본문 바로가기
자바 스크립트 난독화/암호화를 적절하게 사용해야~ 백신업체도 편하다!! 백신업체에서는 항상 오탐지를 최소화 시키기 위해 노력한다. 하지만 스크립트같이 웹페이지에서 많이 사용하는 경우는 범용적으로 탐지시그니쳐를 가질 수 있기 때문에 종종 오탐지가 난다. 웹개발자들은 그런 사항들을 모르는 경우가 많기 때문에 오탐지가 발생하는 경우가 많다. 하나의 예를 들어보자!! 한 사이트에서 아래와 같은 스크립트 형태로 웹페이지가 동작하고 있다고 한다.한눈에 봐서는 이거 악성코드아닌가? 라고 할만큼 악성스크립트에서 많이보던 형태로 페이지가 존재하고 있다. (참고로 해당 코드는 블로그 및 카페, 홈페이지에 음악BGM을 생성해주는 코드이다.) 위의 페이지에는 "eval(function(p,a,c,k,e,d)" 스크립트를 사용하고 있었다. 이 방식은 Dean Edwards가 만든 자바스크립트 압축.. 2011. 8. 19.
시만텍(Symantec), 업데이트로 인한 World of Warcraft 파일(scan.dll) 오진소식 세계적으로 인기있는 온라인 게임인 World of Warcraft(와우)의 파일을 오진 한 소식이 전해졌다. 중요한 내용은 아니지만 기록용으로 남긴다. 오진 한 파일은 "scan.dll" 이며 "Infostealer" 로 탐지 하였다. http://www.virustotal.com/analisis/2c9d1b6b863dd4a4e83f87d74307e7b3ca3bd70e2d605f25ea3fecc7967c3b5e-1273917649 원문보기 : http://www.theregister.co.uk/2010/05/17/symantec_wow_false_alarm/ World of Warcraft denizens are complaining that an anti-virus update published by .. 2010. 5. 18.
알약의 오탐지 사건, 재탕좀 그만하자, 이제 지겹다!! 위의 사진은 2008년 12월 8일 알약에서 자신의 업데이트 파일을 오탐지 한 사진이다. 그 당시에 12월 8일 오후 9시 30분에 패턴 인식 데이타베이스를 업데이트 하는 과정에서 AYUpdate.exe를 S.Spy.Lineag-GLG로 오진하였다. 참고사항으로 S.Spy.Lineag-GLG 탐지명은 현재도 많이 성행하고 있는 악성코드이다. 이 글에 나오는 S.Spy.Lineag-GLG은 AYUpdate.exe 파일에 국한된 내용이므로 혼동하지 않아야 한다. 정상 적인 탐지명이다. - 관련기사 쿠키 뉴스 [2008.12.09 13:39] http://news.kukinews.com/article/view.asp?page=1&gCode=eco&arcid=0921123208&cp=nv 보안 뉴스 [2008-.. 2010. 4. 21.
안철수연구소(Ahnlab), 인텔저장소드라이버 장애조치 안철수연구소(Ahnlab)에서 2010년를 기원하며 또 한번 큰 일을 내셨구나... 2007년에도 윈도우 XP 서비스팩 3에 존재하는 Lsass.exe 파일을 삭제해서 큰 사고가 있었는데;; [안철수연구소 긴급공지]윈도 SP3에 포함된 Lsass.exe 파일 복구 안내 http://blog.ahnlab.com/ahnlab/307 이번에는 Intel이네, 후덜덜 Cloud Anti-Virus 솔루션인 AhnLab Smart Defense로 인해서 오탐지의 문제가 계속 벌어지는게 아닌가 하는 추측이 든다. 안녕하십니까? 안철수연구소입니다. 2/11(목) 배포된 V3 엔진 2010.02.11.01 버전에서 특정 파일(iastor.sys: 인텔사 저장소 드라이버)의 일부 버전을 검사하는 과정에서 다음 조건에 해.. 2010. 2. 12.
안철수연구소, 오진 재발 방지 대책 발표 전일 안철수연구소 V3 제품이 오진하는 사태가 벌어진 지 하루만에 오진 재발 방지 대책을 발표하였다. 공지사항을 살펴보니, 이건 기본적으로 스파이웨어 제품이라면 있어야 하는 프로세스가 아닌가 하는 생각이 들었다. 여태까지 없었던것 자체가 이상할 정도다. ViClear와 같은 허위백신이 난무하는 시기에, midas.dll을 처음 사용하는 경우도 아니고 이 계통에 아는 사람은 다 알것이다. midas.dll이 얼마나 많이 사용되고 있는지~ 근데 이제와서?? ㅋㅋ 하기사 모르는 사람이 더 많을테니, 언론플레이의 대가이신 안렙께서 어련히 잘 하겠지 ㅎㅎ 원문 보기 : http://kr.ahnlab.com/company/pr/comIntroKoNDView.ahn?B_SEQ=143367 안철수연구소는 12일 V3 .. 2010. 1. 13.
안철수연구소, 전국 일부 민원전산망 서비스 불통의 원인은 Midas 레지스트리 오늘 오전 11시 경 안철수연구소의 오진이 발생하였음. 오진으로 인하여 전국 시군구 민원업무망을 일부가 통신장애를 일으켜 업무가 마비되었다고 한다. 오진이 된 DB는 금일 오후 5시 전후로 업데이트를 한다고 안철수연구소는 발표하였다. 금일 오진의 원인은 허위 스파이웨어 제거프로그램인 Win-Adware/Rogue.Viclear.2959872 탐지명 DB에 정상적인 Midas.dll과 관련 된 레지스트리가 동일하여 발생되었다. - Midas.dll과 관련된 레지스트리 내용 HKEY_CLASSES_ROOT\Borland.Midas_DatapacketRead.1 HKEY_CLASSES_ROOT\Borland.Midas_DatapacketWrite.1 HKEY_CLASSES_ROOT\Borland.Midas_D.. 2010. 1. 12.