지식인에서 간혹 알려드린 다운로드 링크가 서버상의 문제로 짤리는 경우가 있어서 블로그에서 지속적으로 포스팅해가면서 변경사항을 업데이트할 예정입니다. 

무료백신의 대부분은 개인용으로 배포되고 있기 때문에 기업이나 사업자는 법적으로 사용하실 수 없습니다.

가급적이면 속도가 느리더라도 안전과 빠른 업데이트를 위해 백신제작사 홈페이지에서 직접 다운로드하도록 링크를 걸어놓았습니다.

성능이 인정받았으며(VB100 취득여부 등) 인지도가 어느정도가 있는 백신만 간추린 것입니다. 성능의 우열을 가리기는 힘들지만, 개인에 따라 좋고 나쁨은 있을 수 있습니다. 주관적 의견을 마치 객관적인 사실인냥 태클거는 행위 없으셨으면 좋겠습니다.

국내 백신


EstSoft - 알약(ALYac) 공개용 => 다운로드

Ahnlab - V3 Lite => 다운로드

 

해외 백신


Avast - Avast Free Antivirus => 다운로드 (페이지 내 "Download Now" 이미지 클릭!)

Avira - Avira Free Antivirus => 다운로드 

AVG Threat Labs - AVG Free Edition => 다운로드

Microsoft - MSE => 다운로드 (Windows XP 32bit)
                           다운로드
 (Windows Vista/7/10 32bit)
                           다운로드
 (Windows Vista/7/10 64bit)

Kaspersky - Kasperskey Free => 다운로드 (페이지 내 "DOWNLOAD NOW" 이미지 클릭!)

Comodo - Comodo Free Antivirus 2019 => 다운로드

MalwareBytes - Anti-Malware Free => 다운로드 (말웨어 전용백신 / 설치 마지막에 "평가판 활성화" 체크 해체 후 설치!)



현재 이 글을 포스팅 하는 이 시점에도 끊임없이 지식인을 통해서 DDoS 관련 질문이 쏟아지고 있어, 이렇게 블로그를 통해서 수많은 분들의 궁금증을 대신합니다. 

기존에 제 블로그에는 좀비PC에 관련해서 많은 글들을 포스팅 하였고, 이러한 글들이 유용하게 씌였으리라 생각합니다. 이 포스팅은 기존에 작성해 놓은 포스팅의 글을 대부분 빌려썼기 때문에 사실 상 "끌어올리기 성" 글로 이해하셔도 될 듯 싶습니다. 


많은 분들이 보호나라릉 이용해주시고 있습니다만, 현재 피해가 계속되어지고 있고, 아직 활동하지 않은 잠재적인 PC도 존재하는 만큼 보호나라의 악성 봇 페이지를 통해서 정상적인 진단을 받기란 매우 어렵습니다. (관련 글 : http://blog.bpscal.com/104)

또한 이번 계기로 다시 netstat 8080포트 니, svchost.exe 니 뭐니 해서 유언비어가 돌아다니고 있습니다. 유언비어에 따라 컴퓨터에 잘못된 처방을 내릴 수 있어서 매우 위험합니다. (관련 글 : http://blog.bpscal.com/30)

가장 추천드리는 해결방법은 백신을 이용하라는 것입니다. 세계적으로 정보가 수집되다 보니 국내백신보다는 아마도 해외백신을 선호하고 있습니다. 

Avast 사의 Avast Home Edtion ( http://www.avast.co.kr/ )
Avira 사의 Antivir Free 버젼 ( http://www.free-av.com/ )
AVG 사의 AVG ( http://www.avgkorea.com/ )
MIcrosoft 사의 MS Essentials ( http://www.microsoft.com/security_essentials/default.aspx ) 정품인증필요 !



1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.
파일을 마치 OpenAL 인 것처럼 서명해놓았다.

실행시 자동으로 네이트온 사용자에게 "여자가 서있을때, 왜 자꾸 다리를 꼽고 있나요? 
 www.cixhjxxx.com" 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존과 다르게 "해외 유명 DLL" 을 이용하여 백신 감시망을 피했다
이외에는 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=e228bac1f026d695e600a34b68eb40cef0bd5bacb0ba2b193ef5ebf91b2e79a8-1297516865


3. 치료법

현재 해당 바이러스는
 Microsoft Essential(http://www.microsoft.com/security_essentials/) , Mcafee(http://www.mcafee.com/kr) 에서 치료 및 삭제가 가능하다.



1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.
파일을 마치 TN프록시 모듈 (중국어 버전) 인 것처럼 서명해놓았다.

실행시 자동으로 네이트온 사용자에게 "고급 술집의 고급서비스 카드 프로모션 
www.yabsxxx.com" 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존과 다르게 "데이터 폭탄" 기능을 추가로 넣어 Avast의 감시를 피하였다.
이외에는 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=ebba6bb18985bd57508ec468d16d3a36fb57869d6036aa10266a32600d2bea8d-1295968622


3. 치료법

현재 해당 바이러스는
 Microsoft Essential(http://www.microsoft.com/security_essentials/) , Antivir (http://www.avira.com/) 에서 치료 및 삭제가 가능하다.

