'무료백신'에 해당되는 글 53건





이스트소프트(ESTsoft)에서 개발 한 국내 무료백신 프로그램 알약(ALYac)바이러스 토탈(VirusTotal) 사이트에 

새롭게 추가되었다.


엔진 추가까지 고생하신분들께 감사의 말씀을...참잘했어요



- 바이러스 토탈 블로그 원문 보기 : http://blog.virustotal.com/2014/11/virustotal-alyac.html

We welcome ESTsoft ALYac engine to VirusTotal. This South Korean multi-engine antivirus includes its own engine called Tera plus the popular BitDefender engine. In the words of the company:

"ALYac provides differentiated service with the award winning Triple-Engines.
The ESTsoft's Tera Engine, the BitDefender Engine and the Sophos Engine establish several protection layers.

With the lightweighted engine and the memory optimization, ALYac minimizes its resource usage.
Moreover, ALYac boasts excellent detection power against variant malicious files through 'Smart Scan Technology'."


https://www.virustotal.com/ko/file/c046cdf42816d711faaf120e6f70c5a29e146595baff204e13727c4bf3c8ff29/analysis/1417052511/



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




[압랩]에서 개발한 보안 프로그램인 [V3 Lite]에서 원격코드 실행 취약점이 발견되어 취약점을 보완한 업데이트를 

공지하였다.


■ 관련 내용




이번 취약점으로 공격자가 특수하게 제작한 웹페이지를 취약한 버전의 V3 Lite 사용자에게 열람하도록 유도하여
백신을 무력화 시키거나 악성코드에 감염시킬 수 있다고 합니다.

낮은 버전의 V3 Lite 사용자는 악성코드 감염으로 인해 정보유출, 시스템 파괴 등의 피해를 입을 수 있으므로 해결방안에 따라 
최신버전으로 업데이트 권고합니다.

[영향을 받는 소프트웨어 및 업데이트 버전]

■ AhnLab V3 Lite 3.1.9.7 (Build 440) 및 이전버전 → AhnLab V3 Lite 3.1.10.4 (Build 460) 버전 



※ 프로그램 업데이트는 "V3 Lite 실행 → 우측 하단 업데이트" 메뉴를 실행하여 업데이트 진행



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



호스트(Hosts, Hosts.ics) 파일 변조를 통해 국내 인터넷 뱅킹(우리은행, 외환은행, 기업은행, 신한은행, 시티은행, 새마을금고, 농협) 

피싱 사이트들이 기승을 부리고 있는 가운데, 최근에는 포털사이트를 이용하여 인터넷 뱅킹 피싱 사이트로 이동시키는 악성파일들이 

확인되고 있다.


아래의 그림을 보면 국내 인터넷 뱅킹 주소앞에 국내 포털 사이트인 네이버(Naver), 다음(Daum)가 포함되어 있는 것을 볼 수 있다.



감염 된 PC에서 네이버에 접속 할 경우 아래와 같은 팝업창이 사용자에게 보여지며, 사용자가 그림 아래 인터넷뱅킹을 클릭 하게 되면 

제작자가 미리 만들어둔 피싱 사이트로 이동하게 된다.



알약에서는 현재 버전인 2.5.0.1(공개용)에서는 "Hosts 파일 보호" 기능이 추가되었기 때문에 "환경설정에서 설정해 주면 된다.



호스트 파일 보호 기능이 Off 되어있더라도 변조 된 Hosts 파일은 "호스트파일변조"로 탐지하오니

항상 실시간검사를 On으로 해두길 바랍니다.



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


기존의 사이트 변조는 InternetExplorer, Adobe Flash Player, Java Exploit 등 소프트웨어의 취약점 방식을 이용하여 

접속 된 PC가  취약점이 존재 할 시 특정 파일을 받게 되는 드라이브 바이 다운로드(Drive-by-Download)방식이 대부분 이였다.


하지만 이번에 확인 된 변조사이트는 취약점으로 인한 감염이 아니라 iframe 태그에 악성파일(exe) 주소를 직접 넣어 

사용자가 다운로드 받을 수 있게 변조되는 사이트들이 늘어 나고 있다.


이렇게 되면 사용자PC에 취약점이 존재하지 않더라도, 사용자의 클릭으로 감염 시킬 수 있는 장점이 생긴다.

(물론 강제 설치가 아니기 때문에, 감염 속도에는 조금 느리겠지만 ㅎㅎㅎ)


요게 원래는 5월 말정도에 나온 내용이였는데 ㅠㅠ 이제야 포스트를 하게 된다.

암튼, 중요한 사항은 이게 아니라 ㅎㅎㅎ


아래의 그림을 보면 알겠지만, 코드는 아주 심플하다.

그냥 exe 주소만을 iframe 태그를 사용하여 삽입시켜두었다.






해당 변조 사이트에 접속 시 아래와 같이 브라우저에 다운로드 창이 생성이 되니, 사용자가 조금만 주의하면 방지할 수 있습니다.



해당 파일을 설치할 시에는 안티바이러스를 종료시키고, 특정 서버에 접속하여 오퍼의 명령을 받게 됩니다.



알약에서는 해당 파일을 Backdoor.Agent.PC 로 탐지하오니 실시간 감시를 항상 On으로 켜두시기 바랍니다^^


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


웹하드 서비스를 하는 사이트 중 "다이하드"라는 사이트가 변조되어 악성코드가 유포되고 있다.

사이트 변조가 어제 오늘 하는 일은 아니지만, 이렇게 블로그에 작성 하는 이유는 Java Exploit CVE-2012-5076 파일이
국내 유포사이트에 확인 된 것이 처음이기 때문이다.

0-Day가 아니라, 취약점이 패치 된 Exploit 이기 때문에 Oracle Java 업데이트 하면 문제없다!!
업데이트에 대한 내용은 아래 링크에서 확인 할 수 있다.



다이하드 홈페이지 접속 시 연결 되는 사이트는 다음과 같다. 

hxxp://www.woshi*******n.com/main.html (Main Malware Script)
hxxp://www.woshi*******n.com/swfobject.js (SWF Object Script)
hxxp://www.woshi*******n.com/jpg.js (JRE & Applet Script)
hxxp://www.woshi*******n.com/tzfodg4.jpg (Java Exploit CVE-2011-3544)
hxxp://www.woshi*******n.com/moFIx5.jpg (Java Exploit CVE-2012-0507)
hxxp://www.woshi*******n.com/hXbmFf4.jpg (Java Exploit CVE-2012-1723)
hxxp://www.woshi*******n.com/JhLIp2.jpg (Java Exploit CVE-2012-4681)
hxxp://www.woshi*******n.com/gTJePXG4.jpg (Java Exploit CVE-2012-5076)
hxxp://www.woshi*******en.com/c.exe (Backdoor Malware)
hxxp://www.woshi*******n.com/eKJqGMa4.swf 
hxxp://www.woshi*******n.com/yEQngll5.html (XML Core Services Exploit CVE-2012-1889)
hxxp://www.woshi*******n.com/tzfodg4.html (XML Core Services Exploit CVE-2012-1889)


Java Exploit CVE-2012-5076 가 실행되는 조건코드이다.
조건에 따라 c.exe 가 다운로드 된다.



취약점이 있는 PC에서는 해당 악성스크립트가 동작 시 특정서버에서 파일이 다운로드 된다.
다운로드 된 파일은
 백도어 파일로써 특정 서버로 접속 하여 오퍼 명령에 따라 악성행위를 할 수 있다. 
(특히, 이번 파일은 씨타델(Citadel Exploit Kit) 로 작성되어 있는 것으로 확인된다.) 

- 파일 생성 정보
C:\Program Files\Common Files\Microsoft Shared\MSINFO\QQMin.exe

- 레지스트리 생성 정보
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinQvod

- 접속 서버 정보
hxxp://www.woshi*******en.com (112.175.100.194:8010)

hxxp://www.woshi*******n.com (112.175.100.194:8010)

(※ 현재 완벽한 분석정보가 아니기 때문에, 다른 기능들이 있을 수 있음) 



알약에서는 해당 파일을 "Mal/JavaKnE-H, Trojan.Agent.700416" 로 탐지 중이다.



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


대선도 가까워지는데, 하필 대선에 참여하는 당의 홈페이지에서 악성코드가 유포 중이다.
참으로 안타까운 일이지만, 내가 할일은 해야겠다.

문재인 후보가 있는 민주통합당 홈페이지에서 IE 0-Day를 이용 한 악성스크립트가 삽입되어 악성코드가 유포 되고 있다.

민주통합당 홈페이지 접속 시 연결 되는 사이트는 다음과 같다. 

hxxp://www.minjoo.kr
hxxp://www.minjoo.kr/******/**/js/IF.htm
hxxp://www.minjoo.kr/******/**/js/eminjoon.htm
hxxp://www.minjoo.kr/******/**/js/iframe.html
hxxp://www.minjoo.kr/******/**/js/cminjoon.htm
hxxp://www.minjoo.kr/******/**/js/jminjooa.htm
hxxp://www.minjoo.kr/******/**/js/kminjoor.htm
hxxp://www.******.or.kr/html/inst.cab

해당 방식은 이전에 CVE-2012-1875,  CVE-2012-1889 취약점 스크립트를 유포 했을 때와 동일하다.  


