해당 악성코드를 찾는 하나의 예제입니다 .
예제라고는 하지만
저는 실제로 이러한 과정들을 통해서 채집한 악성코드들을
안철수연구소로 보내서 V3 엔진에 추가한 경험이 꽤 있음을 밝혀 두고
그리고
본문에 언급이 될 곰 플레이어나
gsshop의 특정 링크가 악성코드를 유포한 것은
아니라는 것을 미리 밝혀 둡니다 .
글벌레 , 아주 가끔이기는 하지만
곰 플레이어로 무료 영화를 즐겨 봅니다 .
무료 영화로 올라오는 것들 중에 보면 괜찮은 영화인데
볼 기회를 놓쳤던 영화들이 심심치 않게 올라오니까요 .
며칠 전에도 무료 영화를 하나 보는데
클릭질의 발광으로 그만 영화 중간 중간에 나오는 광.고를 클릭하고 말았습니다 .
손가락질의 발광이라고 해야 하나 ? ㅠ ㅜ 어쨌든 ...
물론 무료 영화를 보니 광고를 좀 보아 주는 것도 좋은 일인지도 모르지만 ,
글벌레에게는 샌드박시를 실행하지 않고 가는 사이트들은 정해져 있습니다 .
그 외의 사이트들에 방문시에는 대개 경우에 샌드박시를 이용해서 방문을 합니다 .
샌드박시를 이용할 수 없는 상황에서는 가급적 정해진 사이트들만 이용합니다 .
물론 글벌레는 평소에 인터넷 서핑의 대부분의 시간을
샌드박시 없이 방문하는 사이트들에서만 보내긴 하지만요 ...
그런데 곰 플레이어는 샌드박시를 통하지 않고 맨 시스템에서 사용하는 탓에
광.고 클릭질로 전혀 예상치 않았던 사이트를 열고 말았습니다 .
이제 제가 밟은 간단한 과정을
여러분은 즐겨찾기의 방문 기록을 이용해
수상했던 사이트 , 평소 잘안 갔었고
인지도도 낮은 사이트라서 해당 사이트 방문시
악성코드에 감염이 되었을지도 모를 개연성이 있었던 사이트에 적용해 보시기 바랍니다 .
글벌레 클릭질 후에
클릭한 손가락을 한 대 때려준 후
인터넷 익스플로러가 뜨자마자 곧바로 닫았기에
광.고 클릭으로 어디를 방문했는지 몰라서
우선은 광고로 방문한 사이트를
인터넷 익스플로러의 즐겨찾기를 통해 찾았습니다 .
그 결과가 옆 그림에서 빨간 박스친 사이트이고
그 주소는 http:// ****.gsshop.com이었습니다 .
주소를 확인 후
일단은 찾은 사이트를 바이러스토탈을 통해서 검사를 하였습니다 .
관련 글 보기 - 2010/10/09 - [유용한 팁들] - virustotal (바이러스토탈)
검사 결과 모든 사이트 검사 도구들이 해당 사이트는 안전한 사이트라고 말하고 있습니다만 ,
글벌레는 의심이 좀 많은가 봅니다 .
이 사이트를 이번에는 Wepawet을 통해서 검사를 해보았습니다 .
관련 글 보기 - 2010/05/31 - [Lecture/Computer] - Wepawet (alpha)
검사를 해보니
①에서 보이는 것처럼 상태는 괜찮은 사이트라고 뜹니다 .
참고로 상태가 수상한 경우에는 suspicious라고 뜹니다 .
상태가 심각하면 malignant라고 뜰지도 모른데
아직까지는 wepawet에서 그렇게 표시되는 사이트를 본 적은 없습니다 .
그런데 허걱 !!
맨 아래에 보니까 ②와 같이 악성코드가 있다고 뜨고 있습니다 .
도데체 저게 악성코드일까 ? 아닐까 ?
