스티브 잡스 관련 악성코드 유포 주의


스티브 잡스가 세상을 떠난지 일주일이 다 되어갑니다. 세상을 혁신의 물결로 물들였던, 시대의 아이콘 스티브 잡스의 죽음은 전세계 IT 팬들, 애플 팬들을 안타깝게 하고 있는데요. 그런 안타까움을 역으로 이용하는 나쁜 녀석들이 있나봅니다. 스티브 잡스 악성코드가 유포되고 있다는 소식이 나오고 있는데요.


스티브 잡스 악성코드

(사진=안철수 연구소)




이메일을 통해서 퍼지고 있는 이 악성코드는 "스티브 잡스가 살아있다( Steve Jobs Alive! )" 라고 하는 제목을 갖고 있는 형태라고 합니다. 스티브잡스의 죽음을 안타까워하는 사람들의 마음을 역이용해서 악성코드를 유포하는 웹 페이지로 유도하고 있습니다.

해당 메일에 담겨있는 링크를 타고 가시면 악성코드가 여러분의 컴퓨터는 악성코드에 감염이 되고, worms.jar 라는 파일이 자동으로 다운로드되어 동일한 메일을 대량으로 보내는 행동을 하는 소위 '좀비PC'로 오염되게 됩니다. 특히 악성코드가 설치되었을 경우 여러분의 아이디와 비밀번호가 대량으로 유출 될 수 있으므로 대비를 해야한다고 경고하고 있습니다.

악성코드가 담겨 있는 것으로 확인된 메일의 제목은 'Steve Jobs Alive', 'SteveJobs Not Dead' 등의 패턴을 보이고 있습니다. 스티브 잡스가 죽지 않았다는 내용의 이메일을 받아보시면 열지 마시고 삭제 해주시기 바랍니다.



스티브 잡스 악성코드

(사진=애플홈페이지)




지난주 애플의 키노트에서는 키노트 생중계를 한다며 악성코드를 유포하는 사이트가 있더니 스티브 잡스의 죽음을 이용해서 돈벌이를 하려는 사람들이 있군요.

비슷한 메일을 열어봤거나 의심이 가시는 분들은 백신을 이요해서 검사를 한 뒤 치료를 받으시길 바랍니다.

[블로거 간담회] 알약 2.0 더 가볍게, 더 강력하게


알약 블로거 간담회에 다녀왔습니다. 사실 블로거 간담회는 지난주 수요일이었는데, 포스팅이 밀리고 밀려서 오늘 발행하게 되었네요. 이스트 소프트의 대표적인 백신, 사용자 수로 우리나라 최고 숫자를 기록하고 있는 알약이 알약 2.0을 새로 출시하면서 소통의 창을 열었습니다.



마침 지지난주 주말에 대한민국의 주요 웹사이트에 대한 디도스 공습이 있어서 백신 업계, 보안 업계가 비상사태여서 궁금한게 많이 있었습니다. ( 사실 저보다는 다른 분들이 궁금한게 많으신것 같았습니다. 저야 백신은 믿고 사용할 뿐,, ㅎ )

출처 : 알약 2.0 블로거 간담회 中



▶ 달라진 알약 2.0

블로거 간담회에 참석하기 전에 잠깐 노트북에 알약 2.0 베타버젼을 설치해서 테스트를 해봤습니다. 외관상으로는 달라진게 없는 것처럼 많이 바뀌지는 않았습니다. 적어도 체감상 성능이외에는 변한게 없는데요. 보안 소프트웨어 특성상 인터페이스의 큰 변화는 피해야 한다는 결정이 있었다고 하네요.

그래도 새로움을 강조하기위해서 약간은 달라졌으면 어떨까 생각도 해봤습니다. "우리 새로와 졌어요~" 하고 어필을 하되, 직관적으로 인식할 수 있는 인터페이스를 적용해서 새로움과 편리함을 동시에 잡아 보는게 어떤가, 살짝 아쉽기도 했습니다. ( 하지만 백신이 이뻐서 쓰는건 아니기 때문에.. ㅎ )

아무튼 달라진 알약의 큰 특징은 4가지로 요약이 됩니다.



