우키의 블로그 @wookielee

백신이 있는데도 아무런 alert가 없었는데
네트웍이 매우 느려지거나 컴퓨터조작이 심하게 느려진다면...
뭔가 바이러스의 활동이 있을수있습니다.
요즘은 변형이 많아서 백신이 발견못하는 바이러스가 다수 존재한다고 할수있습니다.
이런 경우 어떻게 대처할 것인지  적어봅니다.

1. 네트웍을 공격하는 웜이 있는지 점검합니다.
Tcpview사용하면 네트웍을 나 모르게 접속중인 프로그램을 찾을수있습니다. 
작업관리자를 보시면 CPU의 부하상태와 부하를 주는 프로세스를 찾을수있습니다.
pslist를 사용하시면 감춰진 프로세스까지 보실수있습니다.
<< tcpview 에 대해 더 자세히 알아보기>>

2. (회사일 경우) 웜발견시 상단의 네트웍장비에 block하는 정책을 설정합니다.
 개인PC라면 모르지만 회사나 단체에선 추가적인 피해및 바이러스 확산을 방지하기위해
네트웍단에서 -스위치,방화벽- block정책을 세팅하는것이필수적입니다.)

3. 바이러스 프로세스를 kill합니다.
pslist로 process를 봐가면서 pskill을 이용하여 바이러스 프로세스를 kill합니다.
이때 한번에 안죽는 바이러스가 있어서 10회정도 반복을 해주면 좋습니다.
pskill은 윈도우시스템 실행파일까지도 kill할수있는 강력함을 보유하고있습니다.
바이러스 프로세스가 두개가 존재하는경우 하나가 죽었을때 다른 하나가 되살리는것을 봅니다.
pskill을 이용해 배치파일로 작성하여 모든 바이러스프로세스를 동시에 kill하는것이 좋습니다.
프로세스를 kill하고 나면 바이러스 실행파일을 삭제할수있습니다.
삭제하기전 실행파일의 확장자를 변경한후 별도의 장소(USB등에) 복사해둡니다.(나중에 필요)
원래의 .exe라고 된 확장자를  .ex_ 로 변경해두면 됩니다. 실행이 되지않죠..
<< pslist , pskill 알아보기 >>

 ProcessExplorer를 통해서 좀더 쉽게 바이러스 프로세스를 종료시킬수도 있습니다.
'우키의 보안이야기'에 포스팅한 아래 글을 참고하세요

http://w-security.net/entry/processexplorer-virus-delete

4. 바이러스가 연계된 dll을 unlock 합니다.
dll바이러스가 돌아가는 경우 백신이 발견했으면서도 삭제를 못하는 경우가 많습니다.
dll바이러스를 감지못하는 경우 processexplorer를 이용하여 dll을 찾을수있습니다.
시스템파일에 들러붙은 dll은 삭제하기가 매우 어렵습니다.
인터넷익스플로어, 탐색기, 백신프로그램등에 들러붙는 경우 삭제가 불가능합니다.
이때 먼저 기존에 연결된 관계를 unlock시키면 바로 삭제하는것 가능합니다.
unlocker를 추천합니다. 리부팅하지않고서도 잘 unlock시키는것을 확인하였습니다.
unlocker에 대한 자세한 설명은 옆의 링크를 클릭하세요...  << unlocker  >>

5. 시작프로그램상의 불필요한 프로세스/ 서비스 제거합니다.
msconfig나 regedit를 이용하여 불필요한 프로세스,서비스를 모두 제거합니다.
이를 위해선 평소에 자신의 컴터에 어떤 프로세스,서비스가 존재하는지 알고있어야합니다.
잘 모를경우 google검색을 이용하여 정보를 얻으셔야합니다.

6. 리부팅후 정상작동하는지 확인합니다.
tcpview와 pslist등을 이용하여 프로세스및 통신상태를 점검합니다.
삭제했던 바이러스파일이 다시 생성되지않았는지 확인합니다.
삭제했던 바이러스 실행파일이나 dll이 다시 리부팅후 생기는 경우가 있습니다.
일단 안전모드로 부팅하여 파일을 삭제하는것도 좋은 방법입니다.
안전모드삭제후 또 파일이 생길수있습니다. 그건 바이러스를 다 찾지못한것인데요...
정체를 다 파악하지못해도 편법으로 바이러스 파일이 다시 만들어지는것을 막는 방법을 소개합니다.
앞서의 3번부터 5번을 실행한후 해당 바이러스 파일이 있는위치에 파일이름과 동일한 폴더를
일부러 만듭니다. 바이러스가 만들려고 하는 파일과 동일한 폴더가 이미 자리를 차지하고있으면
바이러스의 파일 생성시도는 실패하게 됩니다. (실제로 효과가 있더군요.. ^^; )

