요즘 가짜 백신이 문제가 많이 되고 있습니다. 직원들에게 교육이 필요한 부분이죠..
인지되지못한채로 많은 사람의 컴퓨터에 가짜 백신이 여러개 설치되어 있는 경우를 많이 보게됩니다.
아래 메일에서는 하우리의 라이브콜을 썼는데요.. 그외에도 좋은 웹백신이 많습니다.
라이브콜은 유료입니다. 소규모 회사라면 유료 웹백신으로 추천하시는게 좋을듯합니다.
개인이라면 무료 웹백신을 쓰셔야 하겠죠? 트렌드나 비트디펜더같은.. ^^
Trendmicro Officescan 쿼런틴에 들어간 파일 복원하기
원하지 않는 정상적인 파일이 바이러스로 인식되어서 쿼런틴으로 옮겨질 수있습니다. 이런 경우 복구하는 과정에 대해 적어봅니다.
▶ 쿼런틴으로 옮겨진 파일의 위치
client 내: Trend Micro\OfficeScan Client\Suspect
서버 내: OfficeScan\PCCSRV\Admin\Utility\VSEncrypt
▶ 복원에 필요한 도구 준비
복원도구가 필요한 이유는 쿼런틴에 들어갈때 파일이 암호화되어 저장되기 때문에
VSEncode.exe
Vsapi32.dll
Officescan 중앙관리 서버에 위치 ( OfficeScan\PCCSRV\Admin\Utility\VSEncrypt 폴더 )
▶ 복원 과정
1. 복원하고자 파일이 복원하고자 하는 컴퓨터의 OfficeScan Client\SUSPECT 폴더 있어야 합니다
(서버의 쿼런틴으로 옮겨진 경우 클라언트의 suspect폴더로 옮겨주세요)
2. c:\temp와 같은 임의의 폴더에 아래 파일을 복사해 오셔서 명령프롬프트 창에서 실행하시면 됩니다.
· 주 파일: VSEncode.exe
· 필수 DLL 파일: Vsapi32.dll
3. 명령 프롬프트를 열고 VSEncrypt 폴더를 복사한 위치로 이동
c:\>cd temp
4. 다음 매개 변수를 사용하여 암호화된 바이러스 복원을 실행
-d: Suspect 폴더의 파일을 복호화합니다.
/f {filename}: 특정 파일을 복호화합니다.
옵션이 없으면 Suspect 폴더의 파일들을 암호화합니다.
c:\temp>vsencode.exe -d (모든 파일이 복원됩니다.)
–> 별도의 메시지는 뜨지 않으며 복원이 잘 될 경우 파일의 만들어진 날짜가 최신으로 변경됩니다.
트렌드의 참고 URL:
http://esupport.trendmicro.com/4/Restoring-quarantined-files-in-OfficeScan-80.aspx?print=true
[Mcafee 삭제] frminst.exe 이용하여 삭제하기
백신들은 설치되고 나면 삭제를 함부로 할수없도록 되어있는 경우가 많습니다.
Mcafee 백신을 최근 테스트를 하고있는데.. 삭제가 상당히 어렵더군요….
프로세스 보호기능을 적용해두어서인지… ^^
제어판에서 삭제를 하면 Virusprotect는 삭제되지만 Mcafee agent는 삭제되지않습니다.
강제로 삭제를 하게되면 (process유틸이나 unlocker동원) 삭제야 가능하지만
다시 설치하거나 할때 제대로 설치가 안되게 됩니다.
삭제할때는 반드시 아래의 명령을 통해서 삭제해주세요
frminst.exe /forceuninstall
KISA와 이동통신3사가 제공하는 정보보호 알림이 SMS
보호나라 사이트에 방문해보니 정보보호 알림이 서비스를 신청하라는 공지가 떴더군요
해킹,웜,바이러스등 인터넷상의 위험과 사고발생시 대처방법등을 문자메시지로 알려주는
무료 문자메시지 서비스 되겠습니다. 아래 URL에서 관련 공지및 통신사별 바로가기가 제공됩니다.
저두 오늘 신청했구요.. 아직은 메시지를 받아보진 않았지만 일단 KISA에서 진행하는 거니깐..
믿을 만 하다구 보구요 또 무료니깐.. 바로 신청했습니다.
http://www.boho.or.kr/sms_service_.htm

저는 M4650을 쓰는 관계로.. LGT랍니다. 아래와 같이 신청완료했습니다.
