게토클로버

컴퓨터 강좌/보안.백신에 해당하는 글: 2

  1. 2009년 08월 09일 DDos(디도스) 주말 재발설에 대한 생각 및 디도스의 정의와 원리
  2. 2009년 02월 12일 2090 바이러스가 최강이라고? 말도 안되는 소리하고 있네. (2)
1

DDos(디도스) 주말 재발설에 대한 생각 및 디도스의 정의와 원리

08 9, 2009 17:36

한동안 난리를 피우고 또 한동안 잠잠했던 DDos(디도스)공격이 이번 주말에 다시 재발될 가능성이 있다고 신문기사가 나왔더군요.
물론 방송통신위원회에서도 공식 경고를 했으니, 어느 정도 믿을 만한 말이긴 합니다.

여기서 일단 조선일보에 실렸던 관련기사를 보시죠.
주말 디도스 공격 가능성
미 유명 사이트 피해 당해... 방통위 공식 경고

  지난달 7일 국내 주요 사이트를 마비시켜 인터넷 대란을 불러일으켰던 디도스공격이 이번 주말에도 벌어질 가능성이 있다고 방송통신위원회가 7일 공식 경고했다
<중략>
방통위는
지난 6일 트위터,페이스북,라이브저널 등 미국의 유명 인터넷 사이트들이 일제히 디도스 공격을 받아 서비스가 일시 중단되거나 속도가 느려지는 피해를 당했다

<이하 생략>
조선일보 김종호 기자

* 해당 기사에 대한 게토의 생각

 
물론 디도스를 억세게 때려맞은 대한민국에서 많이 쫄아있다는 것은 인정하나, 방통위가 공식 경고 까지 했다는 건 조금 이해가 안 가는 부분입니다.
6일 날 미국을 공격했던 공격자가 만약 우리나라를 공격한다면,
그것은 그 공격자가 저번의 공격자와 동일인이라는 말이라고 할 수 있겠습니다.

그런데 중요한 것은 저번 디도스공격에 쓰였던 숙주컴퓨터는 포맷이 되어버렸다는 것입니다.

그렇다는 것은 숙주가 모두 손실되었다는 것이고,
그 사이에 다시 숙주를 만들어야 하는데,
시간상으로 넉넉치가 않습니다.

따라서 이번 주말에 디도스가 한국을 때릴 확률은 매우 적다고 생각합니다.


-------------------
그런데, 다시 한 번 우리를 겁내게 하는 단어인 디도스(DDos)가 무슨 뜻인지는 아시나요?
이미 신문과 뉴스 등의 매체를 통해 많이 접하셔서 대충은 알고 있으시리라 생각이 됩니다.
하지만 대충 알아서는 완벽한 대비를 할 수 없습니다.
그러니 이번에 한번 디도스에 대해서 자세히 알아보도록 합시다.

* 디도스(DDos)의 정의와 원리 


조선일보에서는 디도스를 아래와 같이 정의하고 있습니다.
DDos(디도스, 분산서비스거부)
맞는 말입니다.
그러나 저 설명으로만 봐서는 도통 무슨 소린지 알 수가 없습니다.

이제 부터 정말 쉽게 정말 기초부터 알려드리겠습니다.

사람이 인터넷에서 필요한 정보를 보려면 필요한 정보가 포함되어 있는 인터넷 페이지를 봐야합니다.
그런데 이 인터넷 페이지는 [서버]라는 대규모 컴퓨터 시스템에 저장이 되어있습니다.
즉, 사람이 www.getoclover.com/index.html 이라는 페이지를 볼 때는
위의 주소에 해당하는 페이지를 다운받으려고 서버에 요청을 합니다.
그리고 해당하는 페이지를(엄밀히 말하면, 파일을) 서버에서 다운로드 받게 해주고,
우리는 다운을 받습니다.
그 다운받은 페이지파일은 인터넷임시폴더라는 곳에 저장되고,
그 저장된 파일을 컴퓨터 웹브라우저(Internet Explorer 등)가 불러들입니다.
그리고 그 화면을 우리가 보게 되는 것이지요.

그런데 우리가 페이지파일을 받아올 때에는 [트래픽]이라는 것이 발생합니다.
이 트래픽은 우리가 특정 파일을 다운 받을 때 그 파일의 용량만큼 서버의 회선에 부담을 줍니다.
톨게이트에서 통과요금을 내는 것과 비슷한 개념으로 받아들이면 쉽습니다.