7. 발견된 바이러스 파일을 백신회사에 보내어 신규 패턴에 반영하게 합니다.
3번 4번에서 발견한 바이러스 파일을 별도로 보관했었습니다.
.ex_라고 확장자 변경해서 보관한 파일을 다시 압축프로그램을 이용하여 암호를 걸어서 압축 해주세요..
메일을 보낼때  메일서버에서 삭제되어서 전송되지않을수있으니까요..
백신회사에 보낼때 압축해제위한 암호는 알려줘야겠죠..
신규패턴이 1-2일이면 배포될거라고 봅니다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안 (Security)/Virus 바이러스죽이기

MSN 메신저를 이용하여  여러분들의 패스워드를 노리는 피싱사이트가  전파되고있습니다.
아래의 내용을 잘 읽어보시고 피해를 보시는 일이 없도록 조심해주시기 바랍니다.

▶ 왜 MSN 메신저에 속으면 안되는가?
1. 여러분의 MSN 패스워드를 유출시킵니다. (매우 위험)
인터넷사이트에서 동일한 아이디/패스워드를 사용하는 경우가 많으니만큼 매우 위험합니다.
아이디/패스워드가 유출되면  바이러스에 걸리는 것보다 더 심각한 결과가 초래됩니다.
2. 여러분을 또다른 공격자로 만듭니다.
   msn바이러스나 피싱에 속아넘어간 순간 여러분은 의도하지않게 다른사람을 공격하게됩니다.
3. 여러분의 PC가 바이러스에 의해 제역할을 못하게 되어 업무에 지장을 받게됩니다.
이번에 전파되는 MSN피싱메시지의 경우엔  바이러스 기능은 없음을 먼저 알려드립니다. 하지만...
유사한 공격으로 인해 PC에 바이러스가 심겨지고 업무에 큰 지장을 받게되는 경우가 많습니다.


▶ 여러분은 속으셨습니까?
최근 아래와 같은 MSN메시지를 받으셨나요?  
그림에 보면 지인으로부터 msn메시지가 도착하여 뭔가를 알려줍니다. 
( 이미지는 인터넷에 이미 올라와있는것들을 조금씩 편집하여 올렸습니다  ^^; )
출처: http://link.allblog.net/5121177/http://shinyhappy.tistory.com/35 

예전에는 영문으로 MSN바이러스 등을 유포되어서 무시해왔는데....
이번엔 MSN에 등록된 친구로부터 한글 메시지가 전송되었습니다.  속아넘어가기 쉽죠....
( 메신저에 뜬 링크엔 바이러스가 없고 단순히 아래의 사이트로 연결해주는 일만 합니다.)
--> 그런면에서 MSN바이러스라고는 할수없겠습니다. MSN피싱이라고.. ^^

어쨋든 계속 진도 나가겠습니다...... ^^
사이트에선 누가 내 msn계정을 block했는지 알려준다며 MSN계정과 패스워드를 입력해달라고 합니다.
호기심에, 혹은 무심결에 아이디,패스워드를 입력했고 아래쪽의 오렌지색 아이콘을 클릭했습니다.
그순간 여러분의 MSN아이디와 패스워드는 유출되어  누군가의 손에 들어가게 되었습니다. 
뿐만 아니라 여러분의 모든 MSN 친구들에게  ‘그 메시지’가 자동으로 전송되게 됩니다

▶ 그렇다면 어떻게 해야 하나요?
1. 혹시 MSN 패스워드가 유출되었다면 즉시 패스워드를 변경하시기 바랍니다.
hotmail 사이트에 접속하셔서 즉시 패스워드를 변경해주세요
  (패스워드를 정기적으로 바꿀 것을 권해드립니다. MSN은 72일을 기본값으로 하는군요)
  길지만 안 바꾸는 20자의 패스워드보다 자주 바꾸는 8자 패스워드가 훨씬 강력한 패스워드입니다.

2. MSN으로 누군가 파일을 전송하거나 URL을 보낼 때 반드시 당사자가 보낸것인지 확인하세요
확인도 하지 않고 링크를 클릭하는 것은 매우 위험한 행동입니다.
영문뿐 아니라 이젠 한글 메시지로도 .... 여러분은 속을 수 있습니다.  
   인터넷은 Untrust의 세계라는 점, 잊지마세요 !
3. 항상 여러분의 PC의 윈도우 보안패치와 백신업데이트를 최신의 상태로 유지해주세요
윈도우 보안패치와 백신업데이트는 최소한의 방어책입니다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안 (Security)/Virus msn, 피싱

최근에 mac spoofing하는 바이러스가 돌고있어서 대응방안을 찾던중에 가장 신속한 방법입니다.

