Lecture/Computer

인터넷을 돌아다니다가 감염된 악성코드 밝혀내기

글벌레 2011. 10. 16. 09:35
반응형
 
오늘 쓰는 글은 인터넷 서핑을 하다가 악성코드에 감염이 된 경우
해당 악성코드를 찾는 하나의 예제입니다 .

예제라고는 하지만
저는 실제로 이러한 과정들을 통해서 채집한 악성코드들을
안철수연구소로 보내서 V3 엔진에 추가한 경험이 꽤 있음을 밝혀 두고

그리고  
본문에 언급이 될 곰 플레이어나
gsshop의 특정 링크가 악성코드를 유포한 것은

아니라는 것을 미리 밝혀 둡니다 .

글벌레 , 아주 가끔이기는 하지만
곰 플레이어로 무료 영화를 즐겨 봅니다 .

무료 영화로 올라오는 것들 중에 보면 괜찮은 영화인데
볼 기회를 놓쳤던 영화들이 심심치 않게 올라오니까요 .

며칠 전에도 무료 영화를 하나 보는데
클릭질의 발광으로 그만 영화 중간 중간에 나오는 광.고를 클릭하고 말았습니다 .
손가락질의 발광이라고 해야 하나 ? ㅠ ㅜ 어쨌든 ...

물론 무료 영화를 보니 광고를 좀 보아 주는 것도 좋은 일인지도 모르지만 ,
글벌레에게는 샌드박시를 실행하지 않고 가는 사이트들은 정해져 있습니다 .

그 외의 사이트들에 방문시에는 대개 경우에 샌드박시를 이용해서 방문을 합니다 .
샌드박시를 이용할 수 없는 상황에서는 가급적 정해진 사이트들만 이용합니다 .
물론 글벌레는 평소에 인터넷 서핑의 대부분의 시간을
샌드박시 없이 방문하는 사이트들에서만 보내긴 하지만요 ...

그런데 곰 플레이어는 샌드박시를 통하지 않고 맨 시스템에서 사용하는 탓에
광.고 클릭질로 전혀 예상치 않았던 사이트를 열고 말았습니다 .     

 글벌레의 샌드박시(Sandboxie) 관련 글 뭉테기
 2009/05/20 - [프로그램 리뷰] - Sandboxie - 절대로 악성코드에 안걸리는 웹 서핑 하기
 2009/09/18 - [프로그램 리뷰] - WinX DVD Ripper
 2010/01/04 - [프로그램 리뷰] - Sandboxie 3.42 판올림
 2010/02/20 - [Lecture/Computer] - 체험판을 제한 없이 쓰기
 2011/05/13 - [보안경고 & et cetra] - Sandboxie (샌드박시)와 네이버 툴바 (네이버 세이프가드) 충돌 보고

이제 제가 밟은 간단한 과정을
여러분은 즐겨찾기의 방문 기록을 이용해
수상했던 사이트 , 평소 잘안 갔었고
인지도도 낮은 사이트라서 해당 사이트 방문시
악성코드에 감염이 되었을지도 모를 개연성이 있었던 사이트에 적용해 보시기 바랍니다 .


글벌레 클릭질 후에
클릭한 손가락을 한 대 때려준 후
인터넷 익스플로러가 뜨자마자 곧바로 닫았기에
광.고 클릭으로 어디를 방문했는지 몰라서
우선은 광고로 방문한 사이트를

인터넷 익스플로러의 즐겨찾기를 통해 찾았습니다 .

그 결과가 옆 그림에서 빨간 박스친 사이트이고
그 주소는 http:// ****.gsshop.com이었습니다 .



주소를 확인 후
일단은 찾은 사이트를 바이러스토탈을 통해서 검사를 하였습니다 .

관련 글 보기 - 2010/10/09 - [유용한 팁들] - virustotal (바이러스토탈)

검사 결과 모든 사이트 검사 도구들이 해당 사이트는 안전한 사이트라고 말하고 있습니다만 ,
글벌레는 의심이 좀 많은가 봅니다 .

