[SIC tool 3.0] 바이러스의심 프로세스찾기툴

SIC (system information collector)는 바이러스들을 찾는데 도움을 주는 프로그램입니다.
치료기능을 가지고있지않습니다.  하지만 여기서 보여주는 시스템 정보는 정말 많습니다.
또한 뭐가 바이러스라고 알려주지않으니깐.. 시스템에 대한 사전 지식이 필요합니다.
정상적인 시스템에 대한 이해와 지식이있어야  비정상적인 프로세스들을 구분할수있답니다.

이 프로그램은 정상적이지않는 프로그램을 찾는데 근거를 마련해주는것이라고 할수있습니다.

▶ SIC가 보여주는 정보들…
User Information
System Information
Network Shares
AutoStart Programs
Scheduled Tasks Information
File Dump (host file)
LSP Chain Information
Network Status
Rootkit Information
Active Processes
Windows Services
Application Uninstall Information
Microsoft Patches Information
File Versions
AV Products
Disk drive(s) Boot Record

▶ 프로그램 사용법
1. Analyze 버튼을 클릭하면 시스템을 구석구석 검사해줍니다.
2. 로그파일을 봅니다.
특히 AutoStart Programs,Rootkit Information,Active Processes를 주의깊게 볼필요가 있습니다.
3. Retrieve files를 클릭합니다. 그러면 Select files for Analysis 창이 뜹니다.
4. include file창에 수상한 프로그램을 ,, exclude창에 정상적인 프로그램을 위치시킵니다.
(모르시면 include창에 그냥 두세요)
6. Compress and retrieve files를 클릭하여 파일압축
5. Send files to Trendlab을 누르시면 파일이 트렌드의 바이러스조사용 ftp로 올려집니다.
그러면 트렌드본사에서 전세계에서 올려진 파일들을 조사해서.. 바이러스치료패턴에 반영합니다.
하지만 보내준 사람에게 따로 연락이 오지않습니다 (ftp로 올렸기때문에 연락처정보가 없죠…)
**참고로 아래그림은 깨끗한 제pc에서 실행한 덕에 바이러스의심 프로세스가 없어서  ㅠㅠ
데몬툴이라는 정상 프로세스를 리스트해보았습니다.(뭐라도 넣어야 그림이 나와서…^^)

<< Download – SIC tool 3.0 >>

Posted in 보안 | Leave a comment

[RootkitBuster] 트렌드의 루트킷검색툴

트렌드에서 만든 루트킷 검색툴입니다.
연초부터 여러가지 신종바이러스들이 등장해 바쁘게 보내고있습니다.
수상한 프로세스는 있는데  실제 파일을 찾기힘든경우가 있더군요
dll형태로 등장해 윈도우시스템이 자신을 기동시키도록 하거나  실행파일을 깊숙히 숨겨놓습니다.
바이러스찾기를 시도할때는 반드시 시스템파일/숨김파일을 모두 볼수있게 미리 옵션조정해야합니다.

이름도  윈도우시스템에서 사용할것 같은 유사한 이름으로 위장하고 있어서 더욱 주의가 요구됩니다.
최근의 바이러스는 루트킷을 이용하는 경우가 늘고있기때문에.. 검색이 쉽지않습니다.
루트킷을 찾는데 도움을 받을 프로그램 하나를 소개해봅니다.

RootkitBuster는 루트킷을 검색해주는 프로그램입니다. (검색까지만 해준다는거….)
하지만 바이러스의 정체를 알면 일단 조치가 가능하기때문에.. 큰 도움이 됩니다.
사이트엔 아무런 설명도 없습니다. ㅠㅠ (사용법이 간단하기때문에..)
스캔버튼만 클릭하시면 작업이진행이 됩니다…
검색이 끝나면 검색로그를 보여줍니다..  