민주통합당 홈페이지에 접속 하면 iframe을 이용하여 IF.htm 을 로드시킨다.




로드 된 IF.htm 은 IE버전, OS버전, IE언어를 체크하여 해당 조건에 맞는 스크립트를 연결 시켜 준다.
한마디로 Loader의 역활을 하는 htm 파일이다. 




실제 영문(EN), 중국(ZH), 일본(JA), 한국(KO) 별로 악성 스크립트가 분류 되어 있다.
(참고사항 : 언어별 국가코드는 "국가별 언어 코드(ISO 639: Two-letter Language Codes)" 에서 확인 할 수 있다)




그리고 image 객체 생성으로 AV가 탐지 할 것으로 예상하고, 한번 더 꼬아서 kkak 라는 치환문자로 대체하였다.
또한 다른 악성페이지인 iframe.html으로 연결 시킨다. 




연결 시키는 iframe.html 에는 CVE-2012-4969 취약점을 유발시키는 코드가 존재한다.



취약점이 있는 PC에서는 해당 악성스크립트가 동작 시 특정서버에서 http://www.******.**.**/html/inst.cab 파일을 다운한다.
해당 파일은 백도어 파일로써 특정 서버로 접속 하여 오퍼 명령에 따라 악성행위를 할 수 있다.

- 파일 생성 정보
C:\Documents and Settings\[사용자계정]\Local Settings\Temp\cacheclr.exe

- 레지스트리 생성 정보
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"RunOnce" = " C:\Documents and Settings\[사용자계정]\Local Settings\Temp\cacheclr.exe"



알약에서는 해당 파일을 "Backdoor.Poison.32768" 로 탐지 중이다.



재미있는 부분은 접속 하는 서버의 도메인 명이
"alyac.flnet.org, ahalab.4irc.com, alync.suroot.com" 이라는 점~~~~~~~~~~!!


현재 해당 IE 0-Day는 보안패치가 없기 떄문에 임시적인 Fix it으로 수정 할 수 있다.

정식 패치는 9월 22일 토요일에 긴급 패치 될 예정이다.


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


세계적인 보안회사 카스퍼스키(Kaspersky)에서 스턱스넷(Stuxnet), 플레임(Flame)과 유사한 신종 악성코드 발견하였다고
한다. 카스퍼스키는 해당 악성코드를 가우스(Gauss)라 명명하였다.

가우스(Gauss)악성코드는 중동국가의 브라우저 암호, 온라인뱅킹 계정, 쿠키 등 정보를 가로챈다고 하며,
재미있는 점은 가우스 악성코드는 기존의 인터넷뱅킹 정보를 가로채는 악성코드들과는 전혀 다른 코드를 가졌다고 한다.


(추가) 시만텍에서도 가우스에 대한 분석내용을 발표했다.
http://www.symantec.com/connect/ko/blogs/complex-cyber-espionage-malware-discovered-meet-w32gauss 


좀 더 자세한 사항은 카스퍼스키 홈페이지에서 확인 할 수 있다.

원문링크 
http://www.kaspersky.com/about/news/virus/2012/Kaspersky_Lab_and_ITU_Discover_Gauss_A_New_Complex_Cyber_Threat_Designed_to_Monitor_Online_Banking_Accounts

Kaspersky Lab Discovers ‘Gauss’ – A New Complex Cyber-Threat Designed to Monitor Online Banking Accounts

Kaspersky Lab announces the discovery of ‘Gauss’, a new cyber-threat targeting users in the Middle East. Gauss is a complex, nation-state sponsored cyber-espionage toolkit designed to steal sensitive data, with a specific focus on browser passwords, online banking account credentials, cookies, and specific configurations of infected machines.


The online banking Trojan functionality found in Gauss is a unique characteristic that was not found in any previously known cyber-weapons.


Gauss was discovered during the course of the ongoing effort initiated by the International Telecommunication Union (ITU), following the discovery of Flame. The effort is aimed at mitigating the risks posed by cyber-weapons, which is a key component in achieving the overall objective of global cyber-peace.


ITU, with expertise provided by Kaspersky Lab, is taking important steps to strengthen global cyber-security by actively collaborating with all relevant stakeholders such as governments, the private sector, international organizations and civil society, in addition to its key partners within the ITU-IMPACT initiative.


Kaspersky Lab’s experts discovered Gauss by identifying commonalities the malicious program share with Flame. These include similar architectural platforms, module structures, code bases and means of communication with command & control (C&C) servers.


Quick facts:


Analysis indicates that Gauss began operations in the September 2011 timeframe.

It was first discovered in June 2012, resulting from the knowledge gained by the in-depth analysis and research conducted on the Flame malware.

This discovery was made possible due to strong resemblances and correlations between Flame and Gauss.

The Gauss C&C infrastructure was shutdown in July 2012 shortly after its discovery. Currently the malware is in a dormant state, waiting for its C&C servers to become active.

Since late May 2012, more than 2,500 infections were recorded by Kaspersky Lab’s cloud-based security system, with the estimated total number of victims of Gauss probably being in the tens of thousands. This number is lower compared to the case of Stuxnet but it’s significantly higher than the number of attacks in Flame and Duqu.

Gauss steals detailed information about infected PCs including browser history, cookies, passwords, and system configurations. It is also capable of stealing access credentials for various online banking systems and payment methods.

Analysis of Gauss shows it was designed to steal data from several Lebanese banks including the Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank and Credit Libanais. In addition, it targets users of Citibank and PayPal.

The new malware was discovered by Kaspersky Lab’s experts in June 2012. Its main module was named by the unknown creators after the German mathematician Johann Carl Friedrich Gauss. Other components bear the names of famous mathematicians as well, including Joseph-Louis Lagrange and Kurt Gödel. The investigation revealed that the first incidents with Gauss date back as early as September 2011. In July 2012 the command and control servers of Gauss stopped functioning.


Multiple modules of Gauss serve the purpose of collecting information from browsers, which include the history of visited websites and passwords. Detailed data on the infected machine is also sent to the attackers, including specifics of network interfaces, the computer’s drives and BIOS information. The Gauss module is also capable of stealing data from the clients of several Lebanese banks including the Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank and Credit Libanais. It also targets users of Citibank and PayPal.


Another key feature of Gauss is the ability to infect USB thumb drives, using the same LNK vulnerability that was previously used in Stuxnet and Flame. At the same time, the process of infecting USB sticks is more intelligent. Gauss is capable of “disinfecting” the drive under certain circumstances, and uses the removable media to store collected information in a hidden file. Another activity of the Trojan is the installation of a special font called Palida Narrow, and the purpose of this action is still unknown.


While Gauss is similar to Flame in design, the geography of infections is noticeably different. The highest number of computers hit by Flame was recorded in Iran, while the majority of Gauss victims were located in Lebanon. The number of infections is also different. Based on telemetry reported from the Kaspersky Security Network (KSN), Gauss infected approximately 2,500 machines. In comparison, Flame was significantly lower, infecting closer to 700 machines.


Although the exact method used to infect the computers is not yet known, it is clear that Gauss propagates in a different manner to Flame or Duqu; however, similar to the two previous cyber-espionage weapons, Gauss’ spreading mechanisms are conducted in a controlled fashion, which emphasize stealth and secrecy for the operation.


Alexander Gostev, Chief Security Expert, Kaspersky Lab, commented: “Gauss bears striking resemblances to Flame, such as its design and code base, which enabled us to discover the malicious program. Similar to Flame and Duqu, Gauss is a complex cyber-espionage toolkit, with its design emphasizing stealth and secrecy; however, its purpose was different to Flame or Duqu. Gauss targets multiple users in select countries to steal large amounts of data, with a specific focus on banking and financial information.”


At the present time, the Gauss Trojan is successfully detected, blocked and remediated by Kaspersky Lab’s products, classified as Trojan-Spy.Win32.Gauss.


The company’s experts have published in-depth analysis of the malware at Securelist.com: http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution


A Gauss FAQ containing the essential information about the threat is also available:
http://www.securelist.com/en/blog?weblogid=208193767


Stay tuned for updates by following our Facebook page:
https://www.facebook.com/Kaspersky?ref=ts


영어 실력이 딸려서 구글 번역을 돌렸다.

카스 퍼 스키 랩은 '가우스'를 발견하다 - 온라인 뱅킹 계정을 모니터링하기 위해 설계된 새로운 복잡한 사이버 위협을


카스 퍼 스키 랩은 '가우스'의 발견, 중동에서 사용자를 타겟으로 새로운 사이버 위협을 발표했습니다. 가우스는 브라우저 암호, 온라인 뱅킹 계정 자격 증명, 쿠키, 그리고 감염된 기계의 특정 구성에 대한 특정 중심으로 민감한 데이터를 훔치기 위해 설계된 복잡한 민족 국가 후원하는 사이버 스파이 툴킷입니다.


가우스에서 발견된 온라인 뱅킹 트로이 목마 기능은 이전에 알려진 사이버 무기를 찾을 수 없습니다 독특한 특징입니다.


가우스는 시작한 지속적인 노력의 과정 동안 발견된 국제 전기 통신 연합 (EU) 화염의 발견에 따라, (ITU). 노력은 사이버 평화 세계의 전반적인 목표를 달성하는 핵심 구성 요소입니다 사이버 무기로 인한 위험을 완화 대상으로하고 있습니다.


