Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 년 11월의악성코드감염보고는 Win32/Induc이 1위를차지하고

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2009년 11월의악성코드감염보고는 Win32/Induc이 1위를차지하고있으며, TextImage/Autorun 과 Win32/Virut.B 가각각 2위와 3위를차지하였다. 신규로 Top 20에진입한악성코드는총 11건이다. 2009년 11월의악성코드감염보고건수는 Win32/Induc이총 732,551 건으로 Top 20 중 13.2% 의비율로 1위를차지하고있으며, Win-Trojan/Agent가 648,048건으로 2위, Win-Trojan/OnlineGameHack 이 603,441건으로 3위를차지하였다. 아래차트는고객으로부터감염이보고된악성코드유형별비율이다. 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한, 악성코드대표진단명별감염보고 Top 20 이다. [ 그림 1-1] 악성코드유형별감염보고비율 악성코드유형별로감염보고건수비율은 Trojan 류가 38.8% 로가장많은 비율을차지하고, 애드웨어가 12.7%, Virus 가 11.8% 의비율을각각차 지하고있다. AhnLab Policy Center 4.0 세상에서가장안전한이름안철수연구소 01

아래표는 11 월에신규로접수된악성코드중고객으로부터감염이보고 된악성코드 Top 20 이다. [ 그림 1-2] 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면, Trojan 과애드웨어가전월에비해증가세를보이고있는반면, Virus와 Script는전월에비해감소한것을볼수있다. Dropper, Worm, 다운로더계열들은전월수준을유지하였다. [ 표 1-3] 신종악성코드감염보고 Top 20 [ 그림 1-3] 악성코드월별감염보고건수 11월의신종악성코드감염보고의 Top 20은 Win-Adware/Rogue. DDOSClean.182752가 78,567건으로전체 11.1% 를차지하여 1위를차지하였으며, Win-Trojan/Sadenav.491008 이 53,545건으로 2위를차지하였다. 11 월의악성코드월별감염보고건수는 11,258,632 건으로 10 월의악 성코드월별감염보고건수 9,630,695 건에비해 1,627,937 건이증가 하였다. [ 그림 1-4] 신종악성코드유형별분포 11 월의신종악성코드유형별분포는 Trojan 이 55% 로 1 위를차지하였 다. 그뒤를애드웨어가 26%, Dropper 가 7% 를각각차지하였다. 악성코드이슈 AhnLab V3 MSS 지난달 검은화면에마우스포인트 만나타나는부팅장애로잘알려진 Win-Trojan/Daonol의변형이 11월한달내내지속적으로발견되었다. 그리고 MBR Rootkit처럼물리적디스크에자신을쓰고실행하는악성코드가발견되기도하였다. 해당악성코드는일반적인방법으로는진단할수없기때문에안티바이러스연구가들에게큰화제거리가되었다. 그리고중국산백도어인 Win-Trojan/Hupigon 의변형이치료에어려 02 ASEC Report _ 2009. Vol.11