그런데 이 트래픽은 하루 단위로 할당량이 있습니다.
그 트래픽을 초과하게 되면 해당 서버에는 접속이 불가능하게 됩니다.

또한, [서버]도 하나의 컴퓨터입니다.
갑자기 너무 많은 사람이 접속하게 되면, 갑자기 너무 많은 프로그램을 실행하는 것과 같이 됩니다.
따라서 소위 말하는 [렉]이 걸리게 되지요. 물론 속도가 느려지는 이유는 이 때문입니다.
그러나 이 증상이 너무 심하면 서버 자체가 [다운]이 되어버립니다. (여기서의 다운은 다운로드의 다운이 아닌 넉다운의 다운입니다)

이런 기본적인 개념이자 이치를 하나의 취약점으로 만들어 버린것이 디도스 공격입니다.

일단 디도스 공격을 하고 싶은 공격자는 악성코드를 제작합니다.
악성코드에는 공격자가 원격으로 명령을 내린다음 그 명령을 수행하거나, 혹은 자체적으로 내장된 명령을 수행하는 기능을 첨부합니다.

디도스 공격자는 이 악성코드를 여러 경로(이메일, 불법다운로드사이트, P2P)를 이용하여 전파시키고,
악성코드 방지 기술이 없는 컴퓨터를 감염시킵니다.
이런 식으로 몇만개의 컴퓨터가 감염됬다고 칩시다.
이런 디도스 악성코드에 감염된 컴퓨터를 [숙주 컴퓨터] 또는 [좀비 컴퓨터]라고 합니다.
그리고 디도스 공격자는 방안에서 썩소를 지으며 원격으로 공격할 사이트나 서버를 지정합니다.

그러면 동시에 디도스악성코드에 감염된 몇만개의 컴퓨터가 동시에 특정 서버에 접속을 시도합니다.
그런데 이 접속하는 횟수는 시스템자원이 되는데까지 빠르게 여러번 접속을 합니다.
이 때문에 공격하는 도중의 숙주 컴퓨터는 속도가 현저하게 정말 못 써먹을 정도로 느려지는 것 입니다.

그렇게 되면 해당 페이지가 있는 서버는 몇억 몇조 번이 넘는 접속에 다운되어 버리게 되고,
결국은 접속불가에 이르게 되는 것입니다.

최대한 자세히 설명했는데 이해가 가셨나요?

크리에이티브 커먼즈 라이센스
Creative Commons License
이올린에 북마크하기(0) 이올린에 추천하기(0)
"보안.백신" 카테고리의 다른 글
08 9, 2009 17:36 08 9, 2009 17:36
tag , ,
posted in 컴퓨터 강좌/보안.백신 | posted by 게토|운영자
0 trackback | 0 comment

trackbacks

trackbacks rss

http://www.getoclover.com/tc/trackback/623

comments

comments rss (+댓글 쓰러가기)

Leave a Comment

[로그인][오픈아이디란?]

2090 바이러스가 최강이라고? 말도 안되는 소리하고 있네.

02 12, 2009 14:20

요즘 이 2090바이러스 라는 녀석이 인터넷을 뜨겁게 달구고 있습니다.
인터넷 상에서는 뭐 이 바이러스가 포맷해도 안되는 최강급이라는 헛소리를 지껄이고 있더군요.

오늘은 이 바이러스 놈을 한번 파헤쳐 보겠습니다.
<목차>
1. 2090바이러스는 정말 포맷으로도 치료가 불가능한가?
2. 2090바이러스의 전파경로는?
3. 2090바이러스의 증상은 무엇인가요?
4. 잠깐만요 잠깐만요! usb를 꼽는다고 바이러스에 걸린다구요?
5. 그러면 usb전파 바이러스는 어떻게 막아요?
6. Autorun 기능은 어떻게 꺼요?
7. 이 바이러스(2090 바이러스)에 걸린 다음에는 포맷밖에 치료방법이 없는건가요?
8. 정말 확실한 예방법은 뭔가요?
9. 게토클로버 운영자가 생각하는 최강의 바이러스는?
10. 마치며...
우선 좀 쉬고 본론으로 들어가죠.

1. 2090바이러스는 정말 포맷으로도 치료가 불가능한가?
이 2090 바이러스는 카스퍼스키에서는 Rootkit.Win32.Agent.hcd / Trojan.Win32.Inject.oqw라는 이름을 붙였으며, 위키백과에서는 Win32/AimBot.worm.15872 , V.WOM.Aimbot.CC 라고 명명하고 있습니다.

