2011.11.28

“PC 1,000대 중 17대는 악성코드 및 봇넷 감염”...루멘소프트 분석 결과 발표

편집부 | ITWorld
루멘소프트는 지난 1개월간 전국민 대상으로 실시한 ‘터치엔세이프 좀비PC 보안 프로그램 오픈 베타’ 분석 결과를 발표했다. 루멘소프트의 발표에 따르면, 국내 PC 1,113대 중 17대가 악성코드나 봇넷(Botnet)에 감염돼 활동 중이며 일부 PC는 안티 바이러스 백신이 작동 중인 상태에서도 감염돼 악성 행위를 하는 것으로 확인됐다.
 
이는 루멘소프트가 지난 10월 11일부터 31일까지 20일 동안 ‘터치엔세이프 좀비PC 보안 프로그램’을 설치한 PC 1,113대에서 1,276개의 프로세스와 약 30만 개에 달하는 DNS 요청 정보를 수집해 네트워크 행위기반으로 분석한 결과다. 악성코드나 봇넷로 의심되는 프로세스를 사용자 동의를 받고 수집해 상세 분석한 결과, 오픈베타 기간(20일) 동안 전체 1,113대 PC 중 17대의 PC에서 8개의 악성 행위가 발견됐으며, 일부 안티 바이러스 백신에서는 패턴이 업데이트가 안돼 탐지 못하는 현상이 발생했다.
 

악성코드 ‘Big*****.exe’ 가 터치엔세이프 능동형 분석엔진을 통해 위험도 5단계인 악성 프로세스로 자동 분류 리포팅됐다.

이번에 확인된 8개의 악성 행위 정보는 네트워크 행위기반 분석기능으로 탐지된 대량의 트래픽을 발생시키는 행위 4건(xx*.exe, **nhelper.exe, **drive32.exe, big****.exe)과 네트워크 시그니처 기반 분석기능으로 탐지된 봇넷 C&C 명령·제어 서버와의 통신 행위 3건(wwwy*****.co.kr.com, 111.***.***.111, ice.*****.info), 그리고 DNS 자동 분석기능으로 탐지된 봇넷 C&C로 추정되는 DNS 1건(you****741.**322.org) 등 총 8건이다.
 
루멘소프트 분석대응팀 김재룡 팀장은 “공격자와의 통신을 통해 수시로 변종이 발생하는 봇의 특성상, 알려진 바이러스 패턴(시그니처) 기반으로 탐지하는 안티 바이러스 백신이나 파이어월 만으로는 봇과 관련된 모든 보안 위협을 막아내는데 충분하지 않다”며 “보안 관리자는 기업 내에서 불법적으로 외부와 통신하는 네트워크 트래픽을 발생시키는 모든 프로세스를 효과적으로 관리할 필요가 있다”고 말했다. editor@itworld.co.kr


2011.11.28

“PC 1,000대 중 17대는 악성코드 및 봇넷 감염”...루멘소프트 분석 결과 발표

편집부 | ITWorld
루멘소프트는 지난 1개월간 전국민 대상으로 실시한 ‘터치엔세이프 좀비PC 보안 프로그램 오픈 베타’ 분석 결과를 발표했다. 루멘소프트의 발표에 따르면, 국내 PC 1,113대 중 17대가 악성코드나 봇넷(Botnet)에 감염돼 활동 중이며 일부 PC는 안티 바이러스 백신이 작동 중인 상태에서도 감염돼 악성 행위를 하는 것으로 확인됐다.
 
이는 루멘소프트가 지난 10월 11일부터 31일까지 20일 동안 ‘터치엔세이프 좀비PC 보안 프로그램’을 설치한 PC 1,113대에서 1,276개의 프로세스와 약 30만 개에 달하는 DNS 요청 정보를 수집해 네트워크 행위기반으로 분석한 결과다. 악성코드나 봇넷로 의심되는 프로세스를 사용자 동의를 받고 수집해 상세 분석한 결과, 오픈베타 기간(20일) 동안 전체 1,113대 PC 중 17대의 PC에서 8개의 악성 행위가 발견됐으며, 일부 안티 바이러스 백신에서는 패턴이 업데이트가 안돼 탐지 못하는 현상이 발생했다.
 

악성코드 ‘Big*****.exe’ 가 터치엔세이프 능동형 분석엔진을 통해 위험도 5단계인 악성 프로세스로 자동 분류 리포팅됐다.

이번에 확인된 8개의 악성 행위 정보는 네트워크 행위기반 분석기능으로 탐지된 대량의 트래픽을 발생시키는 행위 4건(xx*.exe, **nhelper.exe, **drive32.exe, big****.exe)과 네트워크 시그니처 기반 분석기능으로 탐지된 봇넷 C&C 명령·제어 서버와의 통신 행위 3건(wwwy*****.co.kr.com, 111.***.***.111, ice.*****.info), 그리고 DNS 자동 분석기능으로 탐지된 봇넷 C&C로 추정되는 DNS 1건(you****741.**322.org) 등 총 8건이다.
 
루멘소프트 분석대응팀 김재룡 팀장은 “공격자와의 통신을 통해 수시로 변종이 발생하는 봇의 특성상, 알려진 바이러스 패턴(시그니처) 기반으로 탐지하는 안티 바이러스 백신이나 파이어월 만으로는 봇과 관련된 모든 보안 위협을 막아내는데 충분하지 않다”며 “보안 관리자는 기업 내에서 불법적으로 외부와 통신하는 네트워크 트래픽을 발생시키는 모든 프로세스를 효과적으로 관리할 필요가 있다”고 말했다. editor@itworld.co.kr


X