이젠 문자를 기다려봅니다. 그래도 위급상황시 신속대응하는데 작은 도움이나마 되지않을까 기대해봅니다.
[커맨드] 도메인 정책을 컴퓨터에 즉시 적용하려면
▶ 도메인 정책을 컴퓨터에 즉시 적용하려면
AD를 운영해보면 도메인정책이 서버나 컴퓨터에 바로 적용이 안되기때문에 답답한 경우를 경험합니다. 지금 바로 도메인 정책을 적용하고자 할때 다음과 같이 하시면 됩니다.
관련 URL: http://support.microsoft.com/kb/601499/ko
● 윈도우XP/ 비스타/ 윈도우2003/ 윈도우2008에서
커맨드에서 아래의 명령을 실행하면 즉시 도메인으로부터 정책을 받아옵니다.
gpupdate /force
● 윈도우2000
커맨드에서 아래의 명령을 실행하면 즉시 도메인으로부터 정책을 받아옵니다.
secedit /refreshpolicy machine_policy /enforce (컴퓨터정책)
secedit /refreshpolicy user_policy /enforce (사용자정책)
▶ 도메인 정책을 잘 받아왔는지 확인하고 싶다면..
잘 받아왔는지 확인할 방법이 필요하겠죠? ^^
gpresult.exe로 RSoP(정책결과집합)을 확인할 수 있다.
gpresult
관련 URL: http://technet.microsoft.com/ko-kr/library/cc756960.aspx
구문
Gpresult [/s computer [/u domain\user /p password]] [/user TargetUserName] [/scope {user|computer}] [/v] [/z]
예제
gpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user targetusername /z >policy.txt
[스팸체커] 방송통신심의위원회에서 배포하는 무료 스팸차단 프로그램
항상 그렇지만 요즘들어 스팸이 더욱 기승을 부리고 있습니다.
회사 메일서버에서도 상당 부분 거르고 있는데도 불구하고 많은 스팸들이 여전히 들어오고 있습니다.
그래서 무료 스팸차단 프로그램을 알아보게 되었습니다. ^^
스팸체커는 방송통신 심의위원회에서 배포하는 무료 스팸차단 프로그램입니다.
최근 많아진 스팸때문에 사용해보고 있는데 괜챦은듯합니다.
스팸체커는 음란스팸차단을 주목적으로 하고 있습니다.
▶스팸체커의 장점
1. 음란스팸 차단 (음란사이트 DB, 음란키워드,음란이미지등을 인식)
2. 다음,네이버,야후등 웹메일의 스팸 차단 기능
3. 아웃룩으로 수신되는 스팸 차단 (POP3서버 지원)
4. 별도의 프로그램형태로 제공하여 자동으로 스팸을 제거함
5. 제거된 스팸을 지정한 날동안 보관 가능
회사에서 거르지 못한 스팸도 추가로 걸러주는 모습을 볼수있습니다.
하지만 자세히 보면 스팸아닌것도 스팸으로 분류되기도 하기때문에 확인이 필요합니다.
저는 선별기준을 높게 가져갔더니 Cisco에서 온 행사 안내 메일도 스팸으로 들어갔더군요.. ^^
POP3메일서버들 뿐 아니라 유명 웹메일업체들도 지원한답니다.

여러 계정으로 들어온 스팸메일을 동시에 정리해줍니다. 회사메일 + 다수의 웹메일 등
아래 그림은 차단메일로 들어간 일반 메일을 eml포맷으로 저장하고 있는 장면입니다. 
스팸체커 홈페이지: http://spam.icec.or.kr
스팸체커 프로그램및 매뉴얼 다운로드: http://spam.icec.or.kr/sub/down.html
스팸체커 동영상 매뉴얼: http://spam.icec.or.kr/sub/scenario.html
스팸체커 이용중 궁금한 사항은 아래의 연락처로 문의하면 된다고 합니다.