결국은 웜, 트로잔, 루트킷 으로 분류할 수 있는 바이러스입니다.
즉, 포맷해도 제거할 수 없다는 말은 거짓부렁이인것입니다.

이해가 안가신다고요? 더 자세하게 설명드리지요..
포맷해도 치료가 불가능한 바이러스는 오직 하나, 바이오스(CMOS)에 상주하는 상주바이러스입니다.
인터넷에서는 정말 멋 안나게시리 기생형 바이러스라는 듣보잡 언어를 사용하더군요.

그런데 이 2090바이러스는 이 상주형 바이러스가 아니라고 위에서 나왔습니다.
어떤 백신도(물론 거지같은 백신을 제외하고) 이 바이러스를 상주형바이러스라고 하지 않더군요.

결국은 이 2090바이러스는 포맷으로 치료 가능하다는 말입니다.

어떤 거지같은 인터넷뉴스에서, 그것도 컴퓨터 전문 뉴스사에서 포맷해도 치료 안된다는
터무니 없는 말을 믿고서 기사를 썼더군요..
덕분에 우리 뭣모르는 네티즌분들은 엄청 쫄아서 부들부들 거리고 있다고  합니다. 에휴...
하여튼 인터넷 기사는 믿지 않는게 상책인듯 하군요...

한국에서 루머 한번 퍼지면 사람 죽는 일이 허다한 이유를 절실히 깨달은 날이었습니다.

2. 2090바이러스 전파경로는?
우선 usb의 오토런(Autorun)기능을 이용한 전파를 주로 하고 있는 것 같습니다.
둘째로는 네트워크 접속 중 전파되는 것인데, 이 부분은 왠만한 방화벽이면 막아줄 수 있을 듯 합니다.

3. 2090바이러스 증상은 무엇인가요?
이 부분은 위키 백과의 글을 인용하겠습니다.

컴퓨터 시간을 2090년 1월 1일 오전 10시로 고정함과 동시에 윈도우 시스템 폴더에 임의의 숫자 7(일곱)자리로 된 악성코드 복사본 파일, temp 폴더에는 5(다섯) 자리로 된 sys 파일을 생성한다. CPU와 메모리의 리소스를 과도하게 잡아먹어 컴퓨터가 다운될 수 있으며, 충돌로 인한 블루스크린(BSOD) 발생 가능성이 있다.

부팅 후 자동 실행이 되기위해 키 값을 등록시킨다. 등록이나 등록 후 정상적인 인식을 하지 못하거나 버그로 인해 로그온/로그오프를 반복하기도 한다. (관련 내용: userinit.exe의 경로 변경) 윈도우 XP 서비스 팩 3 이용 시스템에서 감염 시 이와 같은 현상이 주로 나타난다고 알려져있다.

네티즌들 사이에서 바이오스 상주 가능성과 포맷 후 찌꺼기 잔여 가능성이 제기되었으나, 재감염으로 인해 오해한것으로 보인다.

 굵게 표시한 부분을 봐주십시오.
제가 생각하기에는 아마 이렇게 되서 헛소문이 돈 것 같습니다.

모씨가 2090바이러스에 감염된 usb를 산뜻하게 자기 컴에 쑤셔넣었고,
그 결과 감염되었습니다.
평소에 컴 좀 하는 척 하는 모씨는 포맷을 하면 끝일거라고 생각하고 감염된 usb에
각종 필수 드라이버 및 프로그램들을 저장하고서 포맷을 시작합니다.
포맷을 완료하고서는 드라이버 깔려고 usb를 다시 꼽는 순간 다시 감염되었습니다.
무식한 모씨는 이 것을 보고,..
"옴메나! 왓 더 헬?! 이 놈은 포맷도 소용없는가벼!"
그 후 인터넷에 자신의 사연을 올립니다.
수많은 무지(無知) 네티즌들은 또 똑같이 옴메나! 하고 놀랍니다.
참 어이가 없지요...

4. 잠깐만요 잠깐만요! usb 꼽는다고 바이러스에 걸린다고요?
네, 신종 바이러스들의 대부분이 이 방식을 채용하고 있습니다.
대부분의 사람들은 인터넷만 잘 막으면 안전할 것이라고 생각합니다.
나쁘신 분들은 그 틈을 노린 겁니다.