ITU는 카스 퍼 스키 랩에서 제공하는 전문 지식과 함께 내에 적극적으로 자사의 핵심 파트너 이외에, 그러한 정부, 민간 부문, 국제기구, 시민 사회 등 모든 관련 이해 관계자들과 협력하여 사이버 보안 글로벌을 강화하는 데 중요한 단계를하고있다 ITU- 충격 이니셔티브.


카스 퍼 스키 랩의 전문가는 화염과 공통점에게 악성 프로그램 공유를 식별하여 가우스를 발견했다. 이들은 이와 유사한 건축 플랫폼, 모듈 구조, 코드베이스 및 명령 및 제어 (C & C) 서버와의 통신 수단을 포함합니다.


빠른 사실 :


분석 가우스가 2011년 9월 기간에 작업을 시작했음을 나타냅니다.

그것은 먼저 화염 악성 코드에 실시한 심층 분석과 연구에 의해 얻은 지식으로 인한 월 2012 년 발견되었다.

이 발견으로 인해 화염과 가우스 사이에 강한 유사성과 상관 관계에 가능하게되었다.

가우스 C & C 인프라는 곧 자사의 발견 이후 2012년 7월에 종료했습니다. 현재 악성 코드가 활성화되기 위해 자사의 C & C 서버를 기다리고, 휴면 상태에 있습니다.

늦은 2012년 5월 때문에, 이상 2,500 감염 아마도 수천만에 빠진 가우스의 피해자 중 예상되는 총 번호, 카스 퍼 스키 연구소의 클라우드 기반 보안 시스템에 의해 기록되었다. 이 숫자는 Stuxnet의 경우에 비해 낮습니다하지만 화염과 Duqu의 공격의 숫자보다 훨씬 높은거야.

가우스는 브라우저 역사, 쿠키, 암호 및 시스템 구성을 포함하여 감염된 PC에 대한 자세한 정보를 훔치고. 또한 다양한 온라인 뱅킹 시스템 및 지불 방법에 대한 액세스 자격 증명을 도용이 가능합니다.

가우스의 해석은 그것이 베이루트, EBLF, BlomBank, ByblosBank, FransaBank 및 신용 Libanais 은행 등 여러 레바논 은행에서 데이터를 훔치기 위해 설계되었습니다 보여줍니다. 또한, 씨티 은행과 페이팔의 사용자를 대상으로하고 있습니다.

새로운 악성 코드는 6 월 2012 카스 퍼 스키 랩의 전문가에 의해 발견됐다. 주요 모듈은 독일의 수학자 요한 칼 프리드리히 가우스 이후 미지의 창조자에 의해 선정되었습니다. 다른 구성 요소는 요셉 - 루이 LAGRANGE 및 커트 Gödel 포함한뿐만 아니라 유명한 수학자의 이름을 가졌어. 조사가 밝혀 그 뒤로 2011년 9월 빠르면 가우스 날짜와 첫 번째 사건. 2012년 7월 년 가우스의 명령 및 제어 서버는 작동을 중단되었습니다.


가우스의 여러 모듈 방문한 웹사이트 및 암호의 역사를 포함 브라우저에서 정보를 수집 목적을 제공하고 있습니다. 감염된 시스템에서 상세한 데이터는 또한 네트워크 인터페이스, 컴퓨터의 드라이브 및 BIOS 정보의 구체적인 내용을 포함하여 공격자에게 전송됩니다. 가우스 모듈도 베이루트, EBLF, BlomBank, ByblosBank, FransaBank 및 신용 Libanais 은행 등 여러 레바논 은행의 클라이언트에서 데이터를 훔치는이 가능합니다. 또한 씨티 은행과 페이팔의 사용자를 대상으로하고 있습니다.


가우스의 또 다른 주요 특징은 이전 Stuxnet과 화염에 사용된 것과 동일한 LNK 취약점을 사용하여,의 USB 엄지 드라이브를 감염시킬 수있는 능력입니다. 동시에, USB 스틱을 감염의 과정은 더욱 지능적이다. 가우스는 특정 상황에서 드라이브를 "소독"할 수 있으며, 숨겨진 파일에 수집된 정보를 저장하는 이동식 미디어를 사용합니다. 트로이의 또 다른 활동은 Palida 인색이라는 특수 글꼴의 설치이며,이 작업의 목적은 아직 알 수 없습니다.


가우스는 디자인 불꽃과 유사하지만, 감염의 지리가 눈에 띄게 다르다. 가우스 피해자의 대부분은 레바논에있는 동안 화염 치인 컴퓨터의 가장 높은 번호는,이란에 기록되었다. 감염의 숫자도 다릅니다. 카스 퍼 스키 보안 네트워크 (KSN)에서 보고된 원격 측정을 바탕으로 가우스는 약 2,500 머신을 감염. 비교에서, 불꽃 가까이 700 기계에 감염, 상당히 낮은했습니다.


컴퓨터를 감염하는 데 사용되는 정확한 방법은 아직 알려져 있지 않지만, 가우스는 화염이나 Duqu에 다른 방식으로 전파 것이 분명하지만, 이전의 두 사이버 스파이 무기와 마찬가지로, 가우스의 확산 메커니즘은 제어로 진행됩니다 작동 스텔스와 비밀을 강조 패션,.


알렉산더 Gostev, 수석 보안 전문가, 카스 퍼 스키 랩은, 댓글을 달았습니다 : "가우스 등 우리가 악성 프로그램을 발견 활성화의 설계와 코드베이스로, 화염에 눈에 띄는 유사성을 맺는다. 화염과 Duqu와 마찬가지로, 가우스는 디자인을 강조 스텔스와 비밀 함께 복잡한 사이버 스파이 툴킷 수 있지만 그 목적은 화염이나 Duqu에 달랐어요. 가우스는 금융 및 재정 정보의 특정 중심으로 대용량의 데이터를 훔치기 위해 선택한 국가에서 여러 사용자를 대상으로하고 있습니다. "


현재, 가우스의 트로이 목마가 성공적으로 차단하며 카스 퍼 스키 랩의 제품에 의해 remediated, 트로이 Spy.Win32.Gauss으로 분류, 감지된다.



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


알약 2.5 기업용 버전이  영국의 보안 연구 단체인 바이러스 블러틴(Virus Bulletin)에서 심사하는 vb100 2012년 6월
테스트에서 통과했다는 소식이다.

12월 달에 이루어진 Win7 테스트에 이어 3회연속 테스트 합격이다!!

이번 vb100 테스트에 사용 된 운영체제는 윈도우 서버 2008 R2 (
Windows Server 2008 R2) 환경에서 이루어졌다.

특히, 이번테스트에는 알약 영문버전 RoboScan 도 동시에 참가하여 좋은 성적을 거두었다.
 



근데 로보스캔의 아이콘이 ㅡ.ㅡ;; 안나온다.
이건 바이러스 블러틴에 이야기해서 수정을 요청해야 할 듯 하다;;



RAP Quadrant 내용이 공개되었습니다.

Roboscan과 ESTsoft가 같이 보이는게 뿌듯하군요 ㅎㅎㅎ





블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


국민 무료백신인 이스트소프트 알약(ALYac)에서 7월 정보보호의 달 제정기념 "알약 전국민 보안의식 업그레이드"
이벤트가 진행되고 있다.

이벤트 내용은 국민백신 알약이 7월 정보보호의 달 제정을 기념하여, 보안생활백서 자가 진단 퀴즈를 준비했다.


(뭐 당연한거겠지만 ㅋㅋㅋ 난 A+ !!)

- 알약 보안생활백서 자가진단퀴즈 : http://www.altools.co.kr/event/alyacquiz

이벤트 기간 : 2012년 7월 3일 ~ 2012년 7월 23일까지
이벤트 대상 : 전국민 누구나, 알약을 안 쓰는 분도 참여 가능!(SNS를 사용한다면 더 유리)
이벤트 상품 : 참여만 해도 스무디킹 추첨, SNS에 올릴 시 버거킹, 스타벅스, 스무디킹, 아이스크림, 음료 교환권
                   
이벤트 발표 : 2012년 7월 26일 (목요일) 이스트소프트 기업 블로그
이벤트 방법 :
                   1) 보안퀴즈 이벤트에 참여만 해도 100명 추첨을 통한 스무디킹 교환권
                   2) SNS에 보안성적표를 알리면 200명 추첨을 통해 교환권 증정(1번과 중복 당첨 가능!!)

PS. 관리자님~~ 저 버거먹고 싶어요!!!
이제 한번 쯤 뽑아주시죠 ㅋㅋㅋ 


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


국민백신이 되고자 노력하는 이스트소프트알약 공개용이 금일 2.2 버전 업데이트를 하였다.

이번 업데이트에서는 많은 부분들이 수정되었지만, 특히 윈도우 업데이트 상태를 점검 할 수 있는 기능이 생겼다.
업데이트 내용은 아래와 같으며, 알약 홈페이지에서도 확인이 가능하다.