움을주어일부고객들이진단과치료에있어서큰어려움을겪었다. 그리고국외에서는 iphone에서동작하는악성코드가최초로발견, 보고되었다. 해당악성코드는 iphone를해킹하여사용하는기기에만감염되는특정을가지고있으며, 국내에는아직발견, 보고되지않았다. 끝으로 P2P 웜으로잘알려진 Win32/Waledac.worm 이다시발견되었는데해당악성코드가다시활동할것으로보여사용자들로하여금주의가요구된다. 치료방법이까다로운 Win-Trojan/Hupigon Win-Trojan/Hupigon 은잘알려진중국산백도어프로그램이다. 해당트로이목마는자신의진단을회피하기위하여정상프로그램을실행한후자신을실행프로세스의원격파일핸들로오픈하는것으로유명하다. 이런경우일부안티바이러스는이미다른프로세스가오픈한경우로진단을못하는경우가있을수있다. Win-Trojan/Daonol 의지속적인변형등장 지난달국내에도다수의피해를입혔던 Win-Trojan/Daonol 변형이 11 월한달지속적으로발견, 보고되었다. 이렇게지속적으로발견되는것은지난달에도언급했듯이 PDF와 SWF 파일의취약점으로 Daonol 트로이목마에감염되기때문이다. 자세한취약점항목은다음과같다. 1. APSB09-15 Adobe Acrobat and Acrobat Reader Remote Code Execution 2. APSB08-11 Adobe Flash Player Invalid Pointer Vulnerability [ 그림 1-5] Daonol 트로이목마감염과연관이있는취약점정보지난달국내에도다수의피해를입혔던 Win-Trojan/Daonol 변형이 11 월한달지속적으로발견, 보고되었다. 이렇게지속적으로발견되는것은지난달에도언급했듯이 PDF와 SWF 파일의취약점으로 Daonol 트로이목마에감염되기때문이다. 자세한취약점항목은다음과같다. [ 그림1-7] Win-Trojan/Hupigon 트로이목마가실행된모습근래에발견, 보고된 Hupigon 트로이목마는위그림처럼 Calc.exe ( 윈도우기본계산기프로그램 ) 에원격파일핸들을오픈해둔다. 변형에따라서 Share flag값이 Read, Write가없는경우도있다. 1차적으로이렇게하여일부안티바이러스진단과사용자가수동으로자신을삭제하도록막고있다. 대부분이런경우해당파일핸들을찾아직접닫거나하여제거할수가있다. 그러나이번에발견된변형은계산기프로세스에시작주소가불분명한쓰레드를생성하고있다. NTDLL.DLL : ZwOpenKey KERNEL32.DLL : CreateProcessW, ExitProcess WS2_32.DLL : WSASEnd, WSARecv, connect, send, recv [ 그림 1-6] 후킹되는윈도우함수 [ 그림 1-8] Win-Trojan/Hupigon 트로이목마쓰레드내일부문자열 이번달에발견된변형들역시같은문제점을가지고있었다. 안철수연구소는이러한다수의피해문의를접수받았지만, 악성코드에의해서발생한예기치못한문제점은안티바이러스프로그램으로해결할수없는것이존재한다. 이러한경우지난호에언급했듯이 Daonol 전용백신을이용하면악성코드제거는물론이러한문제점을메모리패치를통하여실행되지못했던응용프로그램들을실행시킬수있다. 국내무료백신을삭제할목적으로제작된악성코드스팸메일에파일다운로드용링크를첨부한형태로전파되는 Win-Trojan/Download에의해국내대표무료백신이강제로삭제되는증상이발견되었다. 백신관련프로세스를강제종료하고프로그램이존재하는폴더를삭제하도록제작된이악성코드는한글로된메일제목과파일다운로드를위한링크형태로전파되어해당메일수신자들로부터감염이다수신고되었다. 이악성코드의다운로드기능을수행하는파일은백신의실시간감시에서진단 / 치료가가능하지만백신의실시간감시를끈상태로 PC를이용하는경우에는백신제품을다시설치해야하는문제가있다. 이렇듯정상프로세스를실행한후이곳에악의적인쓰레드를생성하여사용자나안티바이러스가파일을삭제하여도다시파일이생성되는것이다. 따라서사용자가정상프로세스로간과하여그냥두었다면이후 Hupigon에재감염되는현상이발생하게된다. 안티바이러스프로그램도이러한악성코드를치료할수있도록되어있지못하면당연히치료를할수없게된다. 그이유는정상프로세스에악의적인쓰레드가존재하는경우에진단하고치료할수있도록되어있지않기때문이다. 이런경우일부안티바이러스업체들은전용백신을이용하여치료하도록유도하고있는실정이다. 일부악성코드들은안티바이러스의취약한부분을이용하여컴퓨터내부깊숙이숨어든다. 안티바이러스제품이출시될때는존재하지않았던유형의악성코드가등장하여진단 / 치료에어려움을겪는경우가많다. 이러한경우에는안티바이러스업체들도전용백신이나제품의기능업데이트와같은발빠른행보를하고있다. 물리적디스크에존재하는악성코드 2008 년 1 월 MBR Rootkit 이알려졌을때많은안티바이러스연구원들은 세상에서가장안전한이름안철수연구소 03