제작사 사이트: http://www.trendmicro.com/download/rbuster.asp
<< 다운로드 (RootKitBuster 1.6 beta) >>

<< 다운로드2 (RootkitBuster 1.6 beta) >>

Posted in 보안 | 1 Comment

http://interfacelift.com/wallpaper 와이드바탕화면

괜챦은 와이드 바탕화면을 제공하는 사이트를 소개합니다.
http://interfacelift.com/wallpaper

이 사이트는 RSS까지 제공하니 더욱 유용할듯합니다…
interfacelift RSS 링크

▶ 왜 와이드 바탕화면을 찾았나?
최근 Dell로부터 노트북하나를 받아서 BMT중입니다. XPS M1210 이라는 제품인데…
최근의 추세답게 12.1인치 와이드랍니다.  기존의 바탕화면이 그다지 어울리지않아서…찾게되었습니다.
이 사이트에서는 PC에서 사용할수있는 바탕화면 뿐 아니라 PSP용 화면까지 제공합니다.
다양한 데스크탑에 최적으로 상태로 사용할수 있도록 다양한 해상도의 wallpaper를  동시에 제공하죠..^^
아래 사이트 캡춰에서 보시는것처럼 다양한 해상도의 고화질 이미지가 풍성하게 준비된다는거…
사실 이 사이트에선 월페이퍼뿐 아니라  맥,윈도우,리눅스에서 사용할수있는
다양한 데스크탑 인터페이스를   제공합니다.
http://interfacelift.com

▶ XPS M1210의 바탕화면입니다. (이 사이트에서 다운받은 이미지를 사용했답니다.)
윈도우XP sp2와 Vista Business버전을 멀티부팅으로 사용중입니다.
먼저 비스타의 데스크탑입니다.  ^^  아이콘은 조금 크다는….
가젯은 투명도를 80%로 했을때가 자연스럽고 보기좋더군요..  ㅋㅋ
윈도우XP의 데스크탑입니다.

참고로 XPS M1210의 이미지와 제품특징을 잠깐공개해봅니다.
한마디로 올인원기능을 갖춘 풀파워의 12.1인치 와이드 노트북이라고 할수있습니다.
가격대비 성능은 최고라고 보여집니다. ^^ 
최근에 제가 본 노트북중에 가장 쓰고싶은 조건을 갖추고있습니다. 비스타도 맘대로 쓸수있다는..

▶ 제가 사용중인 XPS M1210의 사양
CPU:
인텔 코어™2 듀오 프로세서 T7200 ( 2.0GHz、4MB L2캐시、667MHz FSB)
LCD: 12.1″ WXGA + TrueLife™ /내장형카메라  (매우 선명한 디스프레이가 인상적…)
RAM: 2GB (2X512MB) DDR2 667MHz 메모리
Video: 256MB NVIDIA® GeForce™ Go 7400 터보캐시
ODD: DVD rewritable
Size: 280*205.5*28.9 mm 그리고  1.98kg
        (12인치모델로는 두텁고 무거운 느낌..튀어나온 배터리덕에 사이즈가 더 커보임)

Posted in 유용한 site | 5 Comments

[FM35] DMB가 들어간 컨버전스 MP3

제가 생각하는 MP3의 중요 포인트는… (개인적인…)
1. FM라디오가 되어야한다..(녹음도..)  -> 출퇴근,러닝시 매우 중요
2. 외장메모리용도로 사용할수있어야한다 (기가급 용량)
3. 사용시간이 길어야한다. (충전방법이 편해야)
4. 뽀대가 나야한다. ^^  디자인이 좀 있어보여야  귀뿐 아니라 눈도 즐겁습니다.
5. 사후 지원이 잘 되어야한다. (충전배터리,사후 AS등)

첨엔 아미팟미니 유사모델들에 주목하였는데  역시 마감이 불량하고  사후지원이 어려워서 drop….
동영상보는것도 별로 매력이 없습니다. 동영상은 Nexio XP30으로 넓게 봅니다…. ㅋㅋ
LG에서 나온 FM35가 여기에 가장 가깝더군요..
FM35에 대해 정리해보았습니다. 그림들은 캡춰한것이구요..^^