- 윈도우 업데이트 상태 점검 기능 추가  
- 알백 링크 추가 
- 중요 업데이트 알림 창 추가 (시작 페이지zum 설정)
- 검사창 하단 텍스트 광고 추가 
- 실시간 탐지/업데이트 안내 문구 변경
- 최신NSIS 적용
- 시스템 파일 보호 강화
- 업데이트 로직 강화 
- 검사 중지 후 재검사 시 탐지 안 되는 문제 수정
- 수동검사 치료 도중 중지 시 미치료 항목 표기되지 않는 문제  
- 마이너 버그 수정

알약 홈페이지 공지사항 : http://alyac.altools.co.kr/SecurityCenter/Analysis/NoticeView.aspx?id=136 

많은 업데이트가 이루어진 알약 공개용 2.2 버전!! 
그 중에서도 가장 돋보이는 기능은 단연 "윈도우 업데이트 상태 점검 기능" 이다.
다른건 그렇다 치고~ ㅎㅎ 이 기능에 대해서 간략하게 리뷰해 본다.

우선 금일 알약 2.2 버전으로 업데이트를 하게 되면, 트레이 우측하단에 아래와 같이 안내창이 뜬다.



업데이트 내용을 클릭하게 되면, 알약 도움말 페이지로 이동되어 이번에 업데이트 된 보안업데이트 부문에 대한
설명을 쉽게 볼 수 있다.


자, 그리고 업데이트 된 알약 2.2 버전의 메인화면을 보자!!
"플러스 보안" 이라는 탭이 생성되어 있다.




"플러스 보안" 탭으로 이동하면, "보안 업데이트" 와 "알백" 에 대한 내용이 보여진다.
보안 업데이트는 말그대로 "윈도우 업데이트"의 상태를 점검하고 업데이트 하게 해주는 내용이며,
알백은 빠르고 안전한 PC복구 설치를 프로그램으로써 클릭하면 해당 알백 홈페이지로 이동하게 된다. 




그럼 "보안 업데이트" 부터 살펴보자!!
"보안 업데이트"를 클릭하면 "윈도우 보안 업데이트" 와 "윈도우 일반 업데이트" 로 나눠지게 된다.
(과연~ 내 PC에는 윈도우 업데이트를 해야 할 사항이 나올 것인지~ 두둥!!!)




검색 결과 "설치 가능한 윈도우 업데이트가 없습니다." 라고 나온다!!
※ 이렇게 나온다고 당황하지 마시길, 이게 정상적으로 업데이트를 잘 한 사람이 나오는 겁니다요!!
(역시 내 PC는 보안이 잘 되어 있다 ㅋㅋㅋㅋㅋㅋㅋ)




그리고 우측의 알백 아이콘을 클릭하면 "알백 2.0" 홈페이지로 이동하게 된다.
최근 2.0으로 업데이트 되면서 윈도우7(32Bit)과 Vista(32Bit)를 지원하게 되어, 선택의 폭이 넓어졌다.





자~ 그럼 제 PC는 깨끗하다는게 증명(?!) 되었고~!!
그럼 업데이트 따위 개나주는 테스트PC를 확인해 보지요!!


역시 알약 공개용 2.2 버전 "플러스 보안" 탭화면에서 "보안 업데이트"를 클릭해 보자!!



어이쿠야;;;; 설치 가능한 업데이트가 71개나 된다~!!
일부로 업데이트를 안한 테스트PC이기 때문에 이런 많은 업데이트가 가능하다고 본다!!

만약 알약에서 이 정도의 업데이트를 원한다면........
당신은 PC는 정보를 얻기위해 인터넷을 하는게 아니라, 악성코드에 감염되기 위해 인터넷을 한다고 무방할 정도로
위험한 PC라고 본다..!! 그러니 빨리 업데이트를 하시길!!! 




설치 해야 할 업데이트의 갯수를 파악했다면, 상세정보를 통해 어떤 업데이트를 해야하는지 볼 수 있다.
"전체해제" 버튼을 통해 원하는 업데이트만을 할 수도 있으며, 전체 업데이트를 할 수도 있다. 





안전한 인터넷을 하기 위해 "설치시작" 버튼을 누르면...!?
아래와 같이 설치를 시작한다. 


설치가 완료 된 업데이트는 "초록색"으로 표기 된다.




(참고) 
인터넷 사양에 따라 연결실패 화면도 나올 수 있으니, 당황하지 마시고 우측아래에 있는 "다시 확인하기" 버튼을 통해
설치를 진행하면 된다. 




지금까지 알약 공개용 2.2 버전 업데이트에서 "보안 업데이트" 대한 간략한 리뷰를 살펴보았다.

이를 살펴보면서 나는 궁금한 점이 두가지 생겨났다.

1) 불법 라이센스로 설치 된 윈도우 운영체제를 사용하는 사용자들도 업데이트가 모두 가능한 것인지?
- 불법 라이센스는 윈도우 업데이트가 안되는 것으로 알고 있는데, 알약에서 강제로 업데이트를 시키는 것인지,
   그것이 아니라면, 업데이트 목록은 보여주나 실제로 업데이트는 실패로 처리 되는 것인지 궁금하다.

2) 설치 할 윈도우 업데이트 목록에서 해당 업데이트에 대한 정보를 얻을 수 있게 링크처리는 불가능 한 것인지?
-   예전에 어떤 해외제품을 보니 업데이트 항목에 마우스를 대니 풍선글로 해당 업데이트에 대한 정보를 보여줬던 것으로
    기억한다. 알약에서도 그런 정보를 보여 준다면 사용자들에게 좀 더 다가가는 제품이 되지 않을까 싶다.



마지막으로,
이 글을 읽어나서 "이 사람이 왜 이렇게 글을 썻지? 괜찮으려나?" 라고 생각하시는 분이 있을 수 있다.
(뭐;; 아시는 사람은 무슨말인지 아시겠지만 ㅋㅋㅋ)

난 이 글을 통해 알약이 좀 더 디테일하게 또는 섬세한 부분까지 신경을 써 주면 좋겠다는 바람직한(?) 방향으로써 글을 쓴 것이다.


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


알약 대응팀장님이 나오시는 영상이라 소장용으로 포스팅 ㅎㅎㅎ

자세한 내용은 알툴즈 공식 블로그에 자세하게 기록되어 있으니 참고하신 후 보면 더 재미있다!!

- 94회 다시 보기 :  http://www.channelit.co.kr/tv/program/episode/68?episodeSeq=572 


(94회) 생방송 스마트쇼 다시보기 2012.04.23
즐거운 스마트 세상을 열어가는 생방송 스마트쇼!!! 94회 다시보기
함께 스마트한 IT세상으로 빠져봅시다.

※ 주요내용
* 전자신문 IT 브리핑 - 북한 공식 웹사이트가 단돈 15달러? 
* 위험경보! 컴퓨터 잡는 불량백신
* 불량백신 저리가! 예방법 공개 잉카 인터넷 최원혁 이사
* [이슈크런치] 스마트TV 시장전망과 콘텐츠 소비방향
* 스마트폰으로 떠나는 시간여행 - 런던 박물관의 ‘Street Museum’
* 광화문의 핫플레이스!‘올레 스퀘어’탐방기
* 채널 IT 웹 인기기사 TOP 5 - 무선으로 사진 보내는 삼성 미러리스카메라 출시




블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


국민 무료백신인 이스트소프트 알약(ALYac)에서 2012 대한민국 대표 브랜드 대상을 받아 축하 이벤트가 진행되고 있다.

대상은 SNS를 사용하는 모든분들이기 때문에 큰 제약은 없다.

- 알약 대한민국 대표브랜드 대상 수상기념 "궁디팡팡 이벤트!!" : http://www.altools.co.kr/event/masterbrand2012/event.aspx

이벤트 기간 : 2012년 4월 19일 ~ 2012년 5월 3일까지
이벤트 대상 : SNS를 사용한다면 모두 가능
이벤트 상품 : 온라인 문화상품권, 버거세트 교환권, 커피 교환권, 도넛&커피 교환권, 아이스크림 교환권
                   
이벤트 발표 : 2012년 5월 7일 (월요일) 알툴즈 블로그에 공지
이벤트 방법 :
                   1) 자신이 사용하는 SNS(트위터, 페이스북, 미투데이, 요즘)로 축하메시지 전달
                   2) 자신의 이름과 연락처, 소문낸 SNS 아이디를 적으면 응모완료

PS. 관리자님~~ 저 버거먹고 싶어요!!!






블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




알약 2.5 기업용 버전이 바이러스 블러틴에서 심사하는 vb100 12월 테스트에서 통과했다는 소식이다.
10월 달에 이루어진 서버용테스트에 이어 2회연속 테스트 합격이다!!

이번 vb100 테스트에 사용 된 운영체제는 윈도우7 프로(
Windows 7 Professional) 환경에서 이루어졌다.
아직 RAP Test 결과는 나오지 않았지만, 2회 연속 통과한것도 매우 좋은 결과라고 생각한다.



근데 이번 테스트에 통과하지 못한 업체들이 많이 보이는것 같다.
내일쯤이면 RAP 테스트가 나올것 같으니, 차후에 포스팅은 수정해야겠다.



RAP Quadrant 내용이 공개되었습니다.
10월달 결과와 비슷한 위치에 올라가 있군요~





블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



세계적으로 무료백신으로 유명한 어베스트(Avast! Antivirus)사에서 안드로이드 모바일을 위한 모바일 보호 프로그램을 선보였다.
아직은 베타버전이지만, 12월 말에 정식버전으로 바뀐다고 하니 한번 사용해 봐야겠다. (개인에게는 역시 무료!!) 