1. 경량화

백신이 무거우면 사용하기 꺼려집니다. 여기서 무겁다는 것은 실행 중, 혹은 유휴 상태에서 얼만큼 메모리를 잡아 먹느냐를 가지고 판단 할 수 있습니다. 알약은 이번에 경량화 작업에 집중을 했다고 합니다. 이전 기업용 버전에서 기능과 성능적인 측면을 달성하고 배포용 무료버전에서는 성능을 최대한 유지하면서 경량화를 해서 저사양 PC에서도 무리없이 돌아갈 수 있도록 하는데 총력을 다했다고 합니다.

실제로 알약 2.0 베타 버젼을 설치하고 검사를 해본 결과 체감상 약간 빨라진 느낌이 들었습니다. 정확한 벤치마킹 테스트는 해보지 않았지만 느낌상 확 빨라졌다는 생각이 들었습니다. ( 실제로 가벼워 진 느낌이었습니다. 기분탓일까요? )



2. 자가보호

한간에 알약이 자폭을 한다는 캡쳐사진이 떠돌았습니다. 실제로 알약의 분석팀이 분석해본결과 알약 자체가 악성코드에 감염된 사례였다고 합니다. 그래서 알약 실시간 감시 엔진이 그 감염된 파일을 잡은 모습이 마치 자폭을 하는 듯한 인상을 심어 준것이지요.

사실 이전에는 자가보호라는 개념이 많이 부족했다고 합니다. 하지만 백신들이 널리퍼지고 악성코드 유포자들, 바이러스 제작자들이 백신 자체를 공격하게 되면서 1,700만명의 사용자를 보유하고 있는 알약이 많은 해커들의 타겟이 되었다고 합니다.

그래서 이번 알약 2.0에서는 강력한 자가보호 기능을 추가했다고 합니다. 뭐랄까요. 자기자신부터 지켜야 사용자의 PC도 지킬 수 있겠지요?  그것이 곧 백신 프로그램의 신뢰도와 직결 될 테니 말입니다.




3. 트리플 엔진

알약의 내부 구조는 3개의 엔진이 상호보완적으로 돌아가고 있다고 합니다. 이스트 소프트 자체 엔진인 테라엔진, 비트디펜더 엔진, 소포스 엔진. 이렇게 3개의 엔진이 차례로 실행되어 바이러스를 탐지하고 치료한다고 합니다.

바이러스가 퍼지는 패턴은 국가마다 다릅니다. 아무리 세계적인 백신이라도 특정 지역에서 유행하는 바이러스들의 탐지율이 떨어질 수 있습니다. 알약은 이에 테라엔진으로 국내에 유행하는 악성코드에 대응하고 그 이외에 것을 비트 디펜더와 소포스 엔진을 사용해서 필터링 해낸다고 합니다.

소포스 엔진은 옵션으로 선택 할 수 있어서 저사양 PC에 부담이 덜 가도록 배려도 했다고 하네요.




4. 64비트 OS 완벽 지원

이제 컴퓨터들이 64비트로 출시되고 있습니다. 저도 이번에 연구실 컴퓨터가 64비트로 되어 버렸는데요. 우리가 그 동안 사용했던 컴퓨터들은 대부분 32비트였습니다. 즉, 컴퓨터의 구조 자체가 다르다는 것이지요. 아직 대다수가 32비트여서 메인 마켓은 32비트 시장에 있지만, 앞으로는 64비트 컴퓨터 들이 많이 보급될 것을 보고 64비트에서 돌아갈 수 있도록 지원을 한다고 합니다.

다만 트리플 엔진 중, 소포스 엔진은 아직 64비트 아키텍쳐를 지원하지 않아 64비트에서는 듀얼엔진으로 밖에 사용하지 못 한다고 하네요. 그래도 소포스까지 넘어가는 비율은 극히 적기 때문에 안전하다고 합니다.


▶ 개발진 들과의 대화

이번 블로그 간담회에는 알약 2.0의 개발을 담당했던 개발진 분들이 함께해서 더욱 유익했습니다. 사무적이고 홍보적인 블로그 간담회라기 보단 알약에 대한 보다 전문적인 답변을 할 수 있도록 직접 개발진들이 오셔서 질의 응답 시간도 가졌습니다.