바이러스에 걸린 PC가 자신의 mac을  다른 pc들의 ip에도  동일하게 대응되도록 spoofing 하더군요
그래서 네트웍에 동일한 MAC을 가지 PC가 30-40대가 존재하는 현상이 일어나게되고
그 30-40대의 PC에서 주고받는 데이타를 훔쳐보게되는 그런 위험스런 상황이 벌어지게 됩니다.
ARP의 취약한 구조때문에 가능한 방법이라고 생각이 되구요.. 어쨋든 이런현상이 있었습니다.

며칠전에 포스팅한 것처럼 문제되는 PC를 찾아서 offline시키고 치료하는것보다
네트웍장비 차원에서  좀더 빨리 조치할 필요가 있어서 알아보던중에  
함께 일하는 강과장님께서 자료를 찾아서 추천하셨습니다. 효과가 더 좋은듯합니다.

config모드에서 다음과 같이 명령합니다.
mac address-table static mac-addr vlan vlan-id drop

그러면 비정상적인 mac은 해당하는 vlan에서 거부되게 됩니다.
당연 오염된 mac은 사라지고 정상적인 mac만 남게됩니다.
그래서 피해를 받고있던 정상 pc들은 자신의 원래의 mac을 회복하게 됩니다.
바이러스 걸린 pc는 더이상 네트웍을 사용할수없게되죠...
인터넷이 안된다며 곧 네트웍관리자에게 연락이 오게됩니다.  ^^

모든 상황이 해제된후  원상태로 돌리기위해서는 아래와 같이 합니다. 
no mac address-table static mac-addr vlan vlan-id
switch ios가 12.1(19)EA1 이상이어야합니다.

<< cisco 2950 의 command references도 참고해보세요 >>

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안 (Security)/Virus

다수의 컴퓨터에서 인터넷 홈페이지를 연결시 이상한 문자가 뜨고 화면이 깨진다는 신고가 들어왔습니다.
웹페이지자체는 이상이 없는데 다수의 특정PC에서만 문제가 발생하고 있었습니다.
문제되는 pc에서 깨지는 웹페이지의 소스보이를 하면 특정 문자열이 들어가있는것이 보였구요

웹페이지로 전송되는 아이디/패스워드를 훔쳐내기위한 ARP spoofing형태의 malware로 추측되었습니다.
문제해결을 위해 다음과 같이 시행하였습니다.

1. 웹페이지가 정상적으로 보이지않는 클라이언트 ip확인
2. S/W에서 비정상 작동 클라이언트 ip의 mac 확인
   sh arp | inc ip_address
3. S/W에서 해당하는 mac 현황을 파악 (누가 또 같은 mac를 가지고있나?)
   sh arp | inc mac_address
4. 다수의 pc가 같은 mac을 가지고있는것으로 보였습니다.
5. 진짜 mac을 가진 pc를 찾기 시작했습니다.
6. DHCP서버에 접속해서 최초 mac을 받아간 pc를 찾았습니다.
7. 오염된 pc로 보이는 이 PC의 랜선을 뽑았습니다.
8. S/W에서 오염된 mac을 clear시킵니다.
   clear arp
9. 문제의 mac이 아직도 존재하는지 확인합니다.
    sh arp | inc mac_address
   아래 화면에서 보시듯 더이상 문제의 mac이 올라오지않습니다.
10. 이제 문제의 오염pc를 로컬로 접속해서  문제를 해결합니다.(malware제거)

이외의 방법으로는...  
(S/W에서 지원한다면) 해당mac을 거부하게 하고  clear arp 해도 될것 같습니다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안 (Security)/Virus

바이러스 감염후 컴퓨터의 모든 공유가 사라지고 다른 공유폴더에도 접근하지 못하는 현상이 있었습니다.
바이러스를 치료했지만 바이러스가 일부 레지스트리값을 바꾸는 것으로 보입니다.
C$  D$ RPC$등의 일체의 공유가 모두 사라져있는 현상을 보였구요..
공유폴더를 이용하여 서비스하는 모든 것들이 안되더군요..
협력업체의 모 엔지니어의 도움을 받아  복구할수있는 레지스트리 키값을 찾았습니다.

아래의 키값으로 변경하고 리부팅하면.. 정상적으로 공유가 올라오는것을 확인했습니다.
XP와 2000프로페셔널, 2000서버에서 테스트했습니다.