- 어베스트 무료 백신 다운로드 :  https://market.android.com/details?id=com.avast.android.mobilesecurity 

어베스트의 간단한 기능은 아래와 같다.

1. 실시간 보호
2. 설치하기 전에 앱 검사
3. 웹 감시
4. 원격에서 잠금
5. 원격에서 와이프 기능 (원격 초기화)
6. 원격 위치 찾기
7. 원격 경보(사이렌)
8. 스마트폰 분실 시 새로운 SIM 카드를 바꿀때 SIM 변경 통지
9. 전후방 카메라에서 원격 사진 촬영 기능


요즘 나오는 안드로이드 백신들은 전반적으로 안티 티프(Anti Theft : 분실 시 도용방지)기능이 들어가 있다.
역시 휴대성이 용이한 디바이스라 이런 기능은 필요하다.
하지만, 원격 사진 촬영기능은 나쁘게도 사용 할 수 있을 것 같아 걱정이 된다.
(물론 이 제품에 대해서 이야기하는것이 아니라,  원격 찰영이라는 기능 자체가 ㅎㅎㅎ 어떻게 보안을 했을 지는 모르겠지만..)




현재 모바일 백신 사용기를 작성하면, 10분을 뽑아 "버거킹 와퍼세트"를 쏜다고 하니~
시간이 되는 분들은 한번 이벤트에도 참여해도 좋을 것 같다^^

- 기간 : 2011년 12월 14일 부터 31일 까지

- 대상 : 안드로이드 기반의 스마트폰 사용자

- 선정 : 10명을 선정

- 상품 : 버거킹 와퍼세트 기프티콘 증정


사용기는 여러분의 홈페이지, 블로그, 카페 등에 올려주시고 댓글이나 트랙백을 달아주시는 방법으로 접수하시면 됩니다.

이벤트 페이지 :  http://www.avast.co.kr/720 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



뉴스에서 하도 떠드니~ A양이 누군지는 알것이다.
하지만 모르는 사람도 분명있다. 그래서 검색을 하게 된다(사람이니까 ㅡㅡㅋ)

그런 심리를 이용하여 악성파일을 뿌리는 행위가 존재한다....이 파일이 바로 그런 식이다.

유포는 카페와 블로그 첨부파일, 그리고 SNS로 빠르게 전파되었다.
(현재는 다운로드 자체가 막혀있음!! 그래서 주소를 공개하였으니 ㅋㅋ 다운로드 노력하지마시오!!)




이렇게 전파 된 압축파일은 exe압축으로 되어있으며, 더블클릭으로 쉽게 실행 될 수 있다.






압축해제가 완료 되면 "C:\NewFolder" 폴더에 아래와 같이 압축을 해제한다.
(더블클릭으로 실행 될 경우는 악성파일은 이미 실행되어 보이지 않는다, 아래의 화면은 강제로 압축을 해제한 모습이다)


제작자는 집요하게 전파를 위해 txt 파일을 하나 만들어 두었다.



압축이 해제되면서 netsecurity.exe가 실행되면, 시스템폴더에 netdrvsrty.exe 파일을 생성한다.


부팅 후 자동시작을 위해 Run 레지스트리에 등록 된다.
(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"netsecurityDRV" = "C:\WINDOWS\system32\netdrvsrty.exe")




이렇게 실행 된 악성파일은 특정 서버에 접속하여 악의적인 행위를 수행할 것으로 판단된다.
아직 정확한 분석은 안되어서 분석내용이 없음 ㅋㅋ 그냥 주의하라고 적은 포스팅!!

현재 알약에서는 Trojan.Dropper.Agent.DRV, Trojan.Agent.DRV 로 탐지되오니, 항상 보안프로그램의 실시간을 켜두시길^^




글을 다 쓰고 보니 ㅡㅡㅋ 제목에만 A양이지;; 파일에는 이름이 다보이네;; 귀찮으니 패스!! 

블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


국내 멀티미디어 재생프로그램인 케이엠플레이어(KMPlayer) 설치 파일이 변조되어 백도어가 설치되고 있다.

변조 된 파일은  The KMPlayer 3.0.0.1442 릴리즈버전으로 정상적인 파일정보는 아래와 같다.

File: KMPlayer_KR_3.0.0.1442_R2.exe (13,004,472 Bytes) - 정상 셋업 파일 정보
CRC-32: 6fc879b5
MD4: eff203146b06f5b3df657c940c17ee58
MD5: 01499e9fe650cc8fa09f80238564ea6b
SHA-1: dac91c04935f9cf0f3d8986471919700dec4578c


하지만 변조 된 파일은 아래의 정보를 갖는다.

KMPlayer_KR_3.0.0.1442_R2.exe (13,606,912 Byte) - 변조 된 셋업 파일 정보

CRC-32: 7c121bce
MD5: df09ccc1c473aae3e2cc4b0cfb37dd2f
SHA-1: 99b456d8d1474a20c8d464f7aeac81f71a2dfc12


정보만 비교해봐도 602,440 Byte가 증가한것을 볼 수 있다.

그렇다면 증가한 숫치만큼 생성 된 코드는 무엇인가라는 궁금증이....!! (이런 직업병;; 12MB를 봐야하는건가 ㅠㅠ )
다행스럽게 시작코드를 살펴봤더니 시작점에서 Resource에 담겨진 2개의 파일을 생성 후 실행하는 것이 확인되었다.

실제 파일에는 BIN이라는 리소스에 NORMAL 과 SOURCE 이름으로 2개의 리소스를 가지고 있었다.



이 중 NORMAL은 말그대로 KMPlyaer의 정상 셋업파일이며, SOURCE 가 백도어 파일을 만드는 드롭퍼이다.

코드상으로는 %TEMP% 폴더의 경로를 찾은 후
백도어를 만드는 드롭퍼의 이름을 "I(랜덤)a(랜덤)l(랜덤)r.exe" 로 생성하고,
정상 KMPlayer 셋업파일을 "e(랜덤)a(랜덤)l(랜덤)r.exe" 로 생성하고 실행시킨다.



실제 동작을 시켜보니, 정상 KMPlayer 설치가 진행되면서 악성행위도 동시에 이루어 지고 있었다.



C:\Documents and Settings\(사용자명)\Local Settings\Temp 폴더에 아래와 같이 정상파일과 악성파일이 드롭된다.



특히 드롭퍼는 Microsoft 파일로 위장하고 있다.(실행 후 삭제되면서 ㅡㅡㅋ 위장할 필요가 ㅋㅋㅋㅋㅋㅋ)



이후 악성파일 드롭퍼는 C:\WINDOWS\system32 폴더에 악성 dll 파일을 드롭시킨다.
dll파일도 악성파일 생성과 비슷하게 랜덤문자열과 고정문자열로 이루어진다.(귀찮아서 ㅡㅡㅋ 패스!!)



또한 악성 dll은 시스템 부팅 시 자동시작을 위해 서비스 레지스트리를 생성하여 등록한다.


이후 dll이 하는 행위는 따로 분석하지 않았다.
아래 탐지명에 보이듯이 DDoS를 하는 파일일테니 ㅎㅎㅎ

알약에서는 악성 Dll을 Trojan.DDoS.Agent.ulo 로 탐지 중이다.



현재 시간 11월 27일(12시 28분) 이 시간에도 아직 셋업파일은 수정되고 있지 않다.
빠른시일안에 수정이 되길 바란다.

 
블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


알약 2.5 기업용 버전이 바이러스 블러틴에서 심사하는 vb100 10월 테스트에서 통과했다는 소식이다.


- vb100 테스트란?
세계적으로 실제 감염 활동 된 파일들을 수집 된 샘플들을 오진없이 100% 진단해야 하는 테스트로써,
검증 통과 시 vb100 인증마크를 획득 할 수 있다.



이번 vb100 테스트에 사용 된 운영체제는 윈도우 2003 서버 환경에서 이루어졌으며, 첫 테스트 치고는 괜찮은 결과가 나왔다.




다음테스트는 Windows 7 에 이루어 진다고 하니 이번에도 좋은 성적으로 통과해서, 다음달에도 테스트 통과 포스팅을 썻으면 좋겠다.

(모든 이미지는 이스트소프트 공식 기업블로그에서 훔쳐왔음!!)


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


전국민 보안 업그레이드라는 사명을 걸고 탄생 된 [이스트소프트][알약]이 2.1 버전으로 탈바꿈 할 때가 왔다.

지금까지 알약 1.55 버전을 사용하고 계신분들은 이제 곧 2.1버전으로 업그레이드 된다.

알약 1.55버전에 비해 알약 2.1 버전은 "트리플엔진, 64Bit지원, 스마트스캔, 엔진최적화, 자가보호기능강화" 로 1.55버전보다
월등한 성능을 자랑하니 이제 1.55버전은 버리고 2.1버전으로 새롭게 설치하시길 권장합니다.
(* 참고로 트리틀엔진 중 소포스엔진은 32Bit만 지원함)

 
알약 1.55 버전을 사용하고 계신 분들은 10월 말에 자동으로 2.1버전으로 업데이트가 되지만, 어차피 바뀌게 될꺼 좀 더 좋은
알약 2.1버전을 미리 설치해서 사용하는게 좋지 않을까 싶다^^

알약 2.1 버전은 아래의 사이트에서 32bit, 64bit 용으로 각각 설치가 가능하다.