소프트웨어를 소개하는 자리에 개발진이 참석하는게 어쩌면 당연할지도 모르지만 그렇지 않은 경우도 많이 있거든요. ㅎ 아무튼 알약에 대해서 궁금한것, 모르던 것도 많이 알게 되었습니다.

ps. 제가 카메라가 없어서 사진은 찍지 못 했네요. ㅎ 다음 블로그 간담회나 모임에 대비해서 카메라나 하나 사둬야겠습니다. ㅎ




애드찜 악성코드 유포 해결..


어제 갑자기 제 블로그를 통해서 악성코드가 유포되는 것을 봤습니다.

2010/08/15 - [블로그] - 내 블로그가 악성코드 유포를??

rook.html 이라는 파일을 다운로드 하게 하고, 그 파일을 통해서 알 수 없는 세팅을 유도하고 있는 파일이었는데요.
악성코드 배포의 출처를 보니 애드찜이었습니다. ( 테스트를 해봤고, 애드찜 위젯을 달아 놓으신 다른 분들도 모두 rook.html을 유포하고 있었습니다. )

그래서 일단 애드찜 위젯을 내렸고, 애드찜 관리자에게 메일을 보냈었습니다.
오늘 낮에 답변 메일이 왔네요.



악성코드 유포가 감지되어 구글에 유해 사이트로 지정되었나 봅니다.
현재는 임시로 조취를 취해 놨다네요.


메일이 관리자에게서 한번, 애드찜 대표이사 분에게서 한번 왔는데요.
아마 많은 분들이 문의 메일을 보냈나 봅니다.

애드찜 홈페이지에도 공지사항으로 악성코드 유포와 관련 된 내용을 게제하고 있습니다.


아무튼 이번건으로 일부 블로거들이 구글을 비롯한 여러 사이트에서 유해 사이트 필터링에 걸리게 된 모양입니다.
본의 아니게 이런 악성 코드를 유포하게 되었는데요.
저는 다행히도 유해 사이트에 걸리지 않았네요. 필터링에 걸리게 된 분들은 어서 문의 하시고 유해 사이트등록을 해지하시기 바랍니다. ㅜㅜ

Baikinman (ばいきんまん)
Baikinman (ばいきんまん) by St Stev 저작자 표시비영리변경 금지

악성코드를 배포하는 사이트를 발견하거나 의심되는 증상이 있으면 어서어서 신고하고 해당 사이트 관리자에게 알려주어야 할 것 같습니다. ㅜㅜ



conime.exe 는 뭐하는 프로세스일까?



 항상 작업관리자를 열어서 현재 실행되고 있는 프로세스를 보는 습관이 있습니다. 어느날엔가 갑자기 conime.exe라는 프로세스가 있는 것을 보았습니다. 이 녀석은 자주 실행되는 것은 아니지만 가끔 실행 프로세스 목록에 나타나곤 합니다. 이 녀석은 어떤 역할을 담당하면 강제 종료해도 되는 녀석일까요? conime.exe에 대해서 알아 보도록하겠습니다.


* 콘솔에서 입력할 때 사용되는 conime.exe 

 conime.exe는 마이크로소프트 윈도우즈 운영체제의 한 부분으로 주로 아시아 계열의 언어를 콘솔에 입력 할 때에 쓰입니다. [시작] -> [실행] -> cmd 입력을 하거나 Alt + R 후 cmd 입력을 하여 커멘드 창을 열어서 한글을 입력해 보도록 합니다.




 하지만 문제는 콘솔 입력창을 종료하여도 conime.exe가 실행된 채로 존재하는 경우가 있다는 것입니다. 쓸모 없이 존재 할 수 있다는 것이지요. 이럴때는 그냥 프로세스 끝내기를 이용하여 강제 종료 시켜 주시면 됩니다. 하지만 이로 인해서 큰 문제가 발생하는 경우는 드물기 때문에 저는 크게 버벅대지 않는한 그냥 내버려 두는 편입니다.


* conime.exe를 없애 보자.

 하지만 커멘드 창에서 작업을 하지 않으시는 분들은 이 conime.exe가 불필요 하실 겁니다. 그런 분들을 위해서 conime.exe를 제거하는 방법을 알려드리겠습니다.

1) 레지스트리 편집기를 엽니다. ( [시작] -> [실행] -> regedit 입력 혹은 Alt + R 후 regedit입력 )





2) [HKEY_CURRENT_USER\Console]까지 찾아 갑니다.





