Trendmicro Officescan 쿼런틴에 들어간 파일 복원하기

2009/04/09 14:06
Leave a Comment
  원하지 않는 정상적인 파일이 바이러스로 인식되어서 쿼런틴으로 옮겨질 수있습니다. 이런 경우  복구하는 과정에 대해 적어봅니다.

▶ 쿼런틴으로 옮겨진 파일의 위치
   client 내: Trend Micro\OfficeScan Client\Suspect
   서버 내:   OfficeScan\PCCSRV\Admin\Utility\VSEncrypt

▶ 복원에 필요한 도구 준비
복원도구가 필요한 이유는  쿼런틴에 들어갈때  파일이 암호화되어 저장되기 때문에 
  VSEncode.exe
   Vsapi32.dll
Officescan 중앙관리 서버에 위치  ( OfficeScan\PCCSRV\Admin\Utility\VSEncrypt  폴더  )

▶ 복원 과정
1. 복원하고자 파일이 복원하고자 하는 컴퓨터의 OfficeScan Client\SUSPECT 폴더 있어야 합니다  
   (서버의 쿼런틴으로 옮겨진 경우  클라언트의 suspect폴더로  옮겨주세요)
2. c:\temp와 같은 임의의 폴더에 아래 파일을 복사해 오셔서 명령프롬프트 창에서 실행하시면 됩니다.
·         주 파일: VSEncode.exe
·         필수 DLL 파일: Vsapi32.dll

3. 명령 프롬프트를 열고 VSEncrypt 폴더를 복사한 위치로 이동  
    c:\>cd temp
4. 다음 매개 변수를 사용하여 암호화된 바이러스 복원을 실행
 
-d: Suspect 폴더의 파일을  복호화합니다.
 /f  {filename}: 특정 파일을 복호화합니다.
옵션이 없으면 Suspect 폴더의 파일들을 암호화합니다.

    c:\temp>vsencode.exe -d  (모든 파일이 복원됩니다.)
    --> 별도의 메시지는 뜨지 않으며  복원이 잘 될 경우  파일의 만들어진 날짜가  최신으로 변경됩니다.

트렌드의 참고 URL:
http://esupport.trendmicro.com/4/Restoring-quarantined-files-in-OfficeScan-80.aspx?print=true
크리에이티브 커먼즈 라이센스
Creative Commons License

우키 보안운영/백신

2009/04/09 14:06 2009/04/09 14:06

[Mcafee 삭제] frminst.exe 이용하여 삭제하기

2009/04/07 10:11
Leave a Comment

백신들은 설치되고 나면  삭제를 함부로 할수없도록 되어있는 경우가 많습니다.
Mcafee 백신을 최근 테스트를 하고있는데..  삭제가 상당히 어렵더군요.... 
프로세스 보호기능을 적용해두어서인지...  ^^

제어판에서 삭제를 하면 Virusprotect는 삭제되지만  Mcafee agent는 삭제되지않습니다.
강제로 삭제를 하게되면 (process유틸이나  unlocker동원)  삭제야 가능하지만
다시 설치하거나 할때 제대로 설치가 안되게 됩니다.

삭제할때는 반드시 아래의 명령을 통해서 삭제해주세요
frminst.exe  /forceuninstall

크리에이티브 커먼즈 라이센스
Creative Commons License

우키 보안운영/백신

2009/04/07 10:11 2009/04/07 10:11

Confiker.B 웜 바이러스 대책

2009/03/11 12:29
Leave a Comment
원문참조: http://support.microsoft.com/kb/962007

▶ 감염현상
1. 계정잠금정책이 실행될 수 있음
2. 자동업데이트, BITS, Windows Defender및 오류보고서비스가 disable 될 수 있음
3. DC가 클라이언트 요청에 느리게 응답할수 있음
4. 네트웍 정체
5. 다양한 보안관련 웹사이트에 액세스할 수 없음

▶ 감염경로
1. MS08-067 취약성 위용 (보안업데이트 KB958644 안되어 있으면 감염)
2. 네트웍 공유 사용 (관리공유)
3. Autorun 기능 사용

▶ 예방조치
1. 보안업데이트 KB958644 설치후 리부팅
2. 아래 레지스트리의 하위키에 대한 쓰기권한 제거 (admin, system에 대한 모든권한,쓰기권한 제거)
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
3. %windir%\tasks 폴더에 대한 쓰기 권한 제거 (admin, system에 대한 모든권한,쓰기권한 제거)
4. 자동 실행 기능이 사용되지 않도록 설정 (autorun.inf의 실행방지)

▶ 바이러스 제거
1. 로컬계정을 사용하여 시스템에 로그온 하라  (도메인계정을 사용하여 시스템 로그온하지 말것)
    웜은 로그온된 사용자 자격증명을 사용하여 로그온한 사용자를 가장하여 네트웍 리소스에 액세스한다.
2. 서버 서비스를 중지  (이 경우 업무용으로 제공되는 서비스가 있다면  실행하지 말것, 모든 공유가 중단됨)
3. 모든 AT생성 예약작업을 제거 (커맨드: AT / Delete / Yes )
4. 작업 스케쥴러 서비스를 중지
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule에서 Start DWORD를 4로 수정
   -> 이것도 역시 시스템관리용 또는 업무용으로 스케줄 작업을 사용중이라면 사용하지 말것
5. 보안업데이트 설치  KB958644  (MS08-067)
  http://www.microsoft.com/korea/technet/security/bulletin/Ms08-067.mspx
6. local admin 및 Domain admin암호를 강력한 새암호로 재 설정
  http://technet.microsoft.com/ko-kr/library/cc875814.aspx
7. Svchost의 레지스트리 항목에 들어와 있는 맬웨어 코드 제거및 권한설정
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
   위 레지스트리 항목의 netsvcs 항목을 수정합니다. confiker.b웜이 무작위한 서비스 이름을 넣어둔 것 제거
   위 레지스트리 항목에 대한 사용권한 제거 (admin, system에 대한 모든권한,쓰기권한 제거)
8. 레지스트리의 Run 하위 키에서 맬웨어 서비스 항목을 제거
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
9. 시스템 드라이브에 autorun.inf 파일이 있는지 확인하여 제거
10. 시스템 리부팅
11. 숨김파일을 보이게 설정
   reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
12. 맬웨어에 대한 참조된 DLL 파일을 삭제

▶ 시스템 보안설정 보강
1. Autorun 기능 해제
     패치 953252 설치:  http://support.microsoft.com/kb/953252/
2. 탐색기 원격코드 실행 방지를 위한 패치
     패치 950582 설치:    http://support.microsoft.com/kb/950582/
3. 로컬관리자 계정을 사용하지 않도록 설정






 








크리에이티브 커먼즈 라이센스
Creative Commons License

우키 보안운영/백신

2009/03/11 12:29 2009/03/11 12:29