다운로드 주소 : http://alyac.altools.co.kr/Public/Download/Default.aspx





블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



2011년 3월부터 알약 공개용 2.0 베타테스트가 약 5개월을 끝으로 정식버전을 출시했다.

출시에는 알약 공개용 2.1로 업데이트 되면서 공개되었다!!

많은 수정 과정을 거치면서^^; 좀 더 완성도 높은 제품이 사용자들에게 선보여지게 되어서 개인적으로도 만족^^ 

그리고 많은 분들이 모르시는 부분이 있다.
알약 공개용 2.0은 64Bit도 지원하고 있으니^^ 64Bit 사용자분들도 많은 이용 하시기 바람!! (Win7은 기본옵션!! ㅋㅋ)




1. 알약 2.0 공개용 특징
"Powerful"
- 64bit OS 전용 프로그램으로 완벽 지원
- 트리플 엔진 적용으로 탐지력 강화
- 실시간 감시 엔진 고도화로 악성코드 원천차단
- 자가보호 기능 강화로 외부의 공격으로부터 알약을 강력하게 보호

"Fast"
- 엔진 최적화로 메모리 사용량 절감 
- 실시간 감시 엔진 개선으로 체감속도를 향상
- 스마트스캔 기능 강화로 검사 속도를 최적화
- 프로그램 UI 및 업데이트 경량화를 적용

2. 알약 2.0 공개용 주요 기능
- 악성코드 실시간 탐지 및 치료
- 빠른 검사 / 정밀 검사 및 치료 
- PC 최적화 기능
- PC 관리 기능
- 보안 통계 및 로그 관리
- 스마트 업데이트




이에 [알약 홈페이지도 리뉴얼이 된 듯 하다!!
근데 난 전에 버전이 나은것 같기도 하고;; 이번이 좀 깔끔해보이기도 하고 ㅎㅎ



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




이번주도 역시나 개밥 털어가듯 사용자 정보를 털어가는 주말이 되었다.
먼가 대책을 마련해야 할텐데~ 맨날 소 잃고 외양간 고치는 격이니~ 참 답답스럽다;;

암튼 주말을 이용한 악성코드 중 재미있는 내용이 확인되어 잠시 블로그에 옮긴다.

보통 변조 된 사이트에서 악성코드를 사용자들이 감염되기 쉽게 실행되기 위해 EXE(실행파일) 확장자를 많이 이용한다.
하지만 이번에 내려받는 파일은 확장자는 exe 이지만 실제로는 dll 파일로써 쉘코드에 의해 로드되어 또 다른 파일을 설치한다.

많이 이용되고 있는 IE취약점, Adobe Flash 취약점이 지속적으로 이용되고 있으니, 보안 업데이트 및 소프트웨어 업데이트 합시다!!
(업데이트 안하는 씨빠빠들아~ 엉아가 밑에 링크 남겨놨다. 제발 업데이트 좀 해라!!)

- Adobe Flash Player 업데이트 : http://www.adobe.com/go/getflash
- Microsoft Update : http://update.microsoft.com 


자 그럼 어떤 원리로 그렇게 되는지 알아봅시다요~ 
우선 변조 된 사이트에서 사용자에게 감염 시키는 경로에는 역시 취약점을 빠질 수 없다.



위와 같은 취약점으로 이용하여 변조사이트에서 다음과 같은 파일들이 다운로드 될 수 있다.

- 악성 스크립트 파일 및 Flash 파일
hxxp://jt*.**/s/top.js
hxxp://jt*.**/s/head.html
hxxp://jt*.**/s/head.swf
hxxp://jt*.**/s/foot.html
hxxp://jt*.**/s/foot.swf
hxxp://jt*.**/s/top.swf
hxxp://jt*.**/s/hhh.html
hxxp://jt*.**/s/f3.html
hxxp://jt*.**/s/main.swf
hxxp://jt*.**/s/c.swf

- 최종 다운로드 파일
hxxp://jt*.**/s/h.exe

최종적으로 다운로드 h.exe 파일을 살펴보니 이상하게 암호화가 되어 있는 것을 알 수 있다.
말만릿만마만만튐...ㅡㅡa 어쩌라는거냐!!



다운로드 된 파일이 저따구로 암호화가 되어있으니~ 악성 스크립트 쪽의 쉘코드에서 뻘짓을 하는 것이 분명해 보인다.
그렇다면 저 많은 스크립트 파일 중에서 아무거나 하나 골라잡자!! 
(사진상에는 코드가 많이 생략되어 있습니다요!!)



위의 쉘코드를 보면 머 대충 알분들은 알겠지만~ 난독화가 쬐~~금 되어 있지만 이정돈 우리의 말질라님께서 쉽게 풀어줄 것이다.
(쉘코드를 분석하는 방법은 "쉘코드(ShellCode)를 OllyDbg로 쉽게 디버깅 해보자" 요기에서 확인하시길^^)


쉘코드를 뽑아냈으면 이제 분석을 시작하자!!
아래의 그림은 쉘코드 분석의 초입부분이다. LOOP명령에 따라 792번의 XOR 작업이 끝나면 화면의 보라색과 같이 새로운 코드가
작성된다. 그럼 저 노란색으로 된 부분을 자알~ 따라가보자!!



쉘코드를 따라 가다 보니~
C:\Documents and Settings\[사용자]\Local Settings\Temp 폴더의 경로를 얻어 VSLay.dll 파일이 있으면 삭제 시킨다.
파일이 있건 없건 간에 삭제한다. 자신의 파일을 새롭게 생성하기 위해 준비작업인 것이다.
파일삭제 명령이 종료 되면,  아래의 작업등을 행한다.

- 감염자 PC의 레지스트리를 확인 하여 아래의 내용이 있는지 체크한다. 

SOFTWARE\\AhnLab\\V3Lite
SOFTWARE\\AhnLab\\V3 365 Clinic
SOFTWARE\\NHNCorporation\\NaverVaccine
SOFTWARE\\ESTsoft\\ALYac

- 레지스트리에서 체크가 되면 아래의 서비스를 종료한다.
ntsd -c q -pn V3LTray.exe
ntsd -c q -pn NVCAgent.npc
ntsd -c q -pn Nsavsvc.npc
ntsd -c q -pn AYAgent.aye
ntsd -c q -pn ALYac.aye 


그리고 쉘코드에 하드코딩되어 있는 hxxp://jt*.**/s/h.exe 파일을 VSLay.dll 의 이름으로 다운로드 한다.



다운로드 된 VSLay.dll 파일은 살펴보니 아직까지도 정상적인 PE파일이 아니다.
그래서 쉘코드를 더 따라가 보았더니 VSLay.dll 파일의 시작주소를 잡고 ADD 0x24 와 XOR 0xDC 를 하는것이 확인 되었다.


모든 작업을 마치니~ 짜잔!! 정상적인 PE파일의 구조로 보여진다^^



쉘코드는 마지막으로 정상적인 PE파일로 복구 된 VSLay.dll 를 LoadLibrary 시킨다.



이제부터가 실제 악성파일이 설치되는 부분이다. 
VSLay.dll 파일이 로드시킴으로써 여러가지 파일들이 생성된다.
(절대 내가 귀찮아서가 아님 ㅡ.ㅡ;; 시간이 없어서 그냥 생성 된 파일만 알려드리며, 빠진 내용이 많을 수 있음 ㅠ.ㅠ)
- 사용자 PC에 생성되는 악성파일
C:\WINDOWS\midisappe.dll
C:\WINDOWS\ver.dat
C:\WINDOWS\wallball.dat
C:\WINDOWS\windowswalls.bmp
C:\WINDOWS\system32\midisappe.dll
C:\WINDOWS\system32\drivers\ahnsvr.sys
C:\WINDOWS\system32\drivers\ntfsny.sys
C:\WINDOWS\Tasks\ahnsvr.dat
C:\WINDOWS\Tasks\ntfsny.dat
C:\WINDOWS\Tasks\midisappe.dat

- 사용자 PC에 생성되는 레지스트리
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ahnsvr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntfsny

-  감시 대상 사이트(접속 시 아이디와 패스워드를 가로챈다)
http://df.nexon.com
http://www.nexon.com
http://elsword.nexon.com
http://heroes.nexon.com
http://www.netmarble.net
http://aion.plaync.co.kr
http://tera.hangame.com
http://www.hangame.com
http://fifaonline.pmang.com
http://www.pmang.com
http://poker.hangame.com
http://poker.hangame.com/poker7.nhn
http://elsword.nexon.com/main/index.aspx

- 감시 대상 프로세스(접속 시 아이디와 패스워드를 가로챈다)
MapleStory.exe
DNF.exe
lin.bin
iexplore.exe 


현재 알약에서는 다음과 같이 탐지 중이니~ DB업데이트 및 실시간을 항상 On으로 켜두시길 바란다.
(가장 위에 짤방 보이지요? 개밥 털리고 후회말고 미리미리 준비합시다!!)




블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.