아래의 내역을  텍스트파일로 만들어서  저장할 때 .reg 파일로 만들고..
문제되는 pc에서 더블클릭하면 해당 레지스트리값이 시스템에 입력(import)됩니다.
리부팅후 서비스가 회복이 되었습니다.

=====   recover_share.reg  ================================================================
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=dword:00000001
"AutoShareServer"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"TransportBindName"="\\Device\\"

==========================================================================================

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안 (Security)/Virus

오늘 모 지점에서 전화가 걸려왔습니다.

▶ 현상:
    - 네이트온은 되는데..  인터넷은 일체안된다.. 사내 인트라넷웹페이지마저도...
        (이 pc는 보안패치되고있었고.. 시만텍안티바이러스 12월25일자까지 업데이트되어있었음)

▶ 확인:
      - 해당 pc로 핑은 됨... 
        - 넷미팅으로 연결하려하였으나 바탕화면 공유불가능
        - 다른방법으로 어찌어찌해서 원격으로 데스크탑에 연결...(비밀^^)
        - ping에 의한 네트웍연결테스트 전혀이상없음
        - nslookup에 의한 dns확인 : 이상없음..  쿼리 이상무
        - host파일 조사했으나 이상없었음
        - 일체의 인터넷익스플로어로  인터넷하는것 불가능
        - telnet 테스트: 80포트로 어떤 인터넷URL을 열려고할때 커넥션 실패

▶ 추측
      - 80포트 연결을 방해하는 프로그램이 있을것이다...

▶ 조치
      - 포트view가능한 tcpview.exe실행하여 조사
       - wupdate라는 프로그램이 7474포트로  외부( )에 연결중인것 확인
       - pskill로 프로세스 종료...
       - 프로세스 종료하자마자 인터넷 사용에 문제가 없어졌음...
       - 해당파일 삭제 (압축하여 시만텍에 메일로 전송-> 암호를 걸어압축해야함)
      - 레지스트리에서 해당파일관련항목 삭제 (xp에선 msconfig만 실행해도 쉽게제거가능)
      - 방화벽정책 추가:  7474포트 block,     69.64.36.189 아이피 block
   
- 놀랍게도 wupdate라는 파일은 시만텍안티바이러스 프로그램 폴더 내부에 위치하고있었답니다.
마치 시만텍업데이트 파일인것 처럼.....
-해당파일을 제가 사용하는 pc에서 일부러 실행해보았는데.. 실행파일은 없어지고 램에서만 가동...
시만텍이 있을경우에 디스크에 카피되든듯합니다...   트렌드오피스스캔도 역시 확인못하더군요..
- 따라서 트렌드에도 해당파일을 보냈습니다.
- wupdate란 파일은 메일에 의해 전파되는 웜종료인데.. 예전것에서 패턴이 좀 변형된듯합니다...
 
▶ 사후 진행상황
-트랜드에서 오늘오전에 임시패턴을 만들어 제공해주어서 오전에 배포하였으며  오후엔 새로운 정식패턴이 배포되어 해당 바이러스를 잘 치료하고있습니다.
- 근데 아직도 시만텍에선 연락이 없군요..  시만텍안티바이러스사용하는 pc들은 계속 고생중입니다.
==========================================

안녕하세요? 트렌드마이크로입니다.

보내주신 wupdate.exe는 WORM_RBOT.BTQ로 확인되었으며,

임시 패턴 4.148.04부터 진단이 가능합니다.

아래의 내용을 참고하시기 바랍니다.

We analyzed the following file that you submitted and verified this to be malicious. Trend Micro will soon detect this malicious file as follows:

wupdate.exe_ (156,921 bytes) as WORM_RBOT.BTQ

We are glad to inform you that the detection for WORM_RBOT.BTQ is now available for
downloading using CPR 4.148.04.
=============================

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안 (Security)/Virus

TrendMicro의 Officescan client는  중앙서버에 의해 패턴업데이트가 일괄자동업데이트되어서 편리합니다.
하지만 장기간 출장으로 인해  본사서버에 접속할수없는 경우 패턴업데이트가 안되어 낭패를 볼수있습니다.
로밍모드를 사용해야만  회사바깥에서도  Trend 사이트로부터 패턴업데이트를 자동으로 받을수있습니다.
이것은 사용자가 약간의 조작을 해야만 가능합니다.
Roaming  mode 선택과 상관없이 기본적으로  서버에 접속이 불가능할땐  Roaming mode로 동작할수있도록  설계가 변경되어야할듯싶습니다.    (이런정책을 서버에서 선택할수 있도록  프로그램이 수정되길 바라마지않습니다.  사실 일반사용자가 Roaming mode를 enable하거나 disable시키도록 한다는게  번거로운거죠..   사용자들이 피곤해할 요소입니다.)