▶ FM35의 장점
1. DMB TV및 라디오가 된다… (2.4″ 260K TFT LCD DMB ->dmb라디오->음질상향)->녹음은?
2. 2G 메모리 (외장메모리용도로 사용가능)-> 하지만 좀 부족한듯싶지요.. ㅠㅠ
3. 사용시간이 길다 .. (DMB4시간, MP3 55시간)  : 내장형 리튬이온 DC3.7V, 950mAh 충전용 배터리
4. 뽀대가 나야한다. ^^  디자인이 좀 있어보여야  귀뿐 아니라 눈도 즐겁습니다.
5. 사후 지원 가능 (LG니까),  충전 24pin단자 -> 일반휴대폰충전기사용가능
6. 기능에 비해 슬림한 크기 (88g, 52*96*14)
7. 다양한 파일포맷지원 MP3, OGG, WMA, ASF, JPG, BMP, TXT : Ebook,포토앨범가능

Posted in MyLife | 1 Comment

[MBSA2.0] MS의 네트웍 윈도우취약점스캐너

이 프로그램은 마이크로소프트사에서 공개한 보안취약점 점검프로그램입니다….
로컬시스템뿐만 아니라 네트웍스캐닝을 통해 MS 윈도우시스템들의 취약점을 점검해줍니다.  
MBSA(Microsoft Baseline Security Analyzer)를 통해 점검된  취약점을 바탕으로
해킹,바이러스위협을 줄일수있는 여러가지 활동을 할수있습니다.

▶ MBSA가 좋은 이유
1. 무료입니다.
2. 설치및 사용법이 쉽습니다.
3. 윈도우의 취약점을 잘 점검해주며 조치법에 대해 안내해줍니다.
4. 새로운 취약점에 대한 업데이트가 제공됩니다.
5. 별도의 서버가 불필요합니다. (2000또는 XP client OS에 프로그램만 설치하면 사용가능)

다운로드할수있는 MBSA는 영문,일본어,프랑스어,독일어뿐인데요.. 우린 영어버전을 다운로드하면 되겠죠?
<< MS 다운로드 링크 (정품인증후에 다운로드 가능) >>

<< mbsa 2.0.1 다운로드 >>

MBSA 2.0.1 안내페이지: http://www.microsoft.com/technet/security/tools/mbsa2/default.mspx

MBSA가 MS에서 공개한 보안취약점스캐너라면   Nessus는 리눅스기반의 공개보안취약점 스캐너입니다.
Nessus의 경우 리눅스기반의 Nessus서버가 필수이며 별도의 클라이언트호스트가 필요하답니다…ㅌㅌ

Posted in 보안 | 1 Comment

[wupdate.exe] 인터넷방해하는 바이러스

오늘 모 지점에서 전화가 걸려왔습니다.

▶ 현상:
 
  – 네이트온은 되는데..  인터넷은 일체안된다.. 사내 인트라넷웹페이지마저도…
        (이 pc는 보안패치되고있었고.. 시만텍안티바이러스 12월25일자까지 업데이트되어있었음)

▶ 확인:
   
  – 해당 pc로 핑은 됨… 
        – 넷미팅으로 연결하려하였으나 바탕화면 공유불가능
        – 다른방법으로 어찌어찌해서 원격으로 데스크탑에 연결…(비밀^^)
        – ping에 의한 네트웍연결테스트 전혀이상없음
        – nslookup에 의한 dns확인 : 이상없음..  쿼리 이상무
        – host파일 조사했으나 이상없었음
        – 일체의 인터넷익스플로어로  인터넷하는것 불가능
        – telnet 테스트: 80포트로 어떤 인터넷URL을 열려고할때 커넥션 실패

▶ 추측
      – 80포트 연결을 방해하는 프로그램이 있을것이다…

▶ 조치
      – 포트view가능한 tcpview.exe실행하여 조사
       – wupdate라는 프로그램이 7474포트로  외부( )에 연결중인것 확인
       – pskill로 프로세스 종료…
       – 프로세스 종료하자마자 인터넷 사용에 문제가 없어졌음…
       – 해당파일 삭제 (압축하여 시만텍에 메일로 전송-> 암호를 걸어압축해야함)
      – 레지스트리에서 해당파일관련항목 삭제 (xp에선 msconfig만 실행해도 쉽게제거가능)
      – 방화벽정책 추가:  7474포트 block,     69.64.36.189 아이피 block
   
– 놀랍게도 wupdate라는 파일은 시만텍안티바이러스 프로그램 폴더 내부에 위치하고있었답니다.
마치 시만텍업데이트 파일인것 처럼…..

