웹사이트에 접속만 해도 감염되는 악성코드

한국정보보호진흥원(KISA, 원장 황중연)은 국내ㆍ외 800여개의 홈페이지를 해킹하여 홈페이지 방문 PC를 감염시키는 대규모 악성코드 은닉 사고를 탐지하여 차단하였다고 4일 밝혔다.

이번 사고는 국내ㆍ외에 11개의 악성코드 유포지 및 800여개의 경유지가 탐지된 사고로, ‘ARP 스푸핑’이라는 해킹기법을 사용하여, 1대의 PC가 악성코드에 감염되는 경우 동일한 네트워크에 있는 다른 PC들이 정상적인 사이트를 방문하더라도 악성코드에 감염될 수 있어 그 파급효과가 크다.

KISA에 따르면, 악성코드 경유지로 이용된 800여개 홈페이지로 인해 국내ㆍ외 PC 약 3만여대가 감염된 것으로 밝혀졌다. KISA는 11개 유포지에 대한 긴급 차단, 주요 ISP 등 유관기관과의 공조에 의해 800여개 경유지 사이트에 대한 통보 및 조치, 감염 PC에 대한 통보 및 해결방법 안내 등 모든 피해 시스템에 대한 보안조치에 만전을 기하고 있다.

이번 사고는 Adobe Flash Player나 MS 윈도우의 보안패치를 적용하지 않은 인터넷 사용자가 악성코드 경유사이트를 방문하면 자동으로 악성코드가 설치되며, PC가 느려지는 증상이 발생한다. 또한 이 악성코드는 국내 온라인게임인 한게임, 던전 앤 파이터, 리니지 등의 게임 ID 및 패스워드를 유출하고, 취약한 PC로의 자동전파, 전송데이터 변조 및 악성코드 삽입, 추가 악성코드 다운로드, 백신프로그램 종료, 네트워크 장애 유발 등 다양한 악성 행위를 수행한다.

특히 이번 사고는 사용자 및 주요 포털사이트들이 상대적으로 업데이트에 소홀한 Adobe Flash Player의 취약점을 악용하고 있어 9.0.124.0 버전 이상으로의 업데이트가 필요하다. 아래 사이트를 방문하면 자신의 PC에 설치되어 있는 Flash Player의 취약성 여부를 알 수 있다. 만약 취약할 경우 업데이트 할 수 있는 링크도 제공하고 있다.
http://www.adobe.com/kr/support/flashplayer/ts/documents/tn_15507.htm

또한, 마이크로소프트사의 보안취약점인 MS06-0141) 취약점도 악용하고 있기 때문에, MS 윈도우즈 업데이트 또는 보호나라(http://www.boho.or.kr)에서 제공하는 「PC 자동보안 업데이트」 프로그램을 사용하여 윈도우를 최신버전으로 유지해야 한다.

아울러, 백신 프로그램을 최신 버전으로 업데이트하면 감염을 예방할 수 있다. KISA는 국내 안티바이러스 업체들과 공조하여 사용자가 백신 프로그램을 최신 버전으로 유지할 경우 해당 악성코드에 감염되지 않도록 조치하였다.

KISA는 이번 사고에 악용된 Adobe Flash Player에 대한 보안업데이트 권고문을 이미 지난 4월 인터넷침해사고대응지원센터 홈페이지를 통해 공지한 바 있다. 이 권고문에 따라 사용자들이 9.0.124.0 버전으로 업그레이드 하였다면 금번 사고의 피해를 줄일 수 있었을 것이다.

특히, 상대적으로 이용자가 많은 주요 포털사이트의 경우 홈페이지 소스코드의 간단한 수정만으로도 사이트를 방문하는 일반 사용자 PC의 Flash Player가 자동으로 업데이트 될 수 있어 피해 확산 방지에 큰 효과를 볼 수 있다.

또한, 웹서버 관리자들은 SQL Injection, 업로드 취약점 등 웹해킹에 많이 이용되는 취약점을 제거하도록 웹 프로그램을 수정하고, 웹방화벽 등 웹 보안 솔루션을 활용하는 것도 바람직하다고 밝혔다.

