사례분석을 통해 배우는 스파웨어 판정 III
게시일: 2005/09/27 | 글쓴이: doa | 8514 번 | 프린트 | 메일


요즘 컴퓨터를 사용하는 사람들의 주된 관심은 스파이웨어인 것 같다. 바이러스보다 더 위험한 것들이 악성 스크립트이다 보니 당연한 현상인 것 같다. 현재 필자가 사용하고 있는 외산 안티스파이웨어 프로그램은 다음과 같다.

  • Ad-aware SE Pro
  • Spy Sweeper
  • SpyBot S&D


이들 프로그램으로 필자의 컴퓨터에서 악성 스크립트를 찾아보면 대부분 쿠키와 인터넷 바로가기 외에는 거의 찾아내질 못한다. 그러나 국산 안티스파이웨어 프로그램을 이용하면 다잡아의 경우 무려 26개(물론 모두 오진이다)를 잡아낸다. 문제는 국산 안티 스파이웨어 프로그램의 경우 너무많은 스파이웨어를 잡아내지만 신뢰성은 바닥인 경우가 많다는 점이다.

사례분석을 통해 배우는 스파웨어 판정이라는 글에 애드 큐어 의 성능을 묻는 질문이 올라왔다. 확인 결과 분석할 필요도 없었다.

검색 결과를 보면 DB가 부실한 AV-Scan이었다. 결과를 보면 알 수 있지만 진단명만 약간 차이가 날뿐 AV-Scan과 별 차이가 없다. 아무튼 결과는 다음과 같다.



  1. 파일만 잡아내는 경우
    • 실행 파일을 잡아내는 경우
      Adware.Win32.Adp
      C:\WINDOWS\system32\instsr.exe
      AV-Scan 참조

      Toolbar.Win32.Fwn
      C:\WINDOWS\system32\vic32.dll
      AV-Scan 참조
    • 실행 파일 이외의 파일을 잡아내는 경우 없음


  2. 레지스트리만 잡아내는 경우
    • 중요한 레지스트리를 잡아내는 경우
      Riskware.Win32.Norun
      HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system
      AV-Scan 참조
      Riskware.Win32.Regpolicies
      키: HKCU\Software\Microsof\Windows\CurrentVersion\policies\system
      값: Disableregistrytool
      키: HKCU\Software\Microsof\Windows\CurrentVersion\policies\system
      값: Disabletaskmgr
      키: HKCU\Software\Microsof\Windows\CurrentVersion\policies\system
      AV-Scan 참조


    • 불필요한 레지스트리를 잡아내는 경우
      Adware.Win32.Ultravnc
      HKLM\software\ultravnc
      AV-Scan 참조
      Adware.Win32.Fgiebar
      HKCR\.Jcd
      HKCR\flashget.Document
      HKCU\software\jetcar
      AV-Scan 참조
      Riskware.Win32.Vncviewer
      HKCR\vncviewer.Config
      AV-Scan 참조


Memory Finder, TSearch 한글판 세상을 살다보면 목적과는 다르게 사용되는 또는 다르... (22547) 2005-09-28
NeroBurningRom 설치하지않고 사용하기 - 추가 사항 필자는 프로그램을 자동으로 설치... (7060)2005-09-27

QAOS.com에 게시된지 1년 이상된 자료와 관리자가 공개한 자료는 누구나 제한없이 읽을 수 있습니다.
그러나 QAOS.com의 자료를 퍼가는 것은 금지하고 있습니다.

이 정보가 유용하다고 생각되시면 QAOS.com과 많은 다른 사람들을 위해 퍼가기 보다는 링크로 알려주시기 바랍니다.

세상사는 이야기



RSS 구독 (익명 | 회원 | 강좌 | 포럼)
(C) 1996 ~ 2017 QAOS.com All rights reserved.