콜센터: 1377 Email: spam@kocsc.or.kr
Confiker.B 웜 바이러스 대책
원문참조: http://support.microsoft.com/kb/962007
▶ 감염현상
1. 계정잠금정책이 실행될 수 있음
2. 자동업데이트, BITS, Windows Defender및 오류보고서비스가 disable 될 수 있음
3. DC가 클라이언트 요청에 느리게 응답할수 있음
4. 네트웍 정체
5. 다양한 보안관련 웹사이트에 액세스할 수 없음
▶ 감염경로
1. MS08-067 취약성 위용 (보안업데이트 KB958644 안되어 있으면 감염)
2. 네트웍 공유 사용 (관리공유)
3. Autorun 기능 사용
▶ 예방조치
1. 보안업데이트 KB958644 설치후 리부팅
2. 아래 레지스트리의 하위키에 대한 쓰기권한 제거 (admin, system에 대한 모든권한,쓰기권한 제거)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
3. %windir%\tasks 폴더에 대한 쓰기 권한 제거 (admin, system에 대한 모든권한,쓰기권한 제거)
4. 자동 실행 기능이 사용되지 않도록 설정 (autorun.inf의 실행방지)
▶ 바이러스 제거
1. 로컬계정을 사용하여 시스템에 로그온 하라 (도메인계정을 사용하여 시스템 로그온하지 말것)
웜은 로그온된 사용자 자격증명을 사용하여 로그온한 사용자를 가장하여 네트웍 리소스에 액세스한다.
2. 서버 서비스를 중지 (이 경우 업무용으로 제공되는 서비스가 있다면 실행하지 말것, 모든 공유가 중단됨)
3. 모든 AT생성 예약작업을 제거 (커맨드: AT / Delete / Yes )
4. 작업 스케쥴러 서비스를 중지
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule에서 Start DWORD를 4로 수정
-> 이것도 역시 시스템관리용 또는 업무용으로 스케줄 작업을 사용중이라면 사용하지 말것
5. 보안업데이트 설치 KB958644 (MS08-067)
http://www.microsoft.com/korea/technet/security/bulletin/Ms08-067.mspx
6. local admin 및 Domain admin암호를 강력한 새암호로 재 설정
http://technet.microsoft.com/ko-kr/library/cc875814.aspx
7. Svchost의 레지스트리 항목에 들어와 있는 맬웨어 코드 제거및 권한설정
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
위 레지스트리 항목의 netsvcs 항목을 수정합니다. confiker.b웜이 무작위한 서비스 이름을 넣어둔 것 제거
위 레지스트리 항목에 대한 사용권한 제거 (admin, system에 대한 모든권한,쓰기권한 제거)
8. 레지스트리의 Run 하위 키에서 맬웨어 서비스 항목을 제거
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
9. 시스템 드라이브에 autorun.inf 파일이 있는지 확인하여 제거
10. 시스템 리부팅
11. 숨김파일을 보이게 설정
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
12. 맬웨어에 대한 참조된 DLL 파일을 삭제
▶ 시스템 보안설정 보강
1. Autorun 기능 해제
패치 953252 설치: http://support.microsoft.com/kb/953252/
2. 탐색기 원격코드 실행 방지를 위한 패치
패치 950582 설치: http://support.microsoft.com/kb/950582/
3. 로컬관리자 계정을 사용하지 않도록 설정
악성PDF를 열면 해킹을 당할수있습니다.
확실히 어플리케이션 취약점을 이용한 공격이 많이 늘어나고 있는 것 같습니다.
시만텍에서 발견하여 어도비측과 함께 공동대응을 하고 있다고 합니다.
하지만 어도비의 패치가 나오려면 아직도 약 2주 가까운 시간이 더 소요될 예정이어서
사용자들의 각별한 주의가 요구되고 있습니다.
▶ 공격의 특징
이 취약점을 악용한 공격은 백도어를 설치하는데 이 백도어는 GH0ST.라고 알려진 중국발 오픈 소스 툴킷을 이용하여 공격자로 하여금 해킹된 시스템의 데스크톱을 확인하거나 키스트로크를 기록하며 원격에서 시스템에 액세스할 수 있도록 한다고 합니다.
▶ 어도비의 보안권고사항
어도비의 보안권고사항 사이트:
http://www.adobe.com/support/security/advisories/apsa09-01.html

▶ 어도비 리더에서 자바스크립트 비활성화 시키기
1.어도비 리더 편집메뉴의 기본설정 클릭한다.

2. JavaScript 범주의 Acrobat JavaScript 사용가능항목 체크해제 
2090 바이러스에 대한 예방과 조치
2090바이러스에 대해 매스컴에서 크게 보도되면서 불안감이 확산되었더랬습니다.