개인 PC 사용자나 홈페이지 운영자가 해킹이나 악성코드 감염이 의심스러운 경우 인터넷침해사고대응지원센터(http://www.krcert.or.kr)나 보호나라(http://www.boho.or.kr, 전화 : 118)를 통해 기술지원을 받을 수 있다.

--------------------------------------------------------------------------------
1) MS06-014 취약점(MDAC 취약점) : MDAC(Microsoft Data Access Components)은 응용프로그램이 데이터베이스와 같은 저장매체에 접근할 수 있도록 인터페이스를 제공하는 다양한 소프트웨어 컴포넌트 집합이다. MS06-014 취약점은 MDAC에 포함된 RDS(Remote Data Services) 컴포넌트가 초기화되는 과정에서 ActiveX의 보안설정이 제대로 적용되지 않아 발생하며, 공격자가 설정한 임의의 스크립트 실행이 가능하다.

MS 오피스 2007 인증안하고 사용하기

먼저 실행->regedit으로 아래의 키값을 찾는다

HKEY_LOCAL_MACHINE\Software\Microsoft\Office\12.0\Registration

아래의 키값을
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\12.0\Registration\{90120000-0030-0000-0000-0000000FF1CE

이이름으로 바꺼준다
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\12.0\Registration\{91120000-0011-0000-0000-0000000FF1CE

그리고

DigitalProductID
ProductID

이2개의 키값을 삭제 하고 레지스트리 편집기 닫는다

아래의폴더로 가서

C:\Program Files\Common Files\microsoft shared\OFFICE12\Office Setup Controller\Proof.ko
Proof.XML 이파일을 텍스트 편집기로 불러와서 편집한다.

이부분을

</Feature> <Feature Id=”SetupXmlFiles” Cost=”1248″>
<OptionRef Id=”AlwaysInstalled”/>
이렇게 편집한다.

</Feature>
Change the AlwaysInsalled to neverInstalled so that the line looks like following:
<OptionRef Id=”neverInstalled”/>

편집후 저장한다

오피스 2007 얼티메이트 버전에서 확인했음

아래는 원본

To use this hack to crack activation on Office 2007, you need to install Office 2007 without any serial number or product key.

If you have installed Office 2007 with a product key or serial number, do the following to clean remove Office 2007 of product key:

Close all Microsoft Office applications.
Run Register Editor by clicking on Start -> Run, and then type “regedit” in the Open box and press Enter key.
Navigate to the following registry key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\12.0\Registration

Note that inside the registry key, there should be another subkey that resembles the following:

HKEY_LOCAL_MACHINE\Software\Microsoft\Office\12.0\Registration\{90120000-0030-0000-0000-0000000FF1CE

or

HKEY_LOCAL_MACHINE\Software\Microsoft\Office\12.0\Registration\{91120000-0011-0000-0000-0000000FF1CE

If there is more than one registry entries or subkeys that reference Microsoft 12.0 registration, open up each subkey,
and then identify the product by the ProductName value data until you locate the subkey for the product which you want
to remove the existing product license key.
For example:

ProductName=Microsoft Office Professional Plus 2007
ProductName=Microsoft Office Enterprise 2007

Once found the correct registry subkey, delete the following values:
DigitalProductID
ProductID

Close Registry Editor.
Once Microsoft Office 2007 has been installed with no product key, proceed with the following steps:

In Windows Explorer, brose to the following folder:
C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\Proof.en\

Right click on Proof.XML file, select “Open With…” in the right click menu.
In the “Open With” window, select Notepad to be used to open the XML file. In Vista, if you can’t see the Notepad option,
 simply double click the “Other Programs” to unhide it.
Scroll down to the bottom of the Proof.XML to locate the following lines:

</Feature> <Feature Id=”SetupXmlFiles” Cost=”1248″>
<OptionRef Id=”AlwaysInstalled”/>
</Feature>

Change the AlwaysInsalled to neverInstalled so that the line looks like following:
<OptionRef Id=”neverInstalled”/>

Save the Proof.xml file. In Windows Vista, you may need to take ownership and grant full access permission to yourself
before able to modify the file.
You can now launch Microsoft Office 2007 application such as Word, Excel, Powerpoint, Outlook and etc without prompting
for activation.
As usual, as it’s a hack, and before you purchase a valid product key for it, you won’t be able to AND can’t access
 any updates or Microsoft Office Online.