이 사이트를 이번에는 Wepawet을 통해서 검사를 해보았습니다 .

관련 글 보기 - 2010/05/31 - [Lecture/Computer] - Wepawet (alpha)


검사를 해보니
에서 보이는 것처럼 상태는 괜찮은 사이트라고 뜹니다 .

참고로 상태가 수상한 경우에는 suspicious라고 뜹니다 .
상태가 심각하면 malignant라고 뜰지도 모른데
아직까지는 wepawet에서 그렇게 표시되는 사이트를 본 적은 없습니다 .

그런데 허걱 !!
맨 아래에 보니까 와 같이 악성코드가 있다고 뜨고 있습니다 .

도데체 저게 악성코드일까 ? 아닐까 ?
밝히기 위해서는 해당 파일을 수집해야 하는데
swf 파일 같은 경우는 웹 브라우저에서는 그냥 열리기 때문에
웹 브라우저로 수집한다는 것은 좀 어려운 일입니다만

저는
파이어폭스를 실행하고 부가 기능에서
Shockwave Flash사용 안함으로 하고 나서

URL을 복사해서 파이어폭스 주소창에 붙여 넣었습니다 . 
Shockwave Flash사용 안함 상태이기 때문에

위와 같이 파일 다운로드 창이 떴고 , 여기서 파일 저장을 통해
해당 파일을 채집하였습니다 .

제가 분석가라면 채집한 파일을 직접 열어 보겠지만 ,
저는 파일을 열어서 분석은 못하고 , 하고 싶은 마음도 없습니다 .

사실 저도 그런 일반 사용자라서 제 글이
제 글을 읽는 분들에게 더 도움이 되는 면이 있을지도 모르고요 .

분석을 하지 못하는 관계로 채집한 파일을 바이러스토탈로 검사를 보냈습니다 .

검사 결과 해당 파일은 악성코드가 아니였습니다 .

그리고 바이러스토탈 검사 결과의 맨 아래에 보이는 hash(MD5) 값이
wepawet의 검사 결과에서 보이는 과 같음을 통해 제가 채집한 파일이
제대로 채집된 것임이 확인이 가능했고요 ...

그런데 만약 이 파일이 악성코드였다면 어찌해야 할까요 ?

그런 경우라면 아래 링크 글에서 소개한 AnubisThreatExpert를 통해
채집한 악성코드가 내 시스템에 준 영향을 가늠하는 것이 가능합니다 .

관련 글 보기 -
2010/12/23 - [유용한 팁들] - 악성코드가 내 컴퓨터에 한 짓은 ? - Anubis
2010/12/25 - [유용한 팁들] - ThreatExpert Submission Applet - 원 클릭으로 악성코드 분석하기

참고로 ThreatExpert의 경우에는 http://www.threatexpert.com/submit.aspx에서
직접 파일을 제출해도 분석이 가능합니다 .

이 글이 유익했다면 아래 손꾸락 모양의 추천 버튼을 꾹꾹 눌러주시기 바랍니다 .
추천에는 다음 로그인은 필요 없습니다 .
그러나 이왕에 추천해 주실려면 다음에 로그인 후에 추천을 해주시면 더 좋은데요 .....
다음에 로그인 추천은 다음에 로그인 하고 이 글에서 추천을 한다고 되는게 아니고요 .
아래 손꾸락 모양 버튼 오른쪽으로 구독이라고 보이실 터인데 그 구독을 눌러서 다음에 로그인 후에
글벌레를 구독하시면 이 글의 제목이 My View란 탭에서 보일겁니다 .
그 글 제목을 클릭해 뜨는 창에서 추천해 주시기 바랍니다 ^ ^*

추천은 제 글이 유익했었다고 보내 주시는 메시지이고
그런 메시지는 글벌레가 글을 계속 발행할 수 있는 힘의 근원이 되어 줄겁니다 ^ ^*
반응형