오랜만에, 리뷰를 적는 것 같습니다. 오늘은 네이버 지식인 도중에 접하게 된 "보호나라" 에 대해서 리뷰해볼까 합니다.
"보호나라"는 한국인터넷진흥원에서 운영하고 있는 보안정보 사이트 입니다. 좀비PC을 즉석에서 진단 할 수 있는 서비스로써 DDOS 때 큰 인기를 받은 사이트 였습니다. DDOS 전용 백신을 제공해주는 것은 물론, 각종 보안 정보를 게재하고 있습니다.


악성 봇 감염 실시간 확인 서비스

1. 원리

  보호나라는 컴퓨터의 파일을 일일히 점검하여 해당 아이피는 악성 봇(좀비PC) 이다. 라고 진단 내리는 것이 아닙니다. 보호나라에서 이미 언급하였듯이 (http://www.boho.or.kr/pccheck/pcch_03_02.jsp?page_id=3) DDOS 공격이 일어나는 경우, DDOS 명령을 하달하는 악성코드를 분석하여, 명령을 하달하는 서버를 추적합니다. 악성코드는 명령을 받기 위해서 지속적으로 명령을 하달하는 서버에 접속요청을 합니다. 한국이용자의 접속을 관리하는 ISP에서 해당 서버로 지속적으로 접속요청을 하는 한국 PC의 아이피 리스트를 수집합니다. 이 아이피 리스트를 통해서 좀비PC다. 아니다를 가려내는 것입니다.

2, 문제점

  DDOS 악성코드는 날로 발전하고 있습니다. 또한 명령을 하달하는 서버가 차단당한다면 충분히 다른 서버를 이용할 수 있도록 악성코드를 개조하여 재배포 하고 있습니다. 이 시점에서, 신종 악성코드를 일일히 분석하여 명령을 하달하는 서버를 알아내고 추적하여 접속아이피 리스트를 뽑아내는 과정에 소요되는 시간이 너무나 길다는 것입니다. 열심히 분석하고 있는 사이에 신종 DDOS 악성코드에 감염된 이용자들은 실제로 DDOS 악성코드에 감염되었다 하더라도, "악성 봇 감염 실시간 서비스" 를 이용한다 하더라도 "정상아이피" 라는 진단결과를 받을 것입니다.

해결책이 나오지 않은 시점에서 공격이 이루어지는 것을 "제로데이" 공격이라고 합니다. 제로데이 공격은 모든 보안업체의 공동의 적인 것은 사실입니다. 여기서 과연 어떠한 업체가 먼저 "해결책"을 생각해 내느냐에 따라 백신의 등급이 결정이 될 수 있습니다. 보호나라는 이러한 "해결책"을 생각하는 것에 너무나 많은 시간이 소요되고 있습니다.

또한 맥어드레스와 같은 고유값을 수집하지 않고 아이피만 수집하여 리스트를 만들기 때문에 얼마든지 유동아이피에 의해 DDOS 감염이 되지 않았음에도, "감염의심" 이라는 아리송한 진단결과를 받을 수 있습니다.  이 부분은 이미 보호나라에서도 인정하는 부분입니다.

이러한 문제점을 본다면, 보호나라의 실시간 확인 서비스 진단결과를 보고 좀비PC 유무를 따지라는 것은 문제가 있습니다.


원격지원 서비스

1. 원리

  네이트온의 원격지원과 같이 서비스 신청을 할 경우에는 직접 전문가가 소프트웨어를 통해 신청자의 컴퓨터를 조종하여 악성코드를 진단/치료 해주는 서비스 입니다. 직접 전문가가 진단을 해주는 만큼, 악성 봇 감염 확인 서비스의 문제점을 보완할 수 있습니다.
 
2. 문제점
  
  무료로 지원하고 있는 원격지원 서비스는 국내 다른 어떠한 곳에서도 시행하지 않는 파격적인 서비스 입니다. 하지만 수동으로 이루어지고 있는 만큼, 서비스 신청시간이 정해져 있고, 서비스 대기자에 따라서 실제로 지원을 받을 수 있는 날이 미루어 질 수 밖에 없기 때문에 정작 필요할 때 바로바로 서비스를 받지 못합니다.

악성코드의 기능에 따라 다르겠지만, 우선 감염되었다는 것 자체가 위험할 수 있습니다. 특히 정보유출 기능을 가진 악성코드에 감염되어 원격지원 서비스를 신청했을 경우에는 서비스를 받기 전까지는 컴퓨터를 이용 할 수 없게 됩니다. 컴퓨터를 이용하여 인터넷 작업을 할 경우, 로그인시에 개인정보가 유출될 수 있고, 웹서핑만으로도 악성코드에 의해 정보유출이 가능하기 때문에, 제때제때 서비스를 받아야 합니다.