이스트소프트(ESTsoft)의 안드로이드 백신 "알약 안드로이드" 가 2011년 상반기 IT혁신상품에 수상했다.

앞으로도 계속적으로 사용자들에게 도움이 되는 보안프로그램이 되길 기원한다!!




이스트소프트의 ‘알약 안드로이드’는 안드로이드용 백신 애플리케이션(앱)이다.


실시간 감시 및 악성코드 치료 외 앱 접근권한, 개발사 정보 및 인지도 분석을 통한 앱 안전 등급을 제공한다.


또한 앱과 스팸 관리 등 안드로이드에 최적화된 보안 기능을 함께 제공해 사용자들의 스마트폰 보안인식을 높이는데도 일조하고 있다.


알약 안드로이드는 ▲악성 파일·패키지 검사 ▲실시간 앱 감시 ▲작업관리자 ▲스팸 전화·문자 차단 등의 기능을 갖췄다.


악성파일·패키지 검사는 이미 설치돼 있는 앱을 검사·치료하는 기능이며, 알약 안드로이드가 설치된 이후에는 모든 앱이 사전 검사를 받게 된다. 불량 앱은 처음부터 실행되지 않는다.


특히 ‘알약 안드로이드’는 실 사용자들이 원하는 기능만으로 구성돼 직관적이고 편리한 인터페이스를 제공한다. 앱 설치나 스팸 수신 등의 특정 액션이 발생하는 경우에만 검사 및 알림 기능이 활성화되도록 설계돼, 메모리와 배터리 소모량을 최소화한 특징도 가지고 있다.




블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


지난 6월 14일 ~ 23일까지 진행 된 [네이버 백신] PC최적화 클로즈 베타 활동에 참여하였다.

열심히 버그를 찾은 결과 다음과 같이 싱크마스터 24인치 모니터에^^ 당첨!!

으흐흐흐~ 같이 열심히 버그를 찾아주신 울지않는 벌새님께 감사의 말씀을 전합니다~!!

이제 조금만 있으면~ 삼성전자 싱크마스터 FX2490 HD 모니터가 손에 들어오네요 ㅎㅎ

10일간의 네이버백신과 함께한 시간 ㅠ_ㅠ 잊지않으렵니다!!




블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




세계적인 보안업체인 트렌드마이크로(TrendMicro)에서 외국 백신기업으로서는 최초로 국내 악성코드 패턴을 자사 제품에
실시간 업데이트를 하겠다고 발표했다.

서비스를 하는 국가에 대한 국지적 악성코드를 대응을 하는건 당연한건데 너무 늦게 시작한게 아닌가 하는 생각이 든다.
물론 안하는 업체들이 훨씬 많으니;; 앞으로 기대를 해본다. 



- 원문보기 : http://www.boan.com/news/articleView.html?idxno=4918

한국트렌드마이크로(대표 박상현)가 외국 백신기업으로서는 최초로 국내 악성코드 패턴을 자사 제품에 실시간 업데이트한다고 22일 밝혔다. 


통상 외산 기업들은 오탐 등을 우려해 특정 국가에서 발생하는 악성코드 패턴을 즉시 제품에 반영하지 않는다. 하지만 트렌드마이크로는 최근 한국지사에 개설한 침해대응센터를 기반으로 국내에서만 발견되는 특수한 패턴도 즉시 반영한다. 


이로써 지난 3·3 DDoS 공격과 같은 국내에 국한된 공격에도 트렌드마이크로 고객들은 안전하게 보호받을 수 있게 됐다. 


박상현 트렌드마이크로 지사장은 “일본, 중국은 자국 패턴을 글로벌 패턴에 추가해 악성코드를 방어하지만 규모가 작은 한국시장은 이에 해당되지 않았다”며 “하지만 최근 개설한 국내 침해대응센터를 통한 실시간 대응이 가능해졌다고 판단해 본사에서도 한국 패턴을 제품에 반영토록 조처했다”고 말했다. 


한국트렌드마이크로 침해대응센터에서 제공되는 패턴은 이번 주부터 클라우드 기술을 적용한 백신 ‘타이태니엄 2011’ 및 DDoS 대응 시스템 ‘TMS’ 등에 한 시간 이내로 적용, 서비스될 예정이다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




지난 6월 1일부터 6월 7일까지 PC최적화 기능이 강화 된 "네이버백신(Naver Vaccine)"에 대한 클로즈 베타 테스터 모집이
진행되었다.

개인적으로 해당 내용을 몰랐었는데 울지않는 벌새님의 권유로 신청하였는데 운이 좋았는지^^; 베타 테스트에 당첨되었다.
(다행히 벌새님도 당첨되셔서 다행;; ㅋㅋ 그리고 정보 감사합니다^^ )


그리고 열심히 활동하시는 분들에게는 아래와 같은 선물을 준다고 한다.
(갖고 싶다 싱크마스터!! ㅋㅋㅋㅋㅋㅋ)

- 활동기간 : 2011년 6월 14일(화) ~ 6월 23일(목)
- 우수자활동자 발표 : 6월 28일(화)

삼성 싱크마스터 FX2490HD 24인치/LED/TV수신 (약 50만원 상당)
네이버 3단 우산 키보드 & 마우스 패드 세트 (약 4만원 상단)


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



이스트소프트(ESTsoft)의 안드로이드 백신 "알약 안드로이드" 의 App 보안등급이 수정되었다.
안드로이드 앱을 개발하시는 분들은 참고하시기 바랍니다.

* 알약 안드로이드 다운로드 : 알약 홈페이지 제품 다운로드 링크

- 알약 안드로이드" 주의 App 보안등급 관련 안내

안녕하세요.

이스트소프트 입니다.


'알약 안드로이드' 사용자분들과 App 개발사 관계자분들께 App 관리 기능 관련하여 아래와 같이 안내해 드립니다.


알약 안드로이드 App 보안등급 중 "주의" 등급으로 평가하는 App의 경우, "악성코드"로 분류되는 "위험" App과는 다른 의미입니다.


"주의" 등급은 App이 사용하는 "권한(퍼미션)"과 개발사 신뢰지수를 종합하여 책정이 되며, 사용자에게 App에 대한 정보 확인한 후 사용이 필요하다는 점을 안내 하기 위한 목적으로 제공되고 있습니다.


"주의" App의 판단 기준은 다음과 같습니다.


     ●  제품 다운로드 수 및 사용자 평가가 자사 기준에 도달하지 못한 경우

     ●  개발사가 신생 업체이거나 개발사 정보가 명확하지 않아 개발사 신뢰 지수가 낮게 평가되는 경우

     ●  과도하게 많은 "권한(퍼미션)"을 사용하여 보안 위협 가능성이 있는 경우


실례로 3월 16일 접수된 "빼꼼 다이어리" App의 경우, 신규 출시된 App으로서 다운로드 수 및 사용자 평가가 적고, App 관련 공식 홈페이지가 확인되지 않아 개발사 신뢰 지수가 낮게 평가되어 "주의" App 등급으로 표기되었으나, 현재 개발사에 대한 App 안전 평가 과정을 거쳐 "안전" 등급으로 변경이 되어있습니다. 


App 정보가 부족한 신규 App의 경우, "주의" App으로 표시될 수 있으니 해당 개발사에서는 개발사 신뢰도 향상을 위해 출시 전에 m_alyac@estsoft.com으로 "App 안전 평가 요청"을 부탁 드립니다.


감사합니다.




블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




이스트소프트(ESTsoft)의 안드로이드 백신 "알약" 이 업데이트 되었다.
오랫만의 업데이트인데~ 좀 더 분발해서~ 나쁜점은 후딱후딱~ 고쳐지는 알약 안드로이드 백신이 되길^^

* 알약 안드로이드 다운로드 : 알약 홈페이지 제품 다운로드 링크

- 알약 안드로이드 v1.2 업데이트 내용
안녕하십니까?
㈜이스트소프트입니다.

알약 안드로이드 v1.2 버전이 업데이트 출시되었습니다.

### 알약 안드로이드 v1.2 ### - 기능 추가 및 개선 사항
1. 일부 쿼티 기종 및 Dell Streak에서 검사기능이 동작하지 않던 이슈 수정
2. 일문, 영문 등 알약 안드로이드 다국어 지원
3. SD카드 내 존재하는 악성 패키지까지 검사 및 치료 지원
4. 악성코드 탐지명 안내 추가
5. App관리/스팸관리 리스트 체크상태 유지
6. 종료 알림창 제거

사용 중 불편하신 점이나 제품 개선에 관한 아이디어가 있으시면 언제든 알약 홈페이지에 오셔서 글을 남겨 주시기 바랍니다. 즉시 수정하거나 개선할 수 있도록 노력하겠습니다.

사용자 여러분의 변함없는 사랑에 감사 드리며, 더 좋은 알약이 되도록 최선을 다해 노력하겠습니다.
블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.





알약의 모바일 백신버전인 "알약 안드로이드"가 벌써 다운로드 100만을 돌파했다.
생각보다 빠르게 급성장 한 것 같은 느낌이 든다.
안티도 별로 없고 ㅡㅡㅋ 개인적으로 알약 안드로이드로 수익이 창출 되길 바란다.