▶ Roaming Mode 사용하기
1. 마우스오른쪽 버튼을 눌러 나타나는 Enable Roaming Mode를 클릭해야합니다.

2. 그러면 아래와 같이 로밍모드 아이콘을 보실수있습니다. (약간 다른 모양의 아이콘이 작동)
3. 회사에 들어오실땐 다시 Disable Roaming Mode 메뉴를 실행해주셔야합니다.

▶ Roaming Mode 사용하기위해 서버에 세팅할 사항
Clients//Client Privileges/settings메뉴에서 상단에 보이는 욥션을 선택해줍니다.

▶ Roaming Mode Client도 회사서버에서 업데이트하도록 세팅하기
하지만 회사외부에 나갔다가 내부에 들어왔는데  로밍모드를 해지하는것을 잊고있다면....
업데이트가 문제가 될수있습니다. 이를 위해서  OfficeClient서버쪽에 아래와 같이
Roaming Mode  Client 도 업데이트하도록 세팅해주어야합니다.
이제부턴  Roaming mode로 작동하는 클라이언트들도 이상없이 업데이트되게 됩니다.
officescan 관련 trendmicro download site
http://www.trendmicro.com/download/product.asp?productid=5

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안 (Security)/Virus

기업에서 사용하는 기업용백신중 트렌드마이크로의 OfficeScan은 백신치료능력도 뛰어나지만
관리자가  중앙에서 정책을 만들어 배포하여 클라이언트들을 중앙관리하는데 정말 좋습니다.
오피스스캔을 최초 설치할때의 DCE버전은 3.*인데..  5.0으로 업그레이드하시길 권유해드립니다.

최근 바이러스추세는 윈도우 정상 시스템이 바이러스가 심은  dll파일을 돌리게 하는 형태입니다.
보안을 책임지는 관리자는 정말 어렵기만 합니다.  실행파일기반 웜은 대부분 즉시 종료시킬수있지만
dll을 기반으로 해서 동작하는 웜은 즉시 치료가 매우 어렵고 대부분 리부팅해야 치료가 가능합니다.
5.3버전이 나오면  dll로 돌아가는 바이러스의 프로세스를 실시간으로 제거할수있다고합니다.
좀더 기다려야할듯싶습니다.  어쨋든 현재로선 5.0이 최신이니   이것부터 올려보도록 해야겠습니다.

DCS (Damage Cleanup Engine/Template)는 오피스스캔에서 PC를 실시간으로 보호하는 솔루션
DCE (Damage Cleanup Engine)는 실제 실행파일로서 tsc.exe입니다.
DCT (Damage Cleanup Template)는 Damage Clean을 위한 db역할로서 파일명은 tsc.ptn입니다.
Generic Clean: DCS 5.0버전에 의해 실행되는 새로운 형태의 클린업솔루션입니다.
->바이러스 패턴(LPT$VPN.***)으로 발견되는 바이러스의  프로세스종료/레지스트리 복원기능등을 수행

▶ OfficeScan 7.x 에서의 DCS 5.0 적용방법
DCS 5.0 은2006 년현재OfficeScan 7.0 과7.3에만 적용가능합니다.

1. OfficeScan 중앙관리서버에 Hot-Fix 또는 패치설치(버전에 맞는것으로)
OfficeScan 7.0 한글버젼 Hot-Fix 1286:
http://download.antivirus.co.kr/tsc/osce70kr_hotfix1286.exe
OfficeScan 7.0 영문버젼 Patch 5.1 :
http://www.trendmicro.com/ftp/products/patches/osce_70_win_en_patch5.1.exe
OfficeScan 7.3 영문버젼 Patch1.1 :
http://www.trendmicro.com/ftp/products/patches/osce_73_win_en_patch1.1.exe

2. DCE 5.0 파일적용
1) 다운로드 : http://download.trendmicro.co.kr/tsc/dce50/tsc.exe
2) Program Files\TrendMicro\PCCSRV\Admin 폴더에덮어쓰기 합니다.

연결된 모든 클라이언트들에  자동으로  5.0 버전의 DCE파일이클라이언트들에 배포됩니다.

제품관련 FAQ : http://esupport.trendmicro.com
홈페이지 :http://www.antivirus.co.kr, http://www.antivirus.com

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안 (Security)/Virus