윈도우 취약점 MS08-067 을 이용하여 전파되는 강력한 웜이라고 할 수있는데…
실제보다 더 부풀려져서 전파되는 바람에 공포감 마저….
2090바이러스의 영향력은 적어지는 듯 하지만 그 대응방법은 여전히 유효합니다.
변종이 아직 나오고 있고 다른 웜에 대한 좋은 대응도 되므로 다시 정리해보았습니다.
1. 2090 웜 바이러스의 증상
1) 시스템 시간을 2090년 1월 1일 오전 10시로 바꾼다.
2) 시스템 폴더 아래 system.exe란 파일을 만들어 악성코드가 실행됨
3) 숫자로 이루어진 파일을 랜덤하게 무한 생성한다. (예. 81714.sys, 107.exe등…)
4) 시스템이 멈추거나 강제 재부팅된다.
5) 재 부팅후 로그인이 정상적으로 진행되지 않고 무한반복 시도현상이 나타난다
6) 블루스크린 현상이 나타난다.
7) 네트웍에 과부하를 초래한다. (TCP 445포트 스캔과 동일 네트웍에 대한 ping)
2. 2090 웜 바이러스의 전파방법
1) 윈도우 보안취약점 (MS08-067)을 통해 네트웍으로 전파
2) USB를 통해서 감염 ( autorun.inf 이용 )
3. 2090 웜 바이러스의 예방 및 조치 (기타 웜에도 효과적입니다.)
1) 윈도우 보안패치 확인 및 설치 (MS08-067)
– 아래 링크 클릭하여 보안패치를 빠짐없이 설치해주세요 (정보보호진흥원의 PC Smile 설치)
<< 보안업데이트 확인 프로그램 다운받기 >>
2) 2090 바이러스를 위한 전용백신 설치 및 치료 (감염이 의심되면 전용백신을 즉시 설치해서 치료해주세요)
– 전용 백신 다운로드 << http://security.eland.co.kr/pds/v3aimbot.exe >>
– 안철수 바이러스 연구소의 설명보기 << 설명 보기 >>
3) 자동실행기능 끄기 (USB 나 CD롬의 자동실행 기능을 꺼두세요)
– 국정원에서 배포하는 USBguard 설치
<< 다운로드: usb guard.exe >> << 다운로드: usb guard.zip >>
– USBguard 설명보기
[Usb guard] 국정원에서 배포한 USB바이러스 방지툴
인터넷윤리실천협의회 2월20일 ‘2009년 인터넷윤리 워크숍’ 개최
출처: http://www.boannews.com/media/view.asp?idx=14356&kind=1
행사명: ‘2009년 동계 인터넷윤리 워크숍’
날짜: 2월 20일
장소: 한국정보사회진흥원 지하 1층 대강당
주최기관: 인터넷윤리실천협의회: http://www.iecoin.co.kr/
보안뉴스에 소개된 인터넷 윤리실천 협의회의 활동및 향후계획 << 보기 >>
후원: 한국인터넷진흥원·한국정보보호진흥원
행사목적: 인터넷 역기능으로 인한 피해를 최소화하고 건강한 인터넷 세계를 구축하기 위해
행사내용:
대학 인터넷윤리 교과 담당 교수 및 초·중·고교 교사들이 한 자리에 모여 교육현장에서의 문제점을 진단하는 한편 앞으로에 있어 바람직한 인터넷윤리 교육 방안을 제시하고, 인터넷윤리 확산 방안 등에 대해 토론을 펼칠 예정이라고 합니다.
참여대상: 전국 대학교수와 초·중·고교 교사 및 일반인
참가비: 무료
참여방법: 이메일(kipsit@kips.or.kr)로 오는 17일까지 참가신청을 받음
문의처: 인터넷윤리실천협의회(담당자 김미선 02-2077-1577)
인터넷 윤리는 매우 중요한 문제라는 생각이 듭니다. 학생들에 대한 교육이 주 목적이긴 하지만
보안교육을 담당하신 분이라면 관심을 가지고 참여하면 도움이 될듯 합니다.
제가 이글을 쓰는 오늘이 16일이니 내일까지 신청이 마감되는군요.. 서두르셔야 할듯합니다.