본문 바로가기

Computer & IT/팁 과 자료

보안제품 사용자라면 최소한 알아야 할 진단명 설명


1>  V3  < V3 Internet Security 2007 Platinum / 백신 + 안티스파이웨어 통합제품>


1-1> 유해가능 소프트웨어 진단 <백신 설정옵션으로 진단하지 않도록 설정 가능>

- Win-AppCare

다른 악성코드나 사용자에 의해 악용될 여지가 있거나 실제 악용되는 정상 프로그램으로
자체 악성기능은 없음

- Win-AppRisk :

정상적인 사용을 위해 제작되었으나 악용되고 사용자에게 심각한 피해를 주는 프로그램으로
프로그램 버그 등으로 인해 악성코드와 무관하게 피해 발생이 가능

1-2> 진단명 + suspicious
--->Win32/EntryZero. / Win32/NSAnti. / Win32/Viking./Win32/Enigma./Win32/PEnguin.
      / 등의 변종 진단.
--->진단/ 치료가 추가 되지 않은 악성파일 진단 ( 휴리스틱 진단)
--->정확한 치료를 위해  샘플 신고 필요

1-3>진단명 + Gen
--->Win-Trojan/AVKiller / Win32/Viking / 등 변종 진단..
--->general detection 진단 기법..
--->진단/ 치료가 추가 되지 않은 악성파일 진단
--->정확한 치료를 위해  샘플 신고 필요


2> 카스퍼스키
<카스퍼스키 인터넷 시큐리티 6.0 / 백신 + 안티스파이웨어 통합제품>

2-1>  not-a-virus  + 진단명 --- >  안티스파이웨어에서 잡히는 항목 또는 유해가능 파일

2-2>  리스크웨어 / Riskware / RiskTool  ----> 유해가능 소프트웨어 진단 ..
                                 <백신 설정옵션으로 진단하지 않도록 설정 가능>
------> 설명은 1-1> 참고

2-3>  password-protected-EXE   ---> 암호화 압축된 실행 파일 진단 ( 백신이 악성코드 여부를 판단할수 없어 사용자한테 통보)
------> 암호화 압축 기술을 사용하는 분야
          < 보안업체 / 온라인 서비스업체 (온라인게임 /등) / 등>
------> 진단되었다고 바이러스가 아님..---> 바이러스여부 확인 필요


2-4> 사전방역 --> 카스퍼스키백신의 행동탐지 기법


 참고 문서 : 사전방역 차단이란 ?
--> http://www.kaspersky.co.kr/board/bbs/board.php

2-4-1>  Keylogger 
------> 의심스러운 시스템 프로세스 사용자한테 통보
------> 통보 대상 - 마우스 / 키보드 관련 드라이버 에 관여하는 모듈 과 키로그의심파일
------> 주의사항 : 가상하드웨어 드라이버 / 일부 하드웨어 드라이버 / 필터 드라이버 / 등 도  통보되므로 주의가 필요
------> 정상적인 프로세스 파일인지 확인 필요 :   무조건 삭제할 경우 시스템이 불안정해질수 있다.

2-4-2>
  suspicious driver installation
<사전방역경고>
------> 사전방역경고 < 카스퍼스키 백신의 사전방역 - 행동탐지기법>
------> 특정 프로세스가 시스템파일 / 드라이버 변경 권한을 얻으려고 할때 통보
------> 바이러스 의심파일이라 통보한 것이 아닌 시스템파일을 접근하려는 행동 통보
------> 바이러스중 시스템파일접근시 / 정상 드라이버 설치시

2-4-3> Strange behaviour! <사전방역경고>
------> 스페셜포스 등 일부 게임의 런처 프로그램 중에 물리 메모리에 직접 억세스
             의심스러운 활동


2-4-1/2/3>  해당팝업 해제 방법
------> 옵션 - 실시간 감시 - 사전방역 - 프로그램 활동분석기 -의심스러운 시스템활동
            허락 체크
------> 옵션 - 실시간 감시 - 사전방역 - 프로그램 무결성 제어 해제
-----> 자세한 것은 백신사 링크 참고
 http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=FAQ

3> NOD32


3-1> a variant of + 진단명
--->진단 / 치료가 추가 되지 않은 변종 파일 진단
--->정확한 치료를 위해  샘플 신고 필요


4> 하우리 
< 바이로봇 Desktop5.5 / 백신 + 안티스파이웨어 통합제품>

4-1> I-Worm.Win32.Unknown
--->Worm.Win32.Viking / Trojan.Win32.PSWLineage / I-Worm.Win32.Warezov /
     I-Worm.Win32.Glowa / 등의 변종진단
--->진단/ 치료가 추가 되지 않은 악성파일 진단 ( 휴리스틱 진단)
--->정확한 치료를 위해  샘플 신고 필요

4-2>Adware
---> 유해가능 스파이웨어   ---> 타사제품의 안티스파이웨어에서 진단하는 목록

5> 기타 진단명--> 모든 백신이 공통적으로 사용되고 있는 진단명..


