요즘 악성코드는 인터넷 생활의 일부가 되고 있습니다. 평소에 자주 방문하는 유명 포털 사이트에서 어느 날 악성코드를 유포해 감염되기도 하고 이메일 보관함에 악성코드가 첨부된 파일이 몇 개 정도는 있을 정도로 감염의 위협은 일상화되어 있습니다.

이러한 악성코드로 인한 피해 예방을 위한 여러 가지 방법들이 있겠습니다만 이 중에서 PC를 좀더 안전하게 사용하기 위해 참고하면 좋을 V3의 옵션을 알려드립니다.

 

1. 검사 전 엔진 업데이트 하기

 

최근에는 하루에 발견되는 악성코드의 개체 수가 수 만개에 이를 정도로 많고 단기간에 다수의 사용자들에게 감염을 유발하고 사라지는 것을 반복하고 있습니다. 자사에서는 이와 같이 매일 대량으로 유포되는 악성코드에 대응하기 위해 악성코드의 치료기능을 메일 수 차례 업데이트하고 있습니다.
그러므로 검사를 하시기 전에는 반드시 업데이트 버튼을 클릭하셔서 최신 엔진으로 업데이트를 하시고 자동 업데이트를 하도록 설정을 하시는 것이 좋습니다. 또한 성능향상을 위해 비정기적으로 배포하는 패치파일을 업데이트 시 함께 업데이트 하도록 설정을 하시는 것을 권해드립니다.

[그림1] 엔진업데이트 설정

 

2. 모든 파일을 검사하기

 

V3의 검사 옵션 중 검사파일 형식은 [모든 파일]로 설정하시는 것이 좋습니다. 이 옵션을 사용자지정 파일만 검사하도록 설정하는 경우 V3는 자체로 악성의 동작이 가능한 실행 파일에 대해서만 악성여부를 진단합니다. 이 경우 검사 시간이 단축되고 실시간 검사에 들어가는 CPU나 램과 같은 자원의 사용량이 줄어드는 장점이 있습니다.
그러나 최근 악성코드 중에는 실행파일이 아닌 것처럼 위장하는 경우가 있기 때문에 이 옵션으로 인해 일부 악성코드를 진단하지 않을 수 있습니다. PC 사양이 낮거나 자원을 많이 사용하는 등 특수한 환경으로 인해 설정을 할 수 없는 경우가 아니라면 이 옵션은 모든 파일로 설정을 하시는 것을 권해 드립니다.

[그림2] 실시간 검사의 대상 설정

 

3.  오토런 악성코드 감염 방지를 위한 설정

 

윈도우 OS에서 제공하는 자동실행 기능은 PC 사용자가 저장장치를 삽입했을 때 런처의 기능을 해주는 실행파일을 자동으로 실행해주는 것과 같이 PC 사용자가 직접 파일 실행과 같은 행위 하지 않더라도 알아서 작업을 해줍니다. 이와 같이 PC에서 파일을 자동으로 실행해주는 점에 착안하여 악성코드 제작자들이 악성코드가 자동 실행되도록 악용을 하는 경우가 많으므로 감염 예방을 위해 다음과 같이 설정을 해보시기 바랍니다.

 

[그림3]V3 365의 오토런 악성코드 감염 예방 설정

 

 

[그림4] IS 8.0의 오토런 악성코드 감염 예방 설정

 

V3의 옵션 중 USB 드라이브 자동 검사하기 옵션은 PC 사용자가 USB나 외장하드를 삽입 시 V3가 자동으로 검사를 해주는 기능으로 감염된 악성코드가 실행되기 전 치료를 해줍니다.
CD/USB 드라이브 자동 실행 방지 옵션은 이동식 저장장치를 삽입하더라도 자동실행이 되지 않도록 OS 설정을 변경해주는 기능입니다. USB가 악성코드에 감염이 되어 있더라도 자동실행 기능이 동작하지 않으면 PC가 감염되지 않으므로 감염을 예방해줄 수 있습니다.

 

4. Smart Defense와 TrueFind로 진단율 높이기

 

V3를 설치하는 과정에서 아래와 같이 Ahnlab Smart Defense사용에 대한 동의를 요청하는 창을 경험하게 됩니다.

[그림5] Smart Defense 동의 창

 

Smart Defense는 기존에 악성코드에 대한 모든 데이터를 PC로 다운로드 한 후 PC에서 처리하던 방식과 달리 Cloud Computing 개념을 이용한 새로운 기술입니다. Smart Defense는 인터넷에 있는 악성코드 시그니처 DB에 접속하여 악성여부를 판단해주는 기능 뿐 아니라 악성여부를 판단하기 위한 여러 가지 새로운 기법들이 추가되어 있습니다. Smart Defense를 사용하면 V3에서 진단하지 않는 악성코드를 진단해 주고 엔진 업데이트를 하지 않더라도 최신의 시그니처를 사용할 수 있는 장점이 있으므로 활성화하시는 것이 좋습니다.

TrueFind는 루트킷과 같이 보안 제품에서 탐지되지 않도록 숨어있는 악성코드를 찾아 치료를 해주는 기능입니다. 최근 악성코드는 다양한 은폐 기업과 치료를 어렵게 하는 기법을 사용하는 경우가 많아 백신 제품에서 진단되지 않을 수 있기 때문에 이러한 악성코드를 탐지하기 위해 TrueFind와 같은 강력한 탐지/치료 기능이 필요합니다.

TrueFindSmart Defense를 사용하기 위해서는 다음과 같이 설정을 하면 됩니다.