-해당파일을 제가 사용하는 pc에서 일부러 실행해보았는데.. 실행파일은 없어지고 램에서만 가동…
시만텍이 있을경우에 디스크에 카피되든듯합니다…   트렌드오피스스캔도 역시 확인못하더군요..
– 따라서 트렌드에도 해당파일을 보냈습니다.
wupdate란 파일은 메일에 의해 전파되는 웜종료인데.. 예전것에서 패턴이 좀 변형된듯합니다…
 
▶ 사후 진행상황
-트랜드에서 오늘오전에 임시패턴을 만들어 제공해주어서 오전에 배포하였으며  오후엔 새로운 정식패턴이 배포되어 해당 바이러스를 잘 치료하고있습니다.
– 근데 아직도 시만텍에선 연락이 없군요..  시만텍안티바이러스사용하는 pc들은 계속 고생중입니다.

==========================================

안녕하세요? 트렌드마이크로입니다.

보내주신 wupdate.exe WORM_RBOT.BTQ로 확인되었으며,

임시 패턴 4.148.04부터 진단이 가능합니다.

아래의 내용을 참고하시기 바랍니다.

We analyzed the following file that you submitted and verified this to be malicious. Trend Micro will soon detect this malicious file as follows:

wupdate.exe_ (156,921 bytes) as WORM_RBOT.BTQ

We are glad to inform you that the detection for WORM_RBOT.BTQ is now available for
downloading using CPR 4.148.04.
=============================


Posted in 보안 | 6 Comments

[OutlookDesktop] 아웃룩일정을 데스크탑에서 보자

이 프로그램은 사용에 제한이 없는 Freeware입니다.
아웃룩일정을 이용하여 개인일정을 관리하시는 분에게 대단히 유용한프로그램입니다.
데스크탑에 아웃룩일정을 보여주는것뿐아니라 직접 편집까지 가능합니다.
제 데스크탑을 캡춰한것인데요.. 일정을 직접 입력해서 넣고있는 모습입니다.

▶ OutlookDesktop의 장점
1. 화면상에 아웃룩일정을 보여준다.
  (투명도및 화면에서의 위치, 높이,폭을 조절하는것이 가능함)
2. 화면상에 띄워져있는 창에서 일정을 직접 입력하거나 수정할수있음
  (화면상의 OutlookDesktop에서 아웃룩의 Full Function지원)
3. 윈도우가 시작할때 OutlookDesktop이 바로 뜨도록 설정할수있다.

▶ OutlookDesktop의 요구사항
1. Outlook2000이나 2003, 2007 이 설치되어있어야합니다.
  (제작자홈피에선 2003까지 언급이 되어있는데 2007에서도 잘 작동합니다.)
2. Microsoft .NET Framework 2.0 이 설치되어있어야합니다.

아웃룩일정에서 정해진 View타입대로  Desktop에 그대로 보이게됩니다.
아웃룩일정이 Dailview형태이면 하루일정만 나옵니다. 아래화면처럼요…
한달view이면 거기에 맞추어셔 나오게됩니다.
제 노트북화면 캡춰한것입니다… (XP환경/Office2007한글)
오피스2007의 일정관리는 한결 깔끔해지고 사용하기 편해졌답니다….^^
하지만 조금 무거워졌다는거… ㅋㅋ

제작사 사이트: http://www.michaelscrivo.com/projects/outlookdesktop/
<< 다운로드 (OutlookDesktop 1.2) >>

Posted in Freeware | 7 Comments

[Firefox v2.0.1] 속도빠른 웹브라우저 불여우

이 프로그램은 사용에 제한이 없는 Freeware입니다.
2.0.0.1에서는 크로스 사이트 스크립팅이나 버퍼 오버플로우 등의 취약성이 수정되었다고합니다.
또한 Vista에 대한 지원사항이 추가되었다는군요… 릴리스노트부분 링크입니다.
http://www.mozilla.com/en-US/firefox/2.0.0.1/releasenotes/#vista