더 자세히 설명해 드리겠습니다.
usb 혹은 외장저장장치들의 최상위폴더(맨처음 나오는 곳)에는
Autorun.inf 파일을 추가함으로써 그 저장장치를 컴퓨터에 꼽는 순간
자동적으로 어떤 파일을 실행하게 할 수 있습니다. 다른 행동도 물론 가능합니다.
이 기능은 게임CD, 프로그램CD에 자주 사용됩니다.
CD넣고서 바로 설치창 뜨는 것도 이것을 이용한 것이랍니다.
그런데 나쁘신 분들은 이 좋은 걸 나쁜쪽으로 이용하신 겁니다.
usb를 꼽으면 자동적으로 바이러스 프로그램을 실행하게 만든거죠..
이 Autorun은 사용도 매우 간단해서 저도 만들려면 언제든지 만들 수 있을 정도랍니다..

5. 그러면 usb 전파 바이러스는 어떻게 막아요?
간단합니다.
Autorun 기능을 아예 꺼버리시거나,
V모 백신 같은 국내의 쓰레기 백신 말고
카스퍼스키와 같은 세계 랭킹 5위 안에 드는 백신을 이용하시면
맘대로 꼽으셔도 됩니다.

6. Autorun 기능은 어떻게 꺼요?
간단합니다.
아래의 프로그램을 다운로드 받아서 실행한뒤 자동실행 차단 버튼을 눌러주면 됩니다.
참고로 이 프로그램은 국정원에서 제공하고 있습니다.
이름은 usbguard 라죠.
usbguard.exe


7. 이 바이러스 걸린 다음 치료할 방법 포맷 외에는 없나요?
있습니다.
카스퍼스키 랩에서 발췌한 글입니다.
1. USB 드라이브 및 공유된 네트워크 드라이브 등을 통해 확산되므로 USB 드라이브 검사 및 포맷, 공유된 네트워크 드라이브 검사 및 연결을 끊기 바랍니다.
 
2. %SYSTEM% 폴더에 ???.exe, ???? 의 숫자로 된 파일과 system.exe 파일을 삭제합니다.
 
3. 임시 폴더(%temp%)에 있는 ????.sys 파일을 삭제합니다.
 
4. SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit 값이 삭제되어 있다면, "C:\WINDOWS\system32\userinit.exe," 와 같이 자신의 윈도우 설치 경로에 맞게 추가합니다. (문자열 값)
 
5. 컴퓨터 날짜를 현재 날짜로 다시 되돌립니다.
위의 것은 수동으로 치료하는 방법이고요. 따로 전용백신도 카스퍼스키에서 제공하고 있더군요.

사용법은...
1. 백신이 없거나 인터넷이 안되는 경우에 위 무료 백신을 다운받아 실행합니다.
2. 내 컴퓨터 전체 검사를 수행하여 바이러스를 삭제합니다.

만약 이 바이러스 땜시 부팅이 안되시는 상황이시라면,,
http://www.kaspersky.co.kr/registry_fixd.html (새 창으로 열기)에 들어가보세요.
응급복구 디스크를 이용한 부팅을 하는 방법을 알려드립니다.
다만, 카스퍼스키 백신을 깔아서 응급복구 디스크를 만들어야 하는 단점이 있습니다.
귀찮으시면 포맷 콜!

8. 정말 확실한 예방법은 뭔가요?
솔직히 오토런 해제, 바이러스백신도 100퍼센트 믿을 순 없습니다.
2090 바이러스는 서버 서비스의 취약점으로 인한 원격 코드 실행 문제점 이라는 취약점을 이용하기 때문에
그 취약점을 아예 제거해버리는 MS Windows vulnerability MS08-067 패치 를 설치하면 절대로 걸리지 않습니다.
패치는 자동업데이트로 2009년 2월 11일부터 자동업데이트로 제공하더군요.
마이크로소프트에서도 이 것 땜시 난리가 난 모양이더군요.
저도 당장 업데이트 했습니다.
어쨋든 왜 마소놈들은 취약점들을 몇천개씩이나 만들어놓은건지;;;
마소는 버그로 넘쳐나는 운영체제 하나로 먹고 살아가고 있다는 소리군요...