- 직관적이고 편리한 인터페이스, 메모리·배터리 소모량 최소화 장점

[디지털데일리 이유지기자] 이스트소프트(대표 김장중)는 지난 12월에 출시한 안드로이드폰 전용 백신인 ‘알약 안드로이드’가 21일을 기점으로 다운로드 횟수 100만 건을 돌파했다고 24일 밝혔다. 

지난 1월 말 기준 이동통신 3사 통합 안드로이드 OS(운영체제)를 탑재한 스마트폰 사용자가 약 600만 명인 것을 감안하면, 안드로이드폰 사용자 6명 중 1명은 ‘알약 안드로이드’ 앱(App)을 설치한 것으로 볼 수 있다. 

이스트소프트에 따르면, 지난해 12월 6일 출시된 이후 하루 평균 1만명 이상의 사용자가 다운로드하고 있으며, 안드로이드 마켓에서 4.6의 높은 별점과 함께 호평을 받고 있다.

현재 안드로이드 마켓과 주요 통신사 마켓 다운로드 상위권을 유지하고 있는 ‘알약 안드로이드’는 백신으로서 기본적인 실시간 감시와 악성코드 치료 기능 외에도 앱(App)과 스팸 관리 등 스마트폰에 최적화된 보안 기능을 함께 제공한다는 점에서 차별화된다고 회사측은 설명했다.

또한 ‘알약 안드로이드’는 사용자들이 원하는 기능 위주의 직관적이고 편리한 인터페이스를 제공하며, 특별한 이슈 발생시에만 검사·알림 기능이 활성화돼 메모리와 배터리 소모량을 최소화한다는 특징을 가지고 있다. 

알약개발부문 김준섭 부문장은 “현재 알약 안드로이드는 다운로드 횟수 100만 돌파 이후에도 꾸준히 사용자가 증가하고 있다”며, “올해 안에 알약 안드로이드 프리미엄과 함께 영어, 일본어 버전을 출시하는 등 모바일 분야에서도 보안 소프트웨어 개발사로서 명성을 이어가겠다”고 말했다. 

알약 안드로이드는 안드로이드 마켓을 비롯해 SKT, KT 등 주요 통신사 마켓에서 다운로드할 수 있다. 

<이유지 기자>yjlee@ddaily.co.kr



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


방통위(방송통신위원회, Korea Communications Commission)와 한국인터넷진흥원(Korea Internet & Security Agency)에서 
"10년 하반기 악성코드 제거 프로그램 실태조사" 한 결과가 발표되었다.



전체적으로 09년도 보다 이용약관을 게시하는 제품과, 자동업데이트를 제공하는 제품들이 증가하였다고 한다.
또한 악성코드 탐지 성능미달 및 오탐제품에 대한 이용자의 주의를 당부하였다.
- 조사개요 
 ① 조사기간 : 10.9.1. ~ 12.31
 ② 조사대상 : 93개사 206종(유료 181종, 무료 25종) 프로그램
 ③ 조사방법 : 악성코드 탐지 및 치료 성능, 이용약관 게재, 설치시 사용자 동의 여부, 업데이트 여부, 실시간 탐지 기능 등 
                    39개 항목에 대해 조사

방통위와 Kisa에서 조사를 통한 악성코드 치료율 상위 프로그램(15종)를 소개했다.
이 제품들은 신뢰성이 있으며 충분히 사용자가 사용해도 검증 된 제품이기 때문에~ 엄한 프로그램들은 좀 자제하시길 바란다.
 프로그램명 업체명(업체명 : 가다나순)  유/무 
 노애드 안티스파이웨어, 노애드2+ 노애드  유료 
다음툴바, 악성코드클리닉   다음커뮤니케이션 유/무료 
 V3 365 클리닉, V3 Lite  안철수연구소 유/무료 
 바이러스체이서 5.0  에스지에이 유료 
알약   이스트소프트 무료 
nProtect AVS2007   잉카인터넷 유료 
 바이로봇 Desktop 5.5  하우리 유료 
Qook 인터넷 닥터   KT 무료 
 U+ 인터넷 알약 프리미엄,
U+ 인터넷 PC 안심이
 LG U+ 유/무료 
 네이버 PC그린  NHN 무료 
B인터넷클린   SK브로드밴드 무료 
※ 유/무료 구분은 개인 사용자 기준임
※ 설치 시 동의․이용약관이 없는 등 필수 항목이 누락되거나, 실시간 탐지 기능을 지원하지 않은 프로그램은 제외

방통위에서 발표 한 내용은 해당 파일에서 자세한 내용을 확인 할 수 있다.


개인적으로 하는 말이니, 관계자분들은 기분 나쁘게 듣지 않으셨으면 합니다.

1. 이용약관과 자동업데이트를 하는 제품이 늘어나서 좋은건가? 
- 어차피 법을 피해가기 위한 하나의 방법일뿐~ 사용자가 괴로운건 마찬가지인데~!!

2. 성능미달이나 오탐제품에 대해서는 주의를 줄 것이 아니라~ 정부차원에서 좀 막아달라!!
- 정부차원에서도 막을 수 없다면, 법이라도 좀 강하게 때려서 신뢰되는 보안업체에서 탐지라도 하게 해 준다면, 
  그 놈의 허위백신, 가짜백신들은 국내에서 살아남을 수 없을텐데, 항상 생각하지만 안타까울뿐이다.

마지막으로 보도 된 기사에서는 오탐, 성능미달 등 문제점이 나타난 제품의 제조자에게 조사 결과를 통보해 시정 권고를 한다고 하는데 그런 행동을 하기보다는 사용자이 지금보다 더 안전한 프로그램을 사용 할 수 있는지에 대한 연구를 하길 바란다.



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


독일 보안제품으로 유명하며 일명, 빨간우산으로 더 유명한 아비라(Avira)에서 한국판 출시를 기념하여 이벤트를 개최했다.

Avira Antivir Personal, Avira Antivir Premium, Avira Premium Security Suite 제품을 이제 한국어로 만나볼 수 있기에 사용자에게 있어 좋은 기회인 것 같다. 물론 유료제품도 있다.

그동안 영어로 되어 있어서 사용하지 못했던 분들도 이번기회에 한번 사용해 보길 권하며, 특히 Antivir 제품은 변종탐지에 탁월한 탐지능력을 가지고 있다.

개인적인 생각으로 외국제품은 한국에서 런칭해도 성공한 적이 없는 것으로 알고 있다. 그 이유는 한국에는 국내보안업체들이 항상 점령하고 있었기 때문이다. 한마디로 지풀에 나가 떨어졌는데 이번 아비라 제품은 어떨지~ 내심 기대하고 있다^^

Avira 한국 출시 기념 이벤트 avira event Avira Antivir Personal 무료 백신 다운로드 Avira Antivir Premium 30일 평가판 다운로드 Avira Premium Security Suite 30일 평가판 다운로드 Avira 백신 이벤트 참여하기

이벤트 바로가기 : http://simfile.chol.com/event/avira10/

이벤트 기간 : 2011년 1월 19일 ~ 2011년 2월 28일까지
이벤트 상품 : 애플 아이팟터치 32G(1명), 닌텐도 Wii(2명), Luxeed U5 LED(4명), 웹하드™SAFE 8G(10명)
이벤트 발표 : 2011년 3월 9일
이벤트 방법 : 
1. SNS, 블로그에 아래내용을 복사하여 이벤트 홍보를 한다.
2. Avira 백신을 사용해보고 사용후기와 함께 자신이 SNS, 블로그, 카페에 올려주세요.

블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



12월 6일 공개 된 이스트소프트(ESTsoft)의 안드로이드 백신 "알약" 이 업데이트 되었다.
마켓에 공개 된 후 많은 인기를 얻고 있으며^^ 한걸음씩 수정해서~ 안드로이드 세계도 알약이 점령했으면 좋것당 ㅎㅎ



- 알약 안드로이드 v1.1 업데이트 내용
안녕하십니까?
㈜이스트소프트입니다.

알약 안드로이드 v1.1 버전이 업데이트 출시되었습니다.

### 알약 안드로이드 v1.1 ### - 기능 추가 및 개선 사항

* 기능 개선
1. App 설치 후 안전 등급 알림 프로세스 수정
2. 스팸설정 프로세스 수정
3. App 안전 등급 개선
4. 번호 없는 메시지 도착 시, 알약 프로세스가 종료되는 현상 수정
5. 스팸 등록 시, 지역번호가 잘못 기재되는 문제 수정
6. 심볼릭 링크 오류 발생 시, 알약 프로세스가 종료되는 현상 수정

* 기능 추가
1. 실시간 감시 - App 설치 후 안전 등급 알림 설정 추가
2. 검사 중 홈버튼 클릭 시, 멀티태스킹 지원
3. 상태표시 바에 스팸차단 알림 설정 추가

사용 중 불편하신 점이나 제품 개선에 관한 아이디어가 있으시면 언제든 알약 홈페이지에 오셔서 글을 남겨 주시기 바랍니다. 즉시 수정하거나 개선할 수 있도록 노력하겠습니다.

사용자 여러분의 변함없는 사랑에 감사 드리며, 더 좋은 알약이 되도록 최선을 다해 노력하겠습니다.

한가지 공지사항에 바랄 점이 있다면, 사진도 첨부해서 넣으면 좀 더 이해하기 쉬울텐데^^;; 라는 아쉬움이 남는다.





블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.