개요
인터넷 이용자들 누구나 한번쯤은 바이러스나 웜, 트로이목마등 악성코드에 감염되어 당황했던
적이 있을 것이고. 바이러스에 대한 최신 정보를 인지하고 있더라도, 악성코드들에 대한 원천적
인 대응책을 알지 못해서라든가, 각종 응용프로그램의 설정상의 문제 또는 악성코드들의 감염을
유도하는 방법이 교묘해지면서 또다시 감염되는 상황이 발생하곤 합니다. 이러한 점에서, 특정
바이러스에 대한 치료방법이나 대응책과 더불어 기본적으로 지켜야 할 대응원칙들이 확인되어야
할 필요가 있습니다.
본 문서에서는 일반 사용자들이 바이러스, 웜, 트로이목마, 그 밖의 의심스러운 code로부터
시스템을 보호하기 위한 원칙적인 사항들을 소개함으로써 악성 코드들에 대한 대응방안을 제시
하고, 재감염 되는 불행을 막는데 도움을 주고자 합니다.
I. 주의예방법
1. 정기적으로 백신프로그램 및 응용 프로그램 보안 업데이트
o 운영체제 및 MS사 응용프로그램 업데이트
Microsoft사 권고 및 패치사이트 : http://www.microsoft.com/security/
Microsoft사의 Protection Program을 참고하시길 바랍니다.
http://www.microsoft.com/security/mstpp.asp
o 백신프로그램 업데이트
안철수연구소, 하우리 : 매주 수요일 정기업데이트
시만텍코리아, 트랜드마이크로 : 매주 목요일 정기업데이트 (미국시간으로 수요일)
※ 4개 백신업체 모두 긴급시 수시업데이트 및 실시간 업데이트 기능 제공
2. 잠재적으로 문제를 야기할 수 있는 설정들 점검
최근 제작되고 있는 악성코드들은 운영체제나 응용프로그램등에서 사용자의 편리를 위해 제공
되는 기능들을 악용해, 사용자의 개입없이 자동으로 실행되도록 하는 경우가 많다. 그러므로,
잘못된 설정으로 인해 자신의 의지와 상관없이 악성코드에 의한 피해를 야기 할 수 있으므로
설정을 점검하여 다음과 같은 기능들을 비활성화 할 필요가 있습니다.
1) WSH (Windows Scripting Host) 기능의 비 활성화
WSH(Windows Scripting Host)를 비활성화 시키거나 제거하는 것이 첨부되어 온 .vbs 바이러스
로부터 감염되는 것을 예방할 수 있는 주요 방법 중 하나입니다. 특히 VBS(Visual Basic Script)
와 같은 형태의 E-mail의 첨부파일을 통해 주로 전파되는 악성코드에 의한 감염에 있어 서는 WSH
가 제공하는 기능성이 큰 위험요소로 작용합니다.
예를 들어 LoveLetter 웜과 같이 사용자의 개입 없이도, 자동으로 스크립트가 실행되도 록 제작된
것이 이런 기능을 이용한 것이고. WSH는 Windows의 선택적인 부분이고, 대부분의 사람들에게 필요
하지 않은 기능이기 때문에 안전하게 제거할 수 있습니다.
- Win98에서 WSH 기능 비활성화 방법
① 시작 → 설정 → 제어판 → 프로그램추가/제거 순서로 선택
② Windows 설치 탭 선택
③ 구성요소 → 보조프로그램 → 자세히 선택
④ 하단 부분에 Windows Scripting Host 항목체크 여부 확인
- Win2000에서 WSH 기능 비활성화 방법
① 시작 → 검색 → 파일또는폴더 클릭
② 찾는 위치를 C 드라이브 또는 OS가 설치된 드라이브로 선택
③ wscript.exe 파일명 입력하고 검색 클릭
④ 꼭 필요한 사용자가 아니라면 wscript.exe 파일 삭제
☞ Wscript.exe 파일을 삭제하거나 이동시키면 .vbs 파일을 열려고할 때 해당 프로그램을 찾을
수 없다는 에러가 발생하게 될 것이나, 취소(cancel)버튼만 클릭해 주면 됩니다.
사전에 이 문제를 해결하고자 한다면, .vbs와 연결되어 있는 파일을 지워버리면 됩니다.
