반응형
시스템 복원에서도 이런 일이 일어나는지 검토해 볼 필요가 있다고 보입니다 . |
위의 관련 글들을 보시면 글벌레는 일반적인 사용자들보다는
시스템 복원에 대하여 잘 이해하고 있음을 알 수가 있습니다 .
그런데 글벌레가 이해할 수 없는 현상을 발견하여 이에 대하여 메모를 남겨 놓습니다 .
제가 요즈음 AVG를 하나 구입하려는데
AVG Korea에서는 현재 개인용 백신 판매를 하지 않고 있습니다 .
그래서 일단은 평가판을 사용하면서 조금만 기다려 보다가
그래도 판매를 안 하면 다른 백신을 구매하자며
AVG 평가판을 사용하고 있는데요 .
이게 가만히 보니까 업데이트가 되나 ? 안 되나 ? 작동은 제대로 하나 ?
이런 생각이 드는 겁니다 . 평가판을 쓰다가 보니까 ........
그래서 EICAR 테스트 파일을 다운로드를 해봤습니다 .
관련 글 보기 - 2010/07/02 - [보안경고 & et cetra] - 내가 쓰고 있는 백신 테스트 하기
다운로드를 해봤더니 제대로 잡힙니다 ...
그래서 평가판이지만 작동은 제대로 하는구나 했는데....
여기서 일단은
위의 그림에서 실시간 감시(Resident Shield)가 검색한 날짜에 - 제가 EICAR 테스트 파일을 다운로드 했던
바로 그 날짜입니다 . - 주목을 하시기 바랍니다 .
그리고 개체 경로를 보시면 아시겠지만 , 저는 EICAR 테스트 파일을 샌드박시에서 다운로드 했다가
샌드박시를 바로 비웠습니다 . 게다가 제 샌드박시 설정은 "자동 비우기"입니다 .
관련 글 보기 - 2009/05/20 - [프로그램 리뷰] - Sandboxie - 절대로 악성코드에 안걸리는 웹 서핑 하기
평가판이지만 제대로 작동을 하는구나 했는데
다음 날부터 AVG가 짜증나게 실시간 경고를 띄우더군요 .
경고 내용을 보시면 10월 12일과 10월 13일에
EICAR 테스트 파일을 시스템 복원점(RP36)에서 잡았다는 것입니다 .
(참조 - AVG의 실시간 감시를 "사용자 처리 - 위험 요소 제거 전 확인"으로 사용 중인데
저는 습관적으로 백신들의 실시간 감시 경고를 무시합니다 . > 실제 위협이라고 느껴진 경고를 받아본 적이
별로 없어서요 ......ㅠ ㅜ)
그런데요 ...
제가 EICAR 테스트 파일을 다운로드 받았던 11일에는
시스템 복원점이 생성된 적이 없습니다 .
이러한 사실은
RP36과 RP37의 폴더 속성을 보아도 확인이 됩니다 .
제가 받았던
EICAR 테스트 파일은 비록 샌드박시를 통하기는
했지만 , 임시 인터넷 파일이었고
또 시스템 복원점이 생성되지 않을 때
삭제가 되었으므로
설령 11일에 시스템 복원점이 생성이 되었다고 해도
아니
제가 EICAR 테스트 파일을 다운로드를 하는 순간에
시스템 복원점이 생성이 되었다고 해도
시스템 복원점에 포함이 되지 않는 것이 논리적으로
맞는 것으로 보이는데
시스템 복원은 제가 EICAR 테스트 파일을 다운로드
하기 전날의 복원점에 EICAR 테스트 파일을
저장하는 이해하기 힘든 일을 했습니다 .
그렇다면 이런 시나리오가 가능해질 것으로 보입니다 .
악성코드의 침입이 없었던 시스템은 시스템 복원으로 해를 입을 것은 없을 겁니다 .
그러나
악성코드의 침입이 있었지만 , 백신이 차단해서 보호된 시스템에서
시스템 복원을 잘못하게 되면 , 백신이 차단했던 악성코드들이 시스템에 자리를 잡을 수가 있다는
시나리오 말이죠 ...
시스템 복원은 백신의 간섭이 없이 진행이 되는 과정인데 ,
백신이 차단했던 악성 파일들을 시스템 복원이 품고 있다면 말이죠 ...