5-1-1>Generic / probably / suspicious  / Heuristic / Heuri / Unknown / New Malware /
         Gen / + 진단명
5-1-2>Packed / Upack 
---> 특정 압축파일 진단 <악성코드에 많이 사용되는 압축팩 / 정상유틸도 사용함>

---> 휴리스틱 진단명 ...의심스러운 파일

--->악성코드일 경우 - 아직 진단/치료가 추가되지 않은 파일)
--->악성코드가 아닐 경우 오진이 됩니다.. ---> 오진여부 확인 필요
--->백신사에 샘플을 보내 진단 치료를 받아야 한다..
--->정확한 치료를 위해  샘플 신고 필요

5-2>  Exploit / HTML / EXP / VBS / Script / JS / Anicmoo /+ 진단명

취약점을 이용한 악성코드 / 다운러더 링크 삽입/ 등의목적으로 사용되는 파일 진단

--->백신진단시 차단됨  / 해당 취약점에 대한 보안패치 적용으로 차단 가능
--->백신이 진단하기 이전에 해당 취약점으로 다운로드 되는 파일이 감염 여부 확인 필요.
--->정확한 치료를 위해  샘플 신고 필요
--->백신이 진단한다 하여도 안심 불가 ---> 요즘 하나의 삽입이 아닌 다수 삽입후
                                                             그 중 한개만이라도 깔려는 모습 보임..
--->취약점 이용한 악성코드 유포 사이트 방문 자제 필요

 
5-3> 진단명 + variant

--->특정 악성코드에 대한 변종진단
--->진단/ 치료가 추가 되지 않은 악성파일 진단
--->정확한 치료를 위해  샘플 신고 필요

5-4> Dropper / Downloader + 진단명

--->악성파일을 다운로드하는 기능 가진  악성코드..
--->백신진단시 차단됨 <실시간 차단>
--->수동검사시 발견되면 ...
      신고후 해당 파일이 다운로드하는 악성파일에 감염되었는지 확인 필요
---> 샘플신고 필요

5-5> 진단명 (inactive)

--->활동성이 없는 악성코드 (휴면 파일 / 쓰래기 파일--> 해석하기 따라)
--->현재 도스시절에 사용되던 바이러스 샘플 / 이미 치료된 샘플


5-6>Constructor / joke / + 진단명

--->바이러스 제작기 / 바이러스 제작기로 생성된 툴 / 특정압축팩을 이용한
     실행파일 압축된 파일
.
--->
특정압축팩중 악성코드를 실행시키기위해 사용되고 있어 진단되는 경우 존재.
--->목적에 따라 해킹으로 사용되는 코드 생성 / 조크바이러스 생성 <장난이 목적>
--->조크바이러스 의 기능이 백신 실시간 죽임시스템 고장 유발 기능도
      추가되는 추세... 장난이라 보긴 힘듬..


5-7> 진단 분류 /Rogue + 진단명     (안티스파웨어 / 통합백신 / 등 에서 사용하는 진단명)

--->허위보안 제품 / 등의 진단 ---> 진단수 불리기 진단 / 결제유도 /
      사용자 동의 없이 설치 / 등

5-8> Adware /진단명 --> 사생활 침해기능 / 광고 목적 / 사용자 기만 설치 /
                                    악성유포되는 프로그램 /

5-9> Rootkit 
    - 은폐기능 진단.(사용자에게 들키지 않기 위해 자신을 숨기는 기능)
    - 악성코드를 숨기기 위해 악용되는 기능  /  정상적으로 사용되는 경우도 존재
    - 자주 사용하던 프로그램이 진단될 경우, 오진여부 진단사에 문의 필요
  

6> 보안 기초 정보
--> http://kr.ahnlab.com/info/securityinfo/begin.jsp

알고 계신 것들 댓글로 올려주시면 내용에 편입하겠습니다... 잘못 된것은 수정조치 하도록.. 생각나는 데로 게속 추가 하겠습니다..


- 사유:   진단명을 제대로 해석 하지 못하여.. 어려움을 격는 경우가 많은 듯 하여..

- 주의사항-

백신 + 안티스파이웨어 통합제품 기준으로 작성 ..


- 최초작성 : 2007.4.24

- 수정된 날짜 : 2007.9.03.4

- 편집중인 자 : 진샘나미 <바이러스 까페 시즌2>

- 참여자 : 바이러스 제로 까페 회원 <벌새님 하우리부분 삽입 >

- 완성단계 : 게속 진행중

참고 자료 --> 각 백신사 사이트