밝히기 위해서는 해당 파일을 수집해야 하는데
swf 파일 같은 경우는 웹 브라우저에서는 그냥 열리기 때문에
웹 브라우저로 수집한다는 것은 좀 어려운 일입니다만
저는
파이어폭스를 실행하고 부가 기능에서
Shockwave Flash를 사용 안함으로 하고 나서
②의 URL을 복사해서 파이어폭스 주소창에 붙여 넣었습니다 .
Shockwave Flash가 사용 안함 상태이기 때문에
위와 같이 파일 다운로드 창이 떴고 , 여기서 파일 저장을 통해
해당 파일을 채집하였습니다 .
제가 분석가라면 채집한 파일을 직접 열어 보겠지만 ,
저는 파일을 열어서 분석은 못하고 , 하고 싶은 마음도 없습니다 .
사실 저도 그런 일반 사용자라서 제 글이
제 글을 읽는 분들에게 더 도움이 되는 면이 있을지도 모르고요 .
분석을 하지 못하는 관계로 채집한 파일을 바이러스토탈로 검사를 보냈습니다 .
검사 결과 해당 파일은 악성코드가 아니였습니다 .
그리고 바이러스토탈 검사 결과의 맨 아래에 보이는 hash(MD5) 값이
wepawet의 검사 결과에서 보이는 ③과 같음을 통해 제가 채집한 파일이
제대로 채집된 것임이 확인이 가능했고요 ...
그런데 만약 이 파일이 악성코드였다면 어찌해야 할까요 ?
그런 경우라면 아래 링크 글에서 소개한 Anubis와 ThreatExpert를 통해
채집한 악성코드가 내 시스템에 준 영향을 가늠하는 것이 가능합니다 .
관련 글 보기 -
2010/12/23 - [유용한 팁들] - 악성코드가 내 컴퓨터에 한 짓은 ? - Anubis
2010/12/25 - [유용한 팁들] - ThreatExpert Submission Applet - 원 클릭으로 악성코드 분석하기
참고로 ThreatExpert의 경우에는 http://www.threatexpert.com/submit.aspx에서
직접 파일을 제출해도 분석이 가능합니다 .
추천에는 다음 로그인은 필요 없습니다 .
그러나 이왕에 추천해 주실려면 다음에 로그인 후에 추천을 해주시면 더 좋은데요 .....
다음에 로그인 추천은 다음에 로그인 하고 이 글에서 추천을 한다고 되는게 아니고요 .
아래 손꾸락 모양 버튼 오른쪽으로 구독이라고 보이실 터인데 그 구독을 눌러서 다음에 로그인 후에
글벌레를 구독하시면 이 글의 제목이 My View란 탭에서 보일겁니다 .
그 글 제목을 클릭해 뜨는 창에서 추천해 주시기 바랍니다 ^ ^*
추천은 제 글이 유익했었다고 보내 주시는 메시지이고
그런 메시지는 글벌레가 글을 계속 발행할 수 있는 힘의 근원이 되어 줄겁니다 ^ ^*
'Lecture > Computer' 카테고리의 다른 글
| 호스트(hosts) 파일 메모장에서 여는 방법 및 편집하는 방법 (309) | 2019.04.23 |
|---|---|
| 인터넷 익스플로러 원래대로 (인터넷 익스플로러 초기화, 인터넷 옵션, 검색 공급자, 바로 연결) (1) | 2019.04.02 |
| 시스템 이미지 백업 시 증분 백업과 차등 백업의 차이 (incremental / Differential backup) (317) | 2013.06.22 |
| 삭제 안 되는 악성코드 완벽 제거하기 (238) | 2011.11.30 |
| TCPView , Process Explorer , Autoruns 를 이용한 시스템 분석 (325) | 2011.08.24 |
| TCPView - 아직 못다 한 이야기 (166) | 2010.12.19 |
| 인터넷 익스플로러는 TCP 80 포트로만 접속하나요 ? (3) | 2010.06.20 |
| 호스트 ( Hosts ) 파일에 낙서하지 말란 말이야 ~ (0) | 2010.06.01 |
댓글