※ 윈도우즈 탐색기 실행 → 도구 → 폴더옵션 → 파일형식 → 파일 삭제
2) 자동으로 스크립트를 실행시키는 연결 프로그램의 변경
윈도우즈 시스템에서는 실행가능 확장자를 가진 파일들은 연결프로그램에 설정되어 있는 프로그
램을 실행시킵니다.
컴퓨터 사용자의 실행여부에 관계없이 단독으로 실행될 수 있는 스크립트들의 연결 프로그램을
수정해두면, 악성 스크립트코드의 실행을 미연에 막을 수 있습니다.
- Win98 환경에서의 변경
① 내컴퓨터 → 보기 → 폴더옵션 → 파일형식 선택
② 등록된 파일형식 중 VBSscript , JScript 항목 선택
③ 파일형식 편집 → 기본값 설정 → 확인
- Win2000 환경에서의 변경
① 내컴퓨터 → 도구 → 폴더옵션 → 파일형식 선택
② 등록된 파일 형식중 확장자가 다음과 같은 것을 확인
VBS, VBE, JS, JSE, SHS, WSF을 찾아 고급 선택
③ 편집 → 기본값 설정 → 확인
3) 파일 확장자의 숨김 설정 해제
윈도우즈에서 기본적으로 제공하는 파일이름의 확장자 숨김 기능은 편리하기도 하지만,
최근 트로이목마의 공격이나 E-mail 바이러스 등에 자주 사용되고 있어 위험한 요소로 작용되고
있습니다. 예를 들어 pretty.jpg 라는 이름을 가진 파일은 숨김기능이 설정된 상태에서는 단지
pretty라는 그림파일로 보일수 있지만, pretty.jpg.exe라는 프로그램 실행 파일을 숨긴 것 일
수 있습니다.
- Win98 환경에서의 해제
윈도우즈 탐색기 실행 → 보기메뉴 → 옵션 → 모든 파일보기 체크 →
"알려진 파일형식 확장명 숨기기" 체크 해제 → 확인
- Win2000 환경에서의 해제
시작→ 설정→ 제어판→ 폴더옵션→ 보기→ "숨김파일 및 폴터 표시"체 크→ "알려진파일확장명
숨김"해제→ 확인 그러나, 불행하게도 Microsoft사의 Windows의 중요결함으로 인해 확장자 .shs,
.pif, .lnk 등으로 끝나는 경우에는 숨김기능을 해제하더라도 보이지 않는다.
Movie.avi.pif 파일과 life_stages.txt.shs 파일이 확장자가 숨겨져
Movie.avi와 life_stages.txt 파일로 보일 수 있음을 주의해야 합니다.
4) 드라이브/폴더 공유 해제
공유해야할 사항이 없다면, 가능한 공유설정을 하지 않는 것이 바람직하다.
공유가 꼭 필요한 경우라면 암호를 걸고 읽기 쓰기 권한을 제한적으로 부여하여,
네트워크 공유를 감염경로로 이용하면서 네트워크에 엄청난 부하를 일으켰던
Funlove, Nimda 등과 같 은 유형의 악성코드들의 공격을 예방할 수 있다.
① 탐색기에서 디렉토리나 드라이브를 선택 → 마우스 오른쪽 버튼클릭
② 등록정보 → "공유하지 않음" 에 체크
③ 공유를 해야하는 경우라면 "공유" 선택 → 사용권한 설정 → 암호설정 → 확인
결론 : 바이러스에 대한 정보는 많이 알고 있으면 있을수록 도움이 됩니다.
백신 프로그램회사, 바이러스연구소등에서 제공하고 있는 바이러스 관련 최신의 정보를
자주 접하도록 하고, 바이러스에 대한 적절한 예방법과 치료법을 숙지하시기 바랍니다.
감염된 파일에서 바이러스를 제거하거나 치료하는 것도 좋지만, 그보다 가장 좋은 방법
은 감염되지 않도록 예방하는 것이니 내 컴퓨터는 내가 지킨다는 적극적인 생각을 가지고
항상 바이러스에 감염되지 않도록 주의하시길 바랍니다.
참고
한국트렌트마이크로 http://www.antivirus.co.kr/
Symantec http://www.symantec.com/avcenter/venc/data/win.script.hosting.html
CERT http://www.cert.org/tech_tips/home_networks.html
irchelp http://www.irchelp.org/irchelp/security/trojanext.html
caymania http://www.claymania.com/safe-hex.html
|
통합검색