'안티바이러스'에 해당되는 글 3건

  1. 2016.05.19 Symantec/Norton 안티 바이러스 제품 보안 업데이트
  2. 2010.08.10 스마트폰 사용자를 위한 보안 가이드라인 v1.0
  3. 2010.07.09 Fake Input Method Editor(IME) Trojan
2016.05.19 18:04

Symantec/Norton 안티 바이러스 제품 보안 업데이트


□ 개요
  o Symantec社는 자사의 안티 바이러스 제품에서 사용하는 AVE(Anti-Virus Engine)에 발생하는 취약점을 해결한 보안 업데이트를 발표[1]
 
□ 설명
  o 조작된 PE(Portable Executable) 헤더를 파싱하는 과정에서 버퍼오버플로우가 발생해 원격 코드 실행이 가능한 취약점(CVE-2016-2208)
 
□ 영향 받는 소프트웨어
  o Symantec/Norton 제품의 AVE(Anti-Virus Engine) 20151.1.0.32 버전 및 이전버전
    ※ Symantec Support[2]를 참고하여 AVE 버전 확인
 
□ 해결 방안
  o Symantec/Norton Anti-Virus Engine 사용자는 20151.1.1.4 버전으로 업데이트 적용
    - Virus Definitions & Security Updates(https://www.symantec.com/security_response/definitions.jsp) 방문하여
       최신 버전 설치 또는 LiveUpdate를 이용하여 수동 업데이트
 
□ 기타 문의사항
  o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
 
[참고사이트]
 [1] https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2016&suid=20160516_00
 [2] https://support.symantec.com/en_US/article.TECH95856.html


Trackback 0 Comment 0
2010.08.10 13:43

스마트폰 사용자를 위한 보안 가이드라인 v1.0

본 가이드라인의 기본 열 가지 지침은 아래와 같다.   
    -  USIM PIN 번호 및 장치 비밀번호 등 이용 가능한 비밀번호를 사용하고 관리에 유의하라. 
    - 중요 데이터는 스마트폰에 저장하지 말고, 불가피한 경우라도 반드시 암호화하라. 
    - 사용하지 않는 네트워크 서비스(Wi-Fi, 블루투스 등)는 끄고, 필요 시에만 활성화하라. 
    - 스마트폰의 플랫폼 구조를 임의 변경 말고, 항상 최신 버전을 유지하라. 
    - 최신 패턴을 유지한 안티 바이러스 소프트웨어를 반드시 사용하라. 
    - 신뢰할 수 있는 어플리케이션만 다운로드하고 최신 버전을 유지하라. 
    - 보안이 강화된 웹 브라우저 설정을 유지하고 신뢰할 수 있는 웹 사이트만 방문하라. 
    - 보안이 강화된 전자메일을 사용하고 메시지는 암호화하라. 
    - 자신으로부터 스마트폰을 꺼내 놓아야 할 경우에는 반드시 패스워드나 화면 잠금 해제 패턴으로
      화면 해제를 할 수 있는 화면 잠금을 사용하라.   
    - 가능하다면, 원격에서 자신의 스마트폰을 관리할 수 있는 서비스에 가입 및 이용하라.


출처 : www.securityplus.or.kr

Trackback 0 Comment 0
2010.07.09 09:56

Fake Input Method Editor(IME) Trojan

Websense® Security Labs™ ThreatSeeker™ Network has detected a type of trojan that uses the Windows input method editor (IME)  to inject a system. An IME is an operating system component or program that allows users to enter characters and symbols not found on their input device. For example, it could allow a user of a 'Western' keyboard to input Chinese, Japanese, Korean, and Indic characters.

The trojan can install itself as an IME, then it kills any running antivirus processes and deletes the installed antivirus executable files. The original executable file of this trojan disguises itself as an antivirus update package.

 

When a user runs the trojan, it creates a file named winnea.ime under the system folder,The .ime file type is primarily associated with 'Global Input Method Editor' by Microsoft Corporation:

 

In the above example, winnea.ime is a Dynamic Link Library (DLL) file, but pretends to be an input method file and is installed as an input method.  The input parameter "5Ah" was used by SystemParametersInfo Function(sub_131486C0) to change the user profile in the Windows registry to set the default IME:



 

When the user opens the default input method, the file winnea.ime loads and detects an antivirus list:



 

At the same time, winnea.ime releases a file named pcij.sys to the system folder and loads it as a driver process:

 

Then it calls DeviceIOControl to kill the running process of any antivirus in the list; the control code is sent to the driver process pcij.sys:



 

The pcij.sys file is used to find all running antivirus processes and kill them by calling the ObReferenceObjectByHandle function:



 

This quick analysis shows an interesting way that trojans can use to inject themselves into a system. The input method in Windows is now a popular way for hackers to inject malicious code.

Websense Messaging and Websense Web Security customers are protected against these attacks.


출처 : http://community.websense.com/blogs/securitylabs


Trackback 0 Comment 0