무플 무서워요
유익하셨나요? 아래의 RSS로 구독 하세요! 가젯으로 구독하시려면 클릭!
올블로그추천버튼 블로그코리아 구독버튼 블로그뉴스 구독버튼 믹시 구독버튼 한RSS 구독버튼 구글리더기 구독버튼 올포스트 구독버튼

안녕하세요? 구름팡팡입니다.

정말 정말 정말로 차~~~~아아아아~~~~암 오랜만입니다!
마지막으로 올렸던 글이 8월 31일에 올린 가짜백신 이야기로군요^^;;

9월에 갑자기 취직이 결정되면서 시간이 없어졌고,
저녁에 퇴근하고 난 후에는 조그만한 넷북으로 블로그에 글을 쓴다는 것 자체가 고역이라
(그 전에는 하루종일 빈둥대는...그러니까 열심히 공부 안 하던 공시생이라서 넷북이라도 감지덕지였어요)
왜 데스크탑을 팔아버렸나...하면서 열심히 블로그에 글을 쓰려고 했던 자료들만 저장해 두었지요.
나중을 기약하며 말이에요.

하지만 그것도 몇 개월 지나니까
바탕화면만 자꾸 복잡해지고 어지러워져서...
'기약도 없는 포스팅, 에라 모르겠다~'하고 싸그리 지워버렸습니다.

그러면서 또 자료가 쌓였다가 또 다 지우고...
얼른 데스크탑을 사야지 사야지 하면서도
'집이 좁아 터져서 컴퓨터 놓을 자리가 없다!'는 핑계로...사실은 돈이 없는 것이었지만 데스크탑 구입을 미루고 있어요.

사실 그 동안에 쌓인 할 얘기들은 너무 많지요.
아이폰4도 구입하였고, 트위터도 드디어 하게 되었고, 윈도우7은 SP1 RC버전이 나오기도 했고...
그 이외에도 참 여러가지 일들이 있었지만...한 글자 적어보지 못했네요.

이러고 있다간 올해가 지나가기 전에 한 글자도 쓸 수 없을 것 같아
아주 오랜만에 용기내어 몇 글자 적어봅니다.

꾸준히 블로깅을 하시는 이웃분들이나
늘 찾아가서 도움만 받고 오는 파워블로거 분들의 블로그가 너무 부러워요ㅋㅋ

참~트위터 처음 하셔서 친구 없으신 분들
저하고 놀아요ㅋㅋ 사실은 제가 더 심심해요^^;;
@tillpeonyblooms(김영랑 시인의 '모란이 피기까지는'을 모티브로 한 아이디, 그러나 너무 길다) 


그리고 어쩌면 지금 드려야 할 인사,

새해 복 많이 받으세요~!


(+) 민방위 훈련시간이지만 저희는 끄떡 없어요ㅋㅋ
라는 건...싸이렌이 울려도 X무시하고 O치고 일하라는 지침이...(그래서 저도 X무시하고 O치고 오랜만에 블로그 하고 있지요~룰루!)

이 블로그의 공식 주소는 http://theHermes.kr 입니다.

|
유익하셨나요? 아래의 RSS로 구독 하세요! 가젯으로 구독하시려면 클릭!
올블로그추천버튼 블로그코리아 구독버튼 블로그뉴스 구독버튼 믹시 구독버튼 한RSS 구독버튼 구글리더기 구독버튼 올포스트 구독버튼

▲ 알약, V3로 위장한 악성코드를 주의하라는 인터넷 신문 기사(네이버 검색 화면)

안녕하세요? 구름팡팡입니다.
매스컴의 영향이 정말 대단한 것 같습니다.
스펀지 제로의 좀비 PC 방영 이후로 연일 네티즌들의 관심은 악성코드, 좀비 PC, 그리고 보안관련 문제이네요.

오늘은 국내에서 막강한 시장 지배력을 가진 무료백신 알약과 V3 라이트로 위장한 악성코드가 등장했다는 기사가 났습니다.
이들 악성코드는 실제 백신의 아이콘과 동일한 아이콘을 사용하고 있으며, 파일 이름도 영문 철자만 조금 다르게 하여
사용자들이 악성코드가 아닌 백신으로 오해하도록 하였다고 합니다.

▲ 알약과 V3 라이트의 아이콘을 도용한 악성코드의 모습.
알약의 공식 영문 표기명은 ALYac이고, V3 라이트의 경우는 V3 Lite입니다.

특히 실행시의 유저 인터페이스까지 흡사해 육안으로 구별이 정말 힘들다고 하네요.
이 악성코드를 실행하면 프로그램 내부의 악성코드를 윈도우 서비스에 등록하여 윈도우가 시작할 때마다 시작하도록 하여
사용자 PC의 제어권을 시스템 공격자에게 넘겨주게 됩니다.

그러면 스펀지 제로에서 나왔듯이 무서운 사생활 침해 도구로 사용될 수 있고,
또는 원격제어 당하여 DDoS(분산서비스거부) 공격에 이용될 수 있다고 합니다.

