 사용하고 있는 브라우즈 크롬과 관련된 DLL 파일을 악성코드로 의심하고 있습니다. ^^


크롬의 실행 파일과 관련된 DLL 파일로 생각 됩니다. 그런데 안정성이 확인되지 않은 파일이라네요 ^^



이게 제가 사용하고 있는 크롬의 버전입니다. 
크롬 4.0대 버전은 아직 정식버전은 아니기 때문에 안정성 확인을 못해본 것일까요?
현재 크롬 사용자들 중에는 정식버전에서 지원하지 않는 확장 프로그램 때문에 베타 버전 사용자도 많은 것으로 알고 있는데 그렇다면 아직은 Smart Defense에서 확인 작업이 끝나지 않은 것 같습니다.

Smart Defense 기능이 앞으로 악성코드 분석이나 대응에 있어서 좋은 대안으로 커나갈 수 있기 위해서는 다양한 브라우저에 대한 기본적인 테스트가 먼저 선행되어야 하는 것이 아닌가 싶은 마음에 급하게 포스팅해봅니다. ^^

처음 Smart Defense를 켰을 때는 의심 파일이 두가지 였는지 지금은 하나로 바뀌었습니다. 그사이 무언가 업데이트가 있지는 않았을텐데 말입니다.


Smart Defense 끄기를 한 이후에 다시 켜고 싶으면 V3Lite의 환경설정에 들어가시면 새롭게 메뉴가 생겨있음을 알 수 있습니다. 


일단은 기본적으로 끄고 살아볼까요? 아니면 좀 귀찮아도 켜고 살아볼까요? 
끄고 살아볼까했는데 일단은 다시 켜고 사용해봐야겠습니다. ^^
일단은 일종의 피드백 포스팅이기는 한데, 그냥 파일을 보내볼껄 그랬나 싶기도 합니다.






Posted by 푸른가을