Disclaimer: This article is for educational and informational purpose only.

Get help or contribute tips or tricks at My Digital Life Forums.

악성코드와 유해가능 프로그램
 
악의를 가지고 다른 사람들에게 피해를 주기 위해 만들어진 프로그램을 악성코드 또는 악성프로그램이라 합니다. 이와 다르게 악의를 가지고 만들지는 않았으나, 사람들을 귀찮게 하거나 컴퓨터 이용에 불편을 주는 프로그램을 유해가능 프로그램이라 합니다.

악성프로그램의 종류로는 바이러스, 웜, 트로이 목마, 해킹툴 등이 있습니다.

악성코드는 그 제작 기법이 워낙 다양 하므로, 프로그램의 범주로 묶을 수 없는 것들도 많습니다. 따라서 프로그램보다 더 넓은 의미인 "코드"라는 단어를 사용하여 악성코드라고 부릅니다.

유해가능 프로그램은 악성코드와는 다르게 제작자가 나쁜의도로 다른사람을 괴롭히기 위해서 만들었다고 보기 어려운 프로그램을 말합니다.

스파이웨어, 애드웨어 등이 여기에 포함됩니다.

애드웨어나 스파이웨어처럼 우리에게 이상한 광고 팝업을 띄운다거나 인터넷 익스플로러의 시작페이지를 고정시킨다거나 하는 증상은 우리를 괴롭히는 것임이 확실합니다.

하지만 유해가능 프로그램은 원래의 목적이 우리를 괴롭히기 위해서가 아니라, 광고를 통해 광고수익 올리거나 사이트 이용자를 늘리기 위한 목적으로 만들어졌습니다.

물론, 이로 인해 본의 아니게 우리에게 정신적인 피해를 입히고 있습니다.

유해가능 프로그램은 처음부터 악의적인 목적으로 만들어지지 않았기 때문에 주로 인터넷 익스플로러에서 실행되는 프로그램으로 제작됩니다.

또한 프로그램의 성격상 백신제품으로 "치료"하는 것이 아니라, 애드웨어 제거툴로 "제거"하여야 합니다.

사실 언론이나 보안업체쪽에서도 "악성코드"라는 단어는 상당히 잘못 사용되고 있습니다.

애드웨어를 악성코드로 정의하여 악성코드 제거프로그램 이라고 사용되는 제품도 있지만, 애드웨어는 말씀드린 것처럼 악성코드와 그 성격과 목적이 다릅니다. 출처. 안철수바이러스 연구소

사실 저도 스파이웨어나 애드웨어가 악성코드인줄 알고 그렇게 사용해왔는데 .. 잘못된 표현이라는 것을 이제서야 알게 되었습니다. 실제로 며칠전에 포스팅한 제목도 유해가능 프로그램을 악성코드라고 표기를 했고 그 치료프로그램을 만든 사이트 역시 악성코드라는 단어를 사용하고 있네요.

일반적으로 화면의 움직임이 이상하거나.. 자꾸 이상한 팝업창이 뜨거나..
일정 시간마다 특정사이트로 접속되는 현상, 또 로그인이 안되는 등 인터넷을 사용하는 도중 발생하는 대부분의 현상은 유해가능 프로그램으로 애드웨어나 스파이웨어로 인한 현상으로 보면 될것 같고요,

컴퓨터 속도가 느려지거나 프로그램 실행이 되지 않는다든지, 부팅이 안되거나 하는 현상은 악성프로그램의 영향이라고 생각하면 될것 같군요.  

지금 본인의 컴퓨터가 악성프로그램이나 유해가능 프로그램에 감염되어 있는지 확인해보세요!