그러고 보니 이런 일은 예전에도 있었는데 제가 그때는 감지를 못했었습니다 .
2010/02/03 - [유용한 팁들] - 시스템 복원점의 감염에 대한 대처 ( 악성 코드 행동 분석 記)
저는 윗글에서 시스템 복원점에 악성코드가 있었던 것은
AVG가 미진단한 것이라고 윗글 말미에 적었었는데 ,
사실은 윈도우 시스템 복원이 제가 관찰했던 악성코드를 시스템 복원에 잡아넣었던 것이죠 ...
그 당시에는 제가 악성코드 파일들 관찰을 자주 하고
그 결과를 블로그에 자주 올렸었으니까요 ......
많은 사용자들이 V3 Lite , Avast 등등의 각종 백신으로 치료되지 않는
시스템 복원점 감염 때문에 다음 지식이나 네이버 지식iN에 질문들을 올리는데요 ...
이런 일이 일어나는 것은 사용자의 실수가 아니고 , 백신의 헛점이 아니고
마이크로소프트가 제공하는 윈도우 시스템 복원 도구의 결함 때문인 것 아닐까요 ?
이 글이 유익했다면 아래 손꾸락 모양의 추천 버튼을 꾹꾹 눌러주시기 바랍니다 .
추천에는 다음 로그인은 필요 없습니다 .
그러나 이왕에 추천해 주실려면 다음에 로그인 후에 추천을 해주시면 더 좋은데요 .....
다음에 로그인 추천은 다음에 로그인 하고 이 글에서 추천을 한다고 되는게 아니고요 .
아래 손꾸락 모양 버튼 오른쪽으로 구독이라고 보이실 터인데 그 구독을 눌러서 다음에 로그인 후에
글벌레를 구독하시면 이 글의 제목이 My View란 탭에서 보일겁니다 .
그 글 제목을 클릭해 뜨는 창에서 추천해 주시기 바랍니다 ^ ^*
추천은 제 글이 유익했었다고 보내 주시는 메시지이고
그런 메시지는 글벌레가 글을 계속 발행할 수 있는 힘의 근원이 되어 줄겁니다 ^ ^*
추천에는 다음 로그인은 필요 없습니다 .
그러나 이왕에 추천해 주실려면 다음에 로그인 후에 추천을 해주시면 더 좋은데요 .....
다음에 로그인 추천은 다음에 로그인 하고 이 글에서 추천을 한다고 되는게 아니고요 .
아래 손꾸락 모양 버튼 오른쪽으로 구독이라고 보이실 터인데 그 구독을 눌러서 다음에 로그인 후에
글벌레를 구독하시면 이 글의 제목이 My View란 탭에서 보일겁니다 .
그 글 제목을 클릭해 뜨는 창에서 추천해 주시기 바랍니다 ^ ^*
추천은 제 글이 유익했었다고 보내 주시는 메시지이고
그런 메시지는 글벌레가 글을 계속 발행할 수 있는 힘의 근원이 되어 줄겁니다 ^ ^*
반응형
'보안경고 & et cetra' 카테고리의 다른 글
ClamAV의 comres.dll 오진의 건 (1) | 2013.02.21 |
---|---|
랜섬웨어 (ransomware)를 제거하기 위한 마지막 방법 (INTERNET CRIME COMPLAINT CENTER) (27) | 2012.12.26 |
구글 크롬 (Google Chrome) 탭을 클릭 시 새 창으로 열리는 버그에 대한 대처법 (0) | 2012.09.01 |
문자 메시지 받고 피싱 사이트에 직접 가보니 황당 (4) | 2012.05.17 |
알약 또는 V3 Lite 등 백신을 아무 데서나 받으면 안 되는 이유 (7) | 2011.10.26 |
Sandboxie (샌드박시)와 네이버 툴바 ( 네이버 세이프가드) 충돌 보고 (8) | 2011.05.13 |
DDoS(디도스) 악성코드 등의 감염 예방을 위하여 우리가 할 일 (6) | 2011.03.08 |
어제(2011년 3월 4일 금요일) 발생한 DDoS(디도스) 공격 악성코드에 대한 "완벽" 대처법 (5) | 2011.03.05 |
댓글