9. 게토클로버 운영자가 생각하는 최강의 바이러스는?
어렵군요...
하지만 제가 생각하기에는 CIH바이러스가 최강자인것 같군요.
물론 지금은 한물 가신 바이러스 분이시지만,
그 당시에는 엄청났습니다.
아마도 바이러스중에서 하드웨어를 자체를 망가뜨려버리는 바이러스는
이 CIH바이러스가 처음이자 마지막인 것 같습니다.
별명은 체르노빌 바이러스.
체르노빌 원전사고 13주년 기념 바이러스랍니다.
그 당시는 하드디스크의 용량이 2~4GB 정도되었습니다.
그런데 이 체르노빌 바이러스는 하드디스크의 데이터를 모두 날릴 뿐만 아니라,
하드디스크 안에는 새로운 파일을 저장할 때마다 공간을 지정해주는 주소록 기능을 수행하는 부분이 있는데, 이 바이러스는 바로 이곳을 파괴한답니다. 때문에 바이러스에 감염되면 PC가 어디에 무엇이 저장되어 있는지 파악할 수 없는 혼란에 빠져 파일을 복구할 수 없게 되어 하드디스크를 아예 갈아야 했고,
만약 기본 입출력 시스템(BIOS)이 감염되면 기판이나 플래시메모리칩을 교체해야 했습니다.
그런데, 4GB가 넘는 하드디스크는 포맷까지는 시킬 수 있으나,
하드웨어 자체를 망가뜨리는 것은 불가능합니다.
결국 지금 시점에서는 이 바이러스는 바이러스가 아니라고 봐도 무관할 정도입니다.
물론, 포맷 시킨다는 점에서는 아직까지도 위헙하긴 합니다.
정말 최악의 바이러스 였습니다.
그 피해 규모도 장난 아니었습니다.
1999년 4월 27일에는 전 세계의 컴퓨터 중 약 60만대를 맛이 가게 해버렸으며,
그 중 30만대는 우리 대한민국 컴퓨터랍니다.
얼마나 한국인이 보안에 취약한지를 알려줬던 사건이 되었지요.
우리나라가 이 체르노빌 바이러스한테 가장 많이 공격당한 나라랍니다! 베리베리 자랑스럽군요.
이 바이러스는 당시 유행하던 멜리사 보다는 전염력이 떨어졌지만, 피해는 장난 아니었습니다.
한국에서는 대부분  '무비 플레이어1.46'을 다운받고 설치하는 것을 통해서 감염되었습니다.
페이크 프로그램 제대로 설치하신 우리 자랑스런 한국분들입니다.
물론 인터넷 연결 자체로도 많은 감염이 있었습니다.

위의 근거를 바탕으로 제가 생각하기에는 CIH바이러스가 최강인 것 같습니다.(논술 분위기?)

10. 마치며...
네티즌 여러분들.. 확실하지 않거나 잘 모르시면 그냥 조용히 계세요..
호들갑 떨지 마시고...
귀찮아집니다...
그냥 인터넷에 올리지 마시고 백신만드는 회사에 전화하세요.
가장 안전하고 편합니다.
니 컴 망가졌다고 우리들 두렵게 하지 말아주세요 ^^
크리에이티브 커먼즈 라이센스
Creative Commons License
이올린에 북마크하기(0) 이올린에 추천하기(0)
"보안.백신" 카테고리의 다른 글
02 12, 2009 14:20 02 12, 2009 14:20
tag , , , ,
posted in 컴퓨터 강좌/보안.백신 | posted by 게토|운영자
1 trackback | 2 comments

trackbacks

trackbacks rss

http://www.getoclover.com/tc/trackback/212

  1. 웜 확산보다 소문이 빨랐던 2090 바이러스

    Tracked from "쿨캣의 블로그 놀이" 02 16, 2009 12:52 D

    2009년 2월 9일 시스템 날짜를 2090년 1월 1일로 변경하는(변경되지 않을 수도 있음) 신종 악성코드가 발견되었다. - 파일명 : system.exe - 파일길이 : 15,872 바이트 - MD5 : 9420396e9264918f50155b577ceda82e - V3 진단명 : Win32/AimBot.worm.15872 ( 2009.02.09.03 엔진에서 Win-Trojan/Agent.15872.KM 로 진단) 사람들 사이에 2090 바이러..

comments

comments rss (+댓글 쓰러가기)
  1. 게토|운영자 2009년 02월 16일 13시 54분
    M/D R
    쿨켓님~ 어떻게 이런 조촐한 블로그를 찾아주셨는지... 참 영광입니다! (;;)
    트랙백 감사합니다.
  2. 김모씨아들모대경  2009년 04월 20일 17시 38분
    M/D R
    게토 운영자님 짱이십니다 !@!@! 어떻게 이렇게 잘하시는짘ㅋㅋ
    짱이네요 ㅋㅋㅋㅋ 저희집와서 포멧좀 해주고 가세요

Leave a Comment

[로그인][오픈아이디란?]

1