에베레스트(Everest)  Ultimate Edition v4.50

에베레스트가 뭔지 모르는 분은 없죠?
오늘은 에베레스트 프로그램에 대하여 소개를 하고자 합니다.

아는 지인의 집에 갔다. 그런데 나름 컴퓨터를 잘 한다고 소문난 나에게 컴퓨터가 이상하다고
고쳐달라고 한다.
컴퓨터가 일단 켜지지 않아 안전모드로 부팅도 해보고, 최근에 성공한 방법으로 부팅도 해봤지만..
부팅이 되지 않는다 ..
이른바 블루 스크린이라고 하는 치명적이고 수정 불가능한 문제가 발생한것이다.

어쩔 수 없이 컴퓨터 샀을때 준 시디 다 내놔보라고 하여 윈도우 시디를 찾는다.
윈도우를 설치하고 나면 기본적은 주변기기들은 플러그앤플레이를 지원하므로 자동으로 찾아서 설치한다.

문제는 윈도우 설치 시디가 인식을 못하는 사운드 카드나 그래픽 카드입니다.
이 장치들이 정상적으로 작동을 하기 위해서는 해당 제품의 모델명을 알아야 하는데
아는 방법은 컴퓨터를 뜯어서 직접 보는 방법도 있지만.. 많이 불편하다..

이때 사용하는 프로그램이 에베레스트이다.

이 프로그램을 설치하여 실행하면 현재 컴퓨터의 CPU부터 해서 랜카드, 그래픽카드, 사운드카드등의 주변장치를 검색하여 어느회사의 제품인지.. 속도나 메모리, 하드디스크등등의 컴퓨터에 대한 모든 정보를 보여준다.
여기서 설치가 제대로 안된 제품을 확인하고 드라이버를 인터넷으로 받아서 설치하면...
지인으로부터 역시 최고라는 말을 듣고 밥도 배불리 얻어먹을 수가 있다. ㅎㅎ

결론적으로 자주 사용하진 않지만 윈도우 및 주변기기 설치시 매우 유용하게 활용되는
괜찮은 프로그램인것이죠.

해킹의 경유지로 사용되는 무선 인터넷 (네트워크)

무선랜은 유선랜에 비하여 선이 없어 책상주변을 깔끔하게 할 수도 있고..
그 편리성때문에 이미 많은 사람들이 사용을 하고 있다 ..
무선랜이 설치된 노트북만 가지고 다녀도 왠만한곳에서는 인터넷이 연결되어 사용할 수 있는 것만 보아도
무선 공유기를 많이 사용하고 있다는 것을 알 수가 있다.
그런데 이 무선 공유기 (access point)가 보안에 취약하고 이 취약점을 이용하여 해킹을 시도하는 사례가 빈번하게 발생된다고 한다.

무선 네트워크의 보안 취약점에 대하여 자세히 알아보자..

나야 노트북이 없으니까 남의 무선 인터넷을 스틸해서 사용할일은 없지만 여기저기 날아다니는 무선신호를 받아서 아무곳에서나 인터넷을 이용하는 사람들입장에서 보면 그리 탐탁치 않은 정보가 될것이다.
언젠가 전 직원이 회식하는 날... 회사 관계자로부터 연락이 와서 무료 동영상을 하나만 열어달라는 전화가 왔었다. 제법 파워있는 분의 요청이라 당장 회사나 PC방으로 달려가서 열어줘야 할 상황이었는데 때마침 직원이 노트북을 가지고 있었다.
음식점이라 희망을 갖진 않았지만 무작정 노트북을 열었는데 무선 인터넷이 잡히는 것이다.
그것도 아주 상태 양호...
덕분에 간단하게 처리를 한 기억이 있다.

하지만 우리집에서 사용하는 무선랜의 경우 내가 사용하는 무선공유기의 무선신호를 이용하여 누군가가 해킹을 시도하거나 해킹을 한다고 할때 행킹당하는 서버에는 나의 아이피가 로그에 남아 있게 될것이고 본의 아닌 피해를 입을 수도 있기때문에 무선랜에 접근하기 위한 보안을 설정해야 하지 않을까.....