3) "LoadConIme"라는 녀석의 DWORD 값을 새로 생성해서 값은 "0"으로 해줍니다.




 conime.exe 와 이름이 비슷한 웜이나 바이러스, 트로이안이 존재 할 수 있으므로 의심되시면 바로 검사를 하시기 바랍니다. conime.exe는 종료해도 커맨드 창이 실행되면 레지스트리 설정이 1일경우 다시 시작되므로 메모리가 아까우시면 강제 종료하셔도 다음 사용시에는 재 시작됩니다.






svchost.exe는 어떤 프로세스 일까?


윈도우즈 작업관리자를 켜서 현재 작동중인 프로세스들을 보면 svchost.exe라는 프로세스가 다수 존재하는 것을 볼 수 있습니다. 뭐지 몰라서 강제 종료를 할 경우 간혹 시스템 자체가 다운 되는 경우가 발생합니다. 이 svchost.exe에 대해서 알아보도록 하겠습니다.


* svchost.exe는 DLL 파일과 관련 된 프로세스이다.

svchost.exe는 DLL 파일을 관리하는 Win32 서비스들을 위한 일반적인 호스트 프로세스입니다.  다시 말해서 동적라이브러리( DLL 파일 )로 부터 실행되는 여러 프로세스들의 host 역할을 하는 프로그램으로 윈도우즈에서 실행되는 대부분의 프로그램을 호스팅합니다. 이 프로세스는 윈도우즈에서 필수적인 프로세스로 윈도우즈가 제대로 동작하기 위해서는 꼭 필요한 필수적인 프로세스입니다.

 운영체제가 점점더 복잡해 짐이 따라 Microsoft는 DLL( 동적 라이브러리 ) 인터페이스를 이용하여 복잡한 소프트웨어들을 구동하도록 했습니다. 하지만 DLL들은 그들 자신이 혼자서 구동 될 수 없고, 적어도 하나의 프로그램에 의해서 실행되어야 합니다. svchost.exe는 운영체제와 라이브러리 프로세스 사이에 연결다리 역할을 하게 됩니다. 

svchost.exe

작업관리자에서 많이 보이는 svchost.exe



 svchost.exe라는 파일을 통해서 동적라이브러리 ( DLL )들은 효과적으로  Win32 서비스들을 간단하게 이용할 수 있도록 호스팅할 수 있습니다. 이런 호스팅 동작에서 svchost.exe는 그 자신의 인스턴스를 여러개 생성할 수 있는데, 정상적인 경우 대부분 4개에서 8개의 svchost.exe가 동작하게 됩니다. 이렇게 여러개의 생성된 svchost.exe를 이용하므로써 운영체제의 보안과 안정성을 향상시킬 수 있습니다.

 만일 정상적으로 동작하는 svchost.exe 프로세스를 강제로 종료한다면, 경우에 따라서는 윈도우즈 운영체제 자체가 동작을 멈추에 재시작 동작에 들어 갈 수 도 있습니다.



* svchost.exe와 닮은 위험한 녀석들

svchost.exe는 운영체제 구동에 핵심적인 프로세스입니다. 이런 중요한 프로세스에는 항상 짝퉁이 존재하기 마련입니다. 가장 많이 본 짝퉁은 바로 svhost.exe입니다. 이 녀석은 트로이안 바이러스 일 수도 있고, 웜일 수도 있습니다. svchost.exe라는 풀네임이 아니라면 바이러스 일 가능성이 높기 때문에 당장 중지하시기 바랍니다. 그리고 svchost.exe의 점유율이 비정상적으로 높을 경우에는 바이러스의 감염이 우려되므로, 백신프로그램을 사용하여 검색해 보시기 바랍니다.





작업관리자 ctfmon.exe의 정체는?


 작업관리자를 띄우면 ( Ctrl + Alt + Del  or  Ctrl + Shift + ESC ) ctfmon.exe라는 프로세스를 볼 수 있습니다. 이 녀석은 시작 프로그램에도 등록이 되어 있어서 시스템 시작시에 실행이 됩니다. ctfmon.exe를 시작 프로그램 목록에서 체크를 해제 하여도 다음 시스템 가동시에는 어김없이 설정이 되어 있습니다.

ctfmon.exe

msconfig로 본 시작 프로그램




* ctfmon.exe 은 무엇인가?

