[백신운영] Malisa.H 바이러스와 Outbreak Prevention설정
많은 바이러스가 쏟아져 나오지만 백신은 바이러스들을 잘 처리 못하는 경우가 많습니다. 특정 파일네임을 공유폴더내에 쓰기시도하는 것으로 공격을 시작하는 경우 Outbreak prevention설정은 매우 유용한 방어 수단이 될 수있습니다.
실제로 며칠전에 WORM_MALISA.H 란 바이러스가 공격이 들어온 적이 있었는데요..
공유폴더상에 위치한 몇개의 파일들을 쓰기 시도하는 것을 볼수있었습니다.
WORM_MALISA.H 바이러스의 고약한 동작 방식은 이랬습니다.
1. 먼저 아래의 보이는 파일들을 공유폴더상에 만들어냅니다.
이런 파일들을 쓰면서 공격이 시작되더군요...
c:\autoply.exe
%AppData%\usrinit.exe
%LocalSettings%\startup.exe
%Temp%\systray.exe
%ProgramFiles%\Common Files\AdobeUpdate.exe
%ProgramFiles%\XPCode\SexGame.exe
%ProgramFiles%\XPCode\SexGameList.pif
%ProgramFiles%\XPCode\SexScreenSaver.scr
2. 공유폴더상의 기존 실행파일의 이름에 lib라는 문자를 추가하여 rename시킵니다.
(aaa.exe -> aaalib.exe) --> 이때는 백신이 동작하지 않습니다.
3. rename시키면서 해당실행파일을 숨김속성으로 바꾸어 버립니다.
(다행히 파일 삭제는 하지않습니다)
4. 그리고 나서 바이러스 자신이 원래의 파일인양 이름을 바꾸어 들어갑니다.
--> 이때 백신이 동작하면서 바이러스를 지우게 됩니다.
--> 하지만 이미 일부 실행파일들은 침해를 당한 이후가 되게 됩니다. ㅠㅠ
바이러스 동작 특성 상 백신은 바이러스를 잘 차단하고 있는데도 서비스에 악영향을 주게 되더군요..
그래서 아예 공격이 시작되지않도록 Ountbreak Prevention 설정을 하게 되었습니다.
최초 공격이 시도되는 파일을 차단함으로서 감염확산을 막을 수 있었습니다.
지금부터 Trend의 Officescan서버에서 outbreak prevention설정을 시작해보도록 하겠습니다.
사실 다른 백신에서도 유사한 설정을 하는 것이 가능합니다.
1. Outbreak Prevention메뉴 클릭
참고로 이 메뉴는 해당 서버내의 모든 officescan client에게 영향을 주게 됩니다.
영향을 잘 고려하시어 어떤 정책을 가져갈지 결정하시기 바랍니다.
2. Start Outbreak Prevention 버튼 클릭
3. Outbreak Prevention설정하기
1) limit/ deny access to share foleders : 공유폴더에 쓰기 기능 차단 (주의요망)
2) deny write access to files and folders: 폴더,파일 쓰기 차단 (추천)
바이러스가 예상되는 파일들을 미리 이곳에 설정해두세요... 예)autorun.inf등....
3) break시간을 설정해주어야합니다. 기본으로 48시간입니다. 48시간후면 차단이 풀립니다.
항상 break시간을 상기해서 예상되는 바이러스파일들을 사전에 차단하는거을 추천합니다.
4) client에 알림설정은 하지않는 것이 좋은듯합니다. 저는 안합니다. 괜히 불안감 조성하죠.. ^^
5) Start outbreak prevetion버튼을 누르면 그때부터 지정시간동안 차단이 됩니다.
설정값들을 다 넣은후 마지막에 실행하면 되겠습니다.