따라서 원격지원 서비스를 이용하여라. 라는 것은 치료전까지는 컴퓨터 이용을 하지 말라는 뜻과 같기 때문에, 감염이 되면 먼저 원격지원 서비스를 이용하라 라는 주장은 억지가 있습니다.

감염PC 맞춤형 전용백신

1. 원리

  백신엔진을 통해 수집된 "신종 DDOS 악성코드" 에 관하여 치료할 수 있는 전용백신을 개발, 배포하고 있습니다. 악성코드가 감염된 시점에서 진단할 필요가 없는 악성코드까지 진단하는 무거운 백신을 일일히 받을 필요 없이 특정 악성코드만 잡을 수 있는 전용백신을 이용함으로써 특정 악성코드에 대해서 빠르게 진단/치료가 가능합니다.
 
2. 문제점
  
  전용백신을 올려놓은 게시판을 실제로 봐도 그렇듯이, 실제 악성코드 갯수와 비교하였을 때 전용백신의 갯수가 상당히 적습니다. DDOS 악성코드의 갯수가 상당히 많은데 진단할 수 있는 진단백신이 적다면, 실제로 좀비PC가 되었다 하더라도 치료할 수 있는 백신을 찾지 못하는 사태가 발생할 수 밖에 없습니다. 

  업데이트 이루어지지 않는 것은, 결국 신종악성코드는 치료하지 못하는 "맞춤형 전용백신 게시판"의 이용률을 떨어뜨릴 것이고, 유명무실되는 결과를 초래할 수 있습니다.

  또한 전용백신 개발을 지나치게 "국내백신 업체"로 한정한 결과, 국내에 아직 보고되지 않은 DDOS 툴에 대해서는 분석이 필요한 "바이러스 샘플" 을 수집하기 어렵습니다. 막상 해외에서 개발된 악성코드가 국내에 피해를 줄 때는 소 잃고 외양간 고치는 격이 되는 경우가 많습니다. 

해외에서 이루어지고 있는 DDOS 관련 악성코드에 대해서는 샘플을 해외백신 업체로 부터 제공받아 분석하고 업데이트하여 항상 발 빠른 대처가 되어야 합니다.

1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.
파일을 마치 중국의 QQ 메신져 인 것처럼 서명해놓았다.

실행시 자동으로 네이트온 사용자에게 "누가 동전이나 오이를 이렇게 접을수 있나요 
www.xendxxxx.com" 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존의 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=a06b7e34d3c5643e365613f0fe7559505d54bbf13f1ad62a56d342e183420724-1295179448


3. 치료법

현재 해당 바이러스는
 Antivir(http://www.antivir.com), Avast(http://www.avast.co.kr 에서 치료 및 삭제가 가능하다.


1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.
파일을 마치 알리바바 ActiveX 모듈 (중국어 버전) 인 것처럼 서명해놓았다.

실행시 자동으로 네이트온 사용자에게 "고급 술집의 고급서비스 카드 프로모션 
www.grgbkxxx.com" 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존의 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=2217a318fad2cfb7f7dc1821216137b1670d574832b5bbf9d60463c4a58e2311-1294553798


3. 치료법

현재 해당 바이러스는
Avast (http://www.avast.co.kr/) , Antivir (http://www.avira.com/) 에서 치료 및 삭제가 가능하다.

네이트온 바이러스로 인해 comres.dll 이 손상당하신 분들을 위해 해당 정상파일을 업로드 합니다.

C:\Windows\System32 에 붙여넣기 하시면 됩니다.



1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.
파일을 마치 Live Helper 인 것처럼 서명해놓았다.

실행시 자동으로 네이트온 사용자에게 "누가 동전이나 오이를 이렇게 접을수 있나요 
www.fgdylxxxx.com 그는 ZEE라고 하는데요! 그는 여자예요! 어궁! 세상이 너무 미쳤네요!!!www.fgdylxxxx.com " 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존의 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=dc4716197130e0cde37b02d0e45c1bfa2adda064695884b1c9700494787b1ea6-1293968458


3. 치료법

현재 해당 바이러스는
 Mcafee(http://www.mcafee.com/kr), Avast(http://www.avast.co.kr 에서 치료 및 삭제가 가능하다.

1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.
파일을 마치 eMule Updater 인 것처럼 서명해놓았다.

실행시 자동으로 네이트온 사용자에게 "NINI의 학교운동회 사진 
www.yftyfjxxx.com" 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존의 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=c3ef80a1ef05d5992f17e37b00d9baae7d1e88f5e3befc3859ae0de9f2f2b7eb-1293889911


3. 치료법

현재 해당 바이러스는
Avast (http://www.avast.co.kr/) , Antivir (http://www.avira.com/) 에서 치료 및 삭제가 가능하다.

+ Recent posts