 ctfmon.exe 프로세스는 마이크로 소프트 오피스 패키지에 포함된 프로스세입니다. 이 프로세스는 Alternative User Input Text Input Processor ( TIP )와 마이크로소프트 오피스 XP 랭귀지 바 ( Microsoft Office XP Language Bar )를 활성화 시킵니다. 이 프로그램은 시스템에 필수적인 요소는 아니기 때문에 필요 없으신 분들은 제거 하셔도 됩니다. 하지만 ctfmon.exe를 제거 하시면 Microsoft Office 패키지가 정상적으로 작동하지 않을 수 있으므로 제거 하지 않으시는것을 추천합니다.

ctfmon.exe

ctfmon.exe 가 실행시키는 랭귀지바



* ctfmon.exe가 트로이안 바이러스라고?

 네, 동일한 이름의 트로이안 바이러스가 존재합니다. 만일 ctfmon.exe라는 프로세스가 두개 이상 로드가 되어 있거나 컴퓨터에 이상이 있다면 바이러스 스캐닝 프로그램을 이용하여 검사를 해보시기 바랍니다. 이 트로이안 바이러스는 여러분이 웹 브라우져로 인터넷을 돌아다닐때 로그인 정보와 패스워드 등을 가로 챌 수도 있으며, 특히 인터넷 뱅킹을 할 때에는 더욱더 위험합니다.


* ctfmon.exe의 짝퉁

 제가 어디선가 본 짝퉁 시리즈에는 T와 F의 소문자가 쉽게 구별하기 힘들다는 단점을 이용한 이름 짝퉁이 있었습니다. 즉, cttmon.exe나 cffmon.exe 같은 녀석들이 바로 그런 녀석들이죠. 또 ctmon.exe나 cfmon.exe와 같이 좀 허전한 녀석들도 있구요. 여기서 말하는 진짜는 ctfmon.exe 뿐이며, 이름마져도 같은 바이러스도 있기 때문에 의심이 가시면 안티 바이러스 프로그램으로 스캔해보시는게 좋습니다.


* ctfmon.exe 제거 하기

 "ctfmon.exe 따위 필요없어, 메모리가 아깝다." 라고 하시는 분들과 IE( Microsoft Internet Explorer )를 이용하여 입력을 할 때 가끔 한영 전환이 안되시는 분들을 위해서 ctfmon.exe를 제거하는 방법을 알려드리겠습니다. 일단 이 ctfmon.exe라는 녀석은 msconfig나 알약같은 프로그램을 이용해서 시작 프로그램에서 제외를 하여도 귀신같이 살아나서 실행되는 프로세스이기 때문에 몇가지 파일을 지워야 합니다.

 1. 현재 실행중인 모든 응용프로그램들을 종료 합니다.

 2. 작업관리자를 켜서 현재 실행 중인 ctfmon.exe를 강제 종료합니다. ( 작업관리자는 Ctrl + Alt + Del 이나 Ctrl + Shift + ESC를 누르시면 켜실 수 있습니다. )



3.  이제 msimtf.dll과  msctf.dll을 삭제 합니다. msimtf.dll -> msctf.dll 순으로 삭제해야 합니다. [시작]->[실행]( 혹은 윈도우키 + R )을 클릭하셔서 아리와 같이 차례대로 입력을 합니다.




4. [시작]->[실행]을 클릭하시고 msconfig를 입력하시고 확인 버튼을 누릅니다. 시작프로그램 탭에서 ctfmon.exe 를 체크 해제 하시고 확인을 누른후 재부팅 해줍니다.

5. 재부팅 후 ctfmon.exe라는 프로세스가 실행되고 있지 않으면 제거가 성공한 것입니다.



ctfmon.exe는 동일 이름의 트로이안 바이러스도 있기 때문에 유의 해야 합니다. ctfmon.exe는 큰 문제는 없지만 쓸모도 없는 프로세스라는 평이 있습니다. 오히려 장점보다는 단점이 많다는 얘긴데, 가끔 다름 프로그램과 충돌을 하기도 한다더군요. 이상이 없으신 분들이라면 제거하지 않으시고 가만히 두셔도 무방하지만 자꾸 충돌과 같은 문제를 일으킨다면 제거 하셔서 원활한 컴퓨터 사용을 도모하셔야 할 것입니다.

 그래도 원활한 사용이 어려우시다면 백신을 이용해서 PC를 검사해 보시기 바랍니다.


+ Recent posts