[그림6]V3 MSSSmart Defense설정 

 

[그림7]IS 8.0의 True Find와 Smart Defense 사용하기

 

지금까지 V3의 옵션 중 악성코드의 감염을 예방하기 위해 알아두면 좋은 항목들에 대해서 간단하게 설명을 해드렸습니다.

자사 제품들 중 오래 전 제작되어 제공된 제품에서는 이러한 기능의 일부를 지원하지 않는 경우가 있습니다. 최신 버전의 보안 제품을 사용하는 것은 최신 공격 기법에 대한 방어를 위한 매우 중요한 요입니다. 사용하시는 제품과 구매 시의 계약에 따라 차이가 있을 수 있겠습니다만 V3 제품의 경우 하위 버전의 제품은 최상위 버전으로 무료 업그레이드가 가능하므로 사용하고 계신 제품 버전이 낮은 경우 구입처에 문의를 해보시기 바랍니다.

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC
이번 포스팅에는 Autorun 계열 악성코드의 감염을 처음부터 예방하는 방법을 소개해 드리도록 하겠습니다.

Autorun 계열 악성코드는 이동형 디스크 장치를 통해 주로 전파가 됩니다. 이미 감염이 된 이동형 디스크 장치를 컴퓨터에 연결을 하게 되면 자동으로 감염이 되게 됩니다. 이러한 Autorun 계열 악성코드를 예방할수는 없을까요?


Autorun 계열 악성코드를 예방하는 방법으로 autorun.ini 파일을 자동으로 읽어 실행되는 기능을 꺼버리면 더이상 감염이 되지 않을 것입니다. 하지만 해당 기능을 끄는 방법이 일반인들이 하기에는 어려운 부분이 많아 안철수연구소에서는 이러한 설정을 한번에 할 수 있는 툴을 만들어 배포하고 있습니다.

Autorun 실행 방지 툴 다운로드 (클릭)


위에 안내해 드린 프로그램을 다운로드 받으면 위와 같이 파일을 하나 받게 될 것입니다. 위 파일을 실행하게 되면 아무런 창이 나타나지 않지만 이미 설정이 다 된 것입니다.

이제는 더이상 이동형 디스크 장치를 통한 Autorun 계열 악성코드는 감염되지 않으므로 안심하시고 이동형 디스크를 연결하셔도 됩니다.



신고
Posted by 비회원

이전 글에서처럼 autorun.inf 파일을 수집한 후에 무엇을 해야할까요?
수집한 autorun.inf 파일을 notepad 또는 파일의 스트링을 확인할 수 있는 BinText 툴을 사용하면 탐색기로 디렉토리에 접근할 때 실행되는 악성코드를 확인할 수 있습니다. 아래 그림은 notepad와 BinText로 autorun.inf 파일을 열었을 때의 그림입니다.



autorun.inf 파일을 확인한 결과 ShellExecute=MS-DOS.com 이라는 스트링을 확인할 수 있습니다. 확인된 MS-DOS.com 파일을 찾아서 삭제해 주시면 됩니다. 이전 글처럼 속성을 해제해주거나 IceSword 툴을 이용하여 아래 그림처럼 확인이 가능합니다.

1) attrib -s -h -a -r MS-DOS.com (엔터) -> 속성해제
2) 탐색기내 c:\MS-DOS.com 파일을 찾아 수집합니다.


IceSword에서는 MS-DOS.com 파일 우클릭 후 "Copy to" 옵션으로 수집할 수도 있습니다.


수집한 파일들을 삭제를 한 후에 탐색기를 이용하여 드라이브에 접근할 때 아래 그림과 같이 연결 프로그램이라는 창이 뜨는 경우가 있습니다.


위와 같은 경우는 오토런 악성코드가 등록한 레지스트리 값을 삭제를 하여야 해결할 수 있습니다. 오토런 악성코드를 삭제 후 레지스트리 값까지 수정을 해 주시면 오토런 증상은 해결됩니다.


신고
Posted by 비회원
오토런 악성코드는 루트 디렉토리에 ( C: 또는 D: ) autorun.inf 파일을 생성하여 사용자가 탐색기를 사용하여 드라이브를 액세스할 때 자동으로 타겟 악성코드를 실행하게 됩니다. 그리고 오토런 악성코드는 자신을 숨기기 위해 탐색기의 폴더옵션 중 [숨김 파일 및 폴더 표시] 기능을 자동으로 해제합니다. 사용자가 이 기능을 사용하려고 할 때마다 자동으로 해제해버리기 때문에 숨겨진 파일의 속성을 해제하거나 IceSword 등의 툴을 사용해야 파일을 확인할 수 있습니다.


아래 그림을 보시면 IceSword를 이용하여 C: 드라이브에 autorun.inf 파일이 생성된 것을 확인할 수 있습니다. autorun.inf 파일을 선택한 후 우클릭 후 "Copy to" 옵션을 사용하여 수집할 수 있습니다.


툴을 사용하지 않고 수집하는 다른 방법은 아래와 같습니다.

1) [시작]-[실행]-[열기]부분에 'cmd' (따옴표제외)를 입력하고 확인
2) cd\ (엔터) -> 루트로 이동하기 위함
3) attrib -s -h -a -r autorun.inf (엔터) -> 속성해제


다음 글에서 수집된 autorun.inf 파일을 이용하여 실제 악성행위를 하는 파일을 수집하고 삭제하는 방법을 알아보도록 하겠습니다.
신고
Posted by 비회원