“FireFox” 는 Mozilla 엔진을 사용하여 제작한 웹브라우저로,
빠른 속도를 가장 큰 장점으로 꼽을 수 있습니다.
익스플로어를 겨냥한 악성코드들의 영향을 받지않으므로…
만족스런 빠른 인터넷 검색이 가능하답니다.
요즘 오페라와 함께 쓰고있는데 속도는 firefox쪽에 좀더 점수를 주겠더군요
일반적인 인터넷 서핑에 아주 좋겠죠..
뱅킹이나.. activeX가 필요한 일부사이트는 ‘익스’로 쓰시구요…

주요특징
ㆍ빠른 웹브라우징 속도
ㆍ다양한 확장기능(Extension)을 이용한 브라우저의 성능 무한 확장
ㆍ테마를 이용한 브라우저 외관 변경 기능
ㆍ주소창에 URL 대신 한글 사이트명 입력으로 편한 서핑 기능
ㆍ멀티탭 기능 (한개의 창에서 멀티탭으로 여러사이트 서핑)
ㆍ탭 브라우징 시 탭을 드래그앤드롭 형태로 이동 가능
ㆍ팝업 차단 기능
ㆍ라이브 북마크 기능 (RSS리더로 사용가능…^^)

그런데 이 Firefox를 사용할때  비밀번호를 암화관리자에 저장하지말고 사용하기를 권합니다.
해커들이 의도적으로 설치한 가짜로그인사이트에서도 비번을 자동으로 입력하게될수있다고합니다.
firefox와 ie 7.0 모두에게 해당한다고 합니다. 아래의 관련문서를 잘 읽어보세요
http://www.zdnet.co.kr/news/internet/hack/0,39031287,39153245,00.htm

다운로드하기: http://www.mozilla.com/en-US/firefox/
Firefox Popular Extension:
https://addons.mozilla.org/search.php?app=firefox&appfilter=firefox&type=E&sort=downloads
Firefox 추천Addon: https://addons.mozilla.org/firefox/recommended/

Posted in Freeware | 12 Comments

[ModSecurity] 아파치용 무료웹방화벽

IIS용 무료웹방화벽인 Webknight에 이어서 아파치용 무료 웹방화벽을 소개합니다.
ModSecurity 는 아파치를 위한 무료 웹방화벽입니다. 
상업용버전도 존재하니.. 잘 구분해서 설치해야합니다. GUN GPL라이센스를 따르는 공개버전을 사용해야…

▶ ModSecurity의 주요 특징 (KISA정리본)
1. 요청(request) 필터링
– 클라이언트로부터 웹요청이 들어올 때 맨먼저 ModSecurity가  필터링한다.
2. 우회 방지 기술
– 경로와 파라미터를 분석하기 전에 정규화시켜 우회 공격을 차단한다.
  (즉, “//”, “/”, “.”, “%00” 등 우회 공격용 스트링을 제거하고, 인코딩된 URL을 디코딩한다. )
3. HTTP 프로토콜 이해
– 엔진이 HTTP 프로토콜을 이해하기 때문에 아주 전문적이고 미세한 필터링을 수행가능.
4. POST 페이로드(payload) 분석
– GET 방식 뿐만 아니라 POST 메소드를 사용해서 전송되는 컨텐츠도 가로채어 분석가능

이 프로그램은 매우다양한 환경에 설치하실수있습니다..   
http://www.modsecurity.org/download/index.html 에 가시면 많은 다운로드링크를 보실수있습니다.
리눅스,BSD계열은 물론이고 심지어 윈도우즈 apache까지 지원하더군요…

<< 다운로드 (ModSecurity ) >>
<< 다운로드 ( Modsecurity 배포문서 ) >>

제작사 사이트: http://www.modsecurity.org/

참고해보세요….
http://blog.naver.com/mybrainz?Redirect=Log&logNo=150001485057
http://blog.naver.com/hkh119?Redirect=Log&logNo=120021203740