게다가 마우스 우클릭을 통해 확인할 수 있는 프로그램 등록정보는 중국산 백신 제품의 등록정보를 그대로 복사하여
사용자가 보기에 진짜 백신으로 오해하도록 만들었다고 합니다.

따라서 해당 백신을 다운로드 받아 설치하고 싶을 때에는, 카페나 블로그 등에 올라와 있는 설치파일을 다운 받지 마시고
공식 홈페이지에 접속하여 다운 받아 설치하시기 바랍니다.

또한 어차피 카페나 블로그 등에 올라온 알약과 V3 등은 불법으로 유포 중인 것으로 저작권법 위반입니다.
설치 파일 자체에 차이는 없다고 하더라도 불법적인 루트보다는 공식적인 루트가 훨씬 더 낫겠지요?

V3 Lite의 공식 홈페이지에서 다운로드 받은 V3 Lite의 설치파일 아이콘 모습입니다(파란 박스 안).
V3LiteSG_Setup.exe라는 파일명으로 배포 되고 있습니다.

알약의 공식 홈페이지에서 다운로드 받은 알약의 설치파일 아이콘 모습입니다(파란 박스 안).
ALYac150.exe라는 파일명으로 배포 되고 있습니다.

이 블로그의 공식 주소는 http://theHermes.kr 입니다.

|
유익하셨나요? 아래의 RSS로 구독 하세요! 가젯으로 구독하시려면 클릭!
올블로그추천버튼 블로그코리아 구독버튼 블로그뉴스 구독버튼 믹시 구독버튼 한RSS 구독버튼 구글리더기 구독버튼 올포스트 구독버튼

▲ 좀비 PC 확인법에 대한 네이버 검색 결과
('스펀지 제로' 방영 이후 네티즌들이 좀비 PC에 대해 엄청난 관심을 가지게 됨)

안녕하세요? 구름팡팡입니다.
엊그제 좀비 PC에 관한 '스펀지 제로'의 방영 이후 네티즌들의 관심은 온통 '좀비 PC'이더군요.
내 PC도 누군가에 의해서 좀비가 되지 않았을까 걱정 되는 마음 십분 이해합니다.

하지만 이런 정보가 블로그나 카페 등을 통해 널리 퍼지면서 혹시라도 와전 되어서 
좀비 PC가 아님에도 불구하고 엉뚱한 대처 때문에 컴퓨터에 스스로 피해를 입혀서는 안되겠죠?
그럼 제대로 한 번 알아보도록 하겠습니다!

일단 검색 결과를 보시면 손쉬운 방법으로 netstat 명령을 이용하는 방법이 굉장히 널리 퍼져 있다는 사실을 알 수 있어요.
자, 그럼 한 번 해보자구요^^

▲ [시작]-[실행]에서 cmd를 입력합니다. 또는 'Windows키 + R'을 누르면 실행창이 바로 뜹니다.

▲ 프롬프트가 뜨면 netstat -b 라고 입력합니다. PC 사용환경에 따라 내용은 다르게 나옵니다.
여기서 주목하셔야 할 곳은 'Proto', 'Foreign Address', 'State' 부분입니다.

1. Proto 부분에서는 실행중인 프로그램 이름을 확인합니다.
▶ 만약 악성코드나 해킹툴 실행 프로그램이라고 최종적으로 의심되었을 때 삭제하기 위해서 입니다.
내가 실행한 적이 없는 프로그램 목록이 결과창에 표시된다면 바로 아래 내용들을 확인해보셔야 합니다.
악성코드가 실행한 프로그램이거나 해킹툴의 숙주 프로그램일 수 있기 때문입니다.

2. Foreign Address에서는 IP 뒷부분에 있는 포트 번호를 확인합니다.
▶ 해킹 툴이나 악성 코드가 주로 이용하는 포트인지 확인하기 위해서 입니다.
인터넷에서 확인 방법은 대부분 '8080 포트이면 좀비 PC이다'고 알려 주고 있습니다.
인터넷 포트가 80인 점을 이용, 의심을 덜 받기 위해 주로 악성코드나 해킹툴이 8080 포트를 쓰기 때문에 이렇게 의심을 하는 것입니다.
하지만 무조건 8080 포트라고 해서 악성코드라고 생각해서는 안 됩니다.

왜냐하면 8000번대 포트는 파일의 업/다운로드시 많이 사용하는 포트이고,
따라서 실제로 8080 포트를 사용하는 프로그램들이 있을 수 있기 때문입니다.

뿐만 아니라 악성코드 등이 5000번대, 9000번대 포트도 이용하기 때문입니다.
5000번대는 실제로 메신저 등이 많이 사용하는 포트이고 9000번대 포트는 아프리카 TV 같은 곳에서 채팅 할 때 이용한다고 합니다.
사진에서 보시면 네이트온이 5004번 포트를 이용하고 있다는 사실을 알 수 있습니다.

3. 그리고 마지막으로 State에서는 'SYN_SENT'라고 되어 있는지 확인합니다.
▶ 이는 내 PC의 정보를 외부로 보내고 있는 상태를 의미합니다.
따라서 파일을 전송중이거나 원격지원을 받고 있는 경우에도 상대방 PC에 내 PC의 정보를 보내는 것이기 때문에 'SYN_SENT'라고 표시됩니다.
또는 아프리카 TV, 팟플레이어 등을 통해 실시간 영상을 보고 있을 때에도 그렇습니다.
물론 이러한 경우는 좀비 PC인 경우가 아니겠지요? 반대로 정보를 받고 있을 때에는 SYN_RECEIVED라고 표시되는데,
사진의 맨 윗줄 보면 uTorrent.exe를 통해 정보를 받고 있음을 알 수 있습니다.

이런 사항들을 모두 확인한 결과 악성코드 등으로 의심이 된다면 해당 프로그램이 어디서 실행되는지 찾아서 바로 삭제해 주시면 되겠습니다.
[시작]-[검색](또는 단축키인 'Windows키 + F')으로 들어가셔서 해당 프로그램 이름을 검색하셔서 삭제하면 되겠죠?

(+) 그런데 잠깐! 악성코드로 의심되는 프로그램을 검색해서 삭제하기 전에 알아두세요.
윈도우에는 기본적으로 실행되는 필수 프로세스가 있습니다.

alg.exe / lsass.exe / smss.exe / svchost.exe

등이 바로 그것인데요. 여러분이 악성코드 제작자라면 어떻게 해야 악성코드가 실행중이라는 사실을 사용자에게 숨길 수 있을까요?
그들은 아마도 이런 방법을 이용할 것입니다. 윈도우 필수 프로세스와 동일한 이름 또는 비슷한 이름으로 만들어 실행하는 것이지요.
그래서 이들은 ctrl + alt + del 키를 눌러 작업관리자를 통해 프로세스 창을 확인했을 때에도 쉽게 보이지 않는 것입니다.

일례로 제가 군대에 있었을 때 사단 전산실에서 나눠준 보안 프로그램을 예로 들 수 있습니다.
군사자료의 보안을 위해 PC에 USB를 꽂으면 이 USB가 등록되어 있는 것인지 아닌 것인지를 판단하기 위해 해당 USB의 정보를
사단 전산실에 보냅니다. 그래야 인가되지 않은 USB를 사용하는 것을 막아 군사보안을 유지할 수 있다는 논리이지요.
그래서 이 프로그램은 윈도우 시작시 같이 시작하며 컴퓨터를 끄기 전까지 언제나 실행 중입니다.
그리고 강제로 종료하더라도 이를 감지하여 바로 다시 실행시키기까지 합니다.

예를 들어 보안프로그램 이름이 a.exe라면 ctrl + alt + del키를 눌러 작업관리자를 실행시켰을 때 a.exe가 보이고
이를 강제로 종료할 수 있습니다. 하지만 또 다른 프로그램이 a.exe가 강제로 종료 되었는지를 감시하고, 만약 강제로 종료 되면
바로 다시 a.exe를 실행시키는 역할을 하는 거죠. 그래서 이 감시 프로그램이 굉장히 중요한 역할을 하는데 이 프로그램의 이름이
svchost.exe와 아주 흡사한 scvhost.exe였습니다.

특히 svchost.exe의 경우에는 사용자 PC 환경에 따라서 실행 중인 프로그램 개수가 다릅니다. 그러니 당연히 언뜻 보면 잘 모르겠죠?
하지만 scvhost.exe를 강제로 종료시키고 나서 a.exe를 종료시키면 다시 보안 프로그램이 실행되지 않기 때문에 인가되지 않은 USB도
마음대로 사용할 수 있었습니다.

아무튼!
어느 것이 윈도우 기본 프로세스인지 잘 모르고 지워버렸을 경우, 윈도우에 심각한 오류를 일으킬 수 있기 때문에 조심해야 합니다.
예를 들어 smss.exe를 찾아서 삭제했다면 무한 로그오프를 경험하실 수 있을 겁니다.
컴퓨터를 켜고 윈도우에 진입했을 때 로그오프가 되어 버리고, 로그오프 된 후에 컴퓨터를 껐다 켜서 다시 윈도우로 진입해도 로그오프가 됩니다.

그러니 확인을 반드시 해야겠지요?
제가 전에 알려드린 적이 있지만 모르시는 분들을 위하여 링크하도록 하겠습니다.
http://psychopompus.tistory.com/entry/작업관리자의-프로세스에-이상한-프로그램이-생겼어요 

위의 게시글을 보시면 윈도우 프로세스를 검색하실 수 있습니다.
악성코드인지 윈도우 기본 프로세스인지 잘 모르겠다면 반드시 위 사이트에서 검색한 후 설명을 잘 보시고 삭제하시기 바랍니다.

이 블로그의 공식 주소는 http://theHermes.kr 입니다.

|