Posted in 보안 | Leave a comment

[WebKnight] IIS용 무료 웹방화벽

방화벽으로는 외부로부터의 침입을 막을수없게된지가 한참되었습니다.
최근에는 웹방화벽이 일반화되는 추세입니다.
하지만 비용이 비용인지라  작은 규모의 사업체에선 쉽지않은 선택입니다.
WebKnight는 무료웹방화벽으로 설치도 쉬워서 추천할만 합니다.
설치되면 IIS의 ISAPI 필터로 동작하면서  각종 침입에 대해 block하고 또 로그를 남겨주는데요..

설치한다고 해서 바로 웹방화벽으로 제성능을 낸다고 볼수없고..또는 정상적인것도 
막힐수있습니다.  사전에 철저히 점검을 하여 커스터마이징하는것이 필요합니다.
Kisa에서 WebKnight의 배포문서를 만들었다고 신문에 난적도 있었죠…
저두 오늘 다운로드해서 설치해보았습니다.  얼마나 효과가 있는지는 시간이 지나야할것같습니다.
하지만 결국 웹보안의 핵심은 안전하게 코딩된 웹프로그래밍이라고 할수있답니다.

▶ 설치
1. 다운로드받은 파일의 압축을 풉니다.
2. (자동설치)setup폴더 아래의 WebKnight.Msi 파일이나 install.vbs를 실행하면 설치됩니다.-전체적용
3. (수동설치)IIS관리콘솔에서 isapi필터등록을 한다 (setup폴더 아래의 Webknight.dll) -일부웹사이트적용
4. 설치가 마쳐지면  IIS 서비스 리스타트한다.

▶ 설정
1. 프로그램설치폴더의 config.exe를 실행하면 설정할수있는 웹페이지가 나옵니다.
2. 설정을 마치고 웹페이지를 닫을때  저장을 선택하면  됩니다.

현재 다운로드가능한 버전은 1.3인데  곧 2.0이 나온다고 하더군요…
<< 다운로드 ( WebKnight 1.3 ) >>
<< 다운로드 ( WebKnight 배포문서 ) >>
제작사페이지  http://www.aqtronix.com/?PageID=99 
이곳에서 제품다운로드및  문서들을 보실수있습니다.

▶ WebKnight의 특징 (KISA에서 정리한것입니다)
1. 낮은 보유 비용(Total Cost of Ownership)
– 윈도우즈 인스톨러 패키지와 원격 설치 스크립트 제공…
– 설정을 바꾸기 위한 그래픽 사용자 인턴페이스를 제공 (그다지 그래픽하지는 않죠..^^)
2. 운영 중 업데이트 가능
– 일부 설정의 변경을 제외하고 대부분의 설정 변경은 웹서버의 재가동을 요구하지 않음
3. SSL 보호(protection)
– ISAPI 형태로 IIS의 일부로 동작하므로 HTTPS 상의 암호화된 세션들도 모니터링 및 차단할 수 있다.
4. Logging
– 기본적으로 차단된 모든 요청에 대해 로그를 남긴다
– 로깅 전용 모드로 운영할 경우 추가적으로 모든 허용된 요청에 대해서도 로그를 남길 수 있음.
5. HTTP Error Logging
– 웹서버로부터 HTTP 에러들을 로그할 수 있도록 설정가능
– 에러 로그를 이용하여 공격을 탐지하거나 깨진 링크를 발견하거나 잘못된 설정도 쉽게 발견가능
6. 웹기반 애플리케이션과의 호환성
-Frontpage Extensions, WebDAV, Flash, Cold Fusion, Outlook Web Access,SharePoint 등과도 호환

관련되는 정보
실버님의 WebKnight에 대한 글들을 참고하세요
http://blog.naver.com/jsilverk/10012006777
http://blog.naver.com/jsilverk/10012006861
http://blog.naver.com/jsilverk/10012006930
http://blog.naver.com/jsilverk/10012007768

Posted in 보안 | 4 Comments