과거의부트바이러스를떠올렸다. 또한일부매스컴에서는파일로존재하는형태가아니며그어디에도파일의시작점을알수가없기때문에레지스트리에서도악성코드의시작점을찾을수가없었다. 이러한악성코드가또다시등장하였다. 해당악성코드는물리적디스크의 unpartitioned 영역에자신의코드를기록해둔다. 이곳에는드라이버, DLL 등의실행파일이미지이다. 파일로는존재하지않고물리적디스크상에위치함으로일반적인방법으로는검색되지않는다. 해당영역의코드를실행하기위해서윈도우의특정시스템파일을패치하여해당코드를로드하도록해둔다. 정상파일을패치한형태이므로역시일반적인방법으로는패치된유무를확인하기매우어렵다. 또한안티바이러스제품들역시 unpartitioned 영역을검사할수있도록되어있지않다. 은폐기능도있기때문에이를무력화하고치료를시도해야한다. 안철수연구소에는전용백신 (Win-Trojan/Patched.X) 을통해서해당악성코드를대응하고있다. 번들로설치되고허위진단또는임시파일, 쿠키파일 (cookie) 등이위험한요소라고진단하고사용자에게빨리치료할것을팝업윈도우를사용하여지속적으로알린다. 실제치료를하려고하면유료결제를요구한다. 따라서본인이직접설치하지않은보안제품이유료결제를통한치료를요구하면가짜백신을의심해보아야한다. 또한이러한가짜백신은진단및치료능력이현저하게떨어져구매해도컴퓨터보안에는거의효과가없으므로사용자의각별한주의가필요하다. 2. 시큐리티동향시큐리티통계 11월마이크로소프트보안업데이트현황마이크로소프트사로부터발표된이달보안업데이트는총 8건으로긴급 (Critical) 3건, 중요 (Important) 5건이다. 사회적이슈를악용한가짜백신 2009년 7월 7일을시작으로며칠간국내주요사이트들이 PC에감염된악성코드에의해 DDOS(Distributed Denial Of Service) 공격을받아정상적인인터넷서비스를제공하지못했었다. 이로인해많은사용자들이보안사고의위험성과보안의중요성을느낄수있는계기가되었다. 하지만최근이런이슈를악용한가짜백신이등장했다. 로그디도스클린 (Win-Adware/Rogue.DDOSClean) 이그대표적예인데이제품의경우 2009년 7월 7일발생했던 DDOS공격에사용된악성코드를진단하지못했으며, 또한 DDOS공격을예방하거나치료하는기술또한없다. 더군다나해당제작사홈페이지에서제공하는 신종바이러스정보 목록에등록된항목조차진단하지못하고있었다. 즉, 제품의이름을사회적이슈와연관지어상업적인목적을극대화시키는목적이다분하다. [ 그림 2-1] 2009 년 11 월주요 MS 보안업데이트건수 [ 표 2-1] 2009 년 11 월주요 MS 보안업데이트목록 [ 그림 1-9] DDOS 이슈를이용학가짜백신 이번달은 8건의보안패치가발표되었으나, 이문서를작성하는시점까지알려진공격코드는없다. 다만, 인터넷익스플로러 6과 7버전에 CSS 를처리하는과정에서브라우저가크래쉬되는공격코드가공개되었고, 출시가얼마되지않은윈도우 7에서제로데이취약점이보고되었다. 이번에공개된취약점의자세한내용은시큐리티이슈에서언급하기로하겠다. 더군다나해당가짜백신은다운로더코애드웨어 (Win-Downloader/KorAdware.246784) 에의해사용자동의없이설치되고동작해그피해가 더욱더컸다. 이러한가짜백신은대부분다른서비스또는프로그램의 04 ASEC Report _ 2009. Vol.11

악성코드침해웹사이트현황 [ 그림 2-2] 악성코드배포를위해침해된사이트수 / 배포지수 2009년 11월악성코드를위해침해된웹사이트의수와악성코드유포지의수는 96/11로 2009년 10월의 127/9와비교하여침해지는 31건줄었으며, 유포지는 2건더늘어났다. 악성코드를배포하기위해사용되는취약점은새로운공격기법보다, 기존오래된취약점이현재도꾸준하게증가하고있다. MDAC(Microsoft Data Access Components) 기능의취약점으로인한원격코드실행문제점인 MS06-014가아직도꾸준하게사용되고있다. 위취약점의경우, 윈도우업데이트를주기적으로하는사용자의경우사이트에접속하여도취약점에의해감염되지는않다. 하지만윈도우업데이트를하지않은사용자의경우, 악성코드에감염되며, 이로인해시스템전체권한을빼앗길수있다. 또한백신설치를통해악성프로그램이다운로드되는걸차단하길권장한다. [ 그림 2-3] Ikee 웜에감염된아이폰 (iphone) 의배경화면이번웜의동작은간단한형태여서, 초기컴퓨터에서발생된웜과같은수준이다. 코드에등록된특정 IP주소를대상으로스캐닝을시도하는데, 해당 IP는오스트리아에있는호주의 3G 사용고객이다. SSH 서비스를통해, 로그인을성공적으로하게되면이웜은파일을복사하고, 다른공격자에의한접속을막기위해 SSH 서비스를중지하게된다. 다음그림은웜의소스코드에하드코딩된 IP 주소대역의일부이다. 시큐리티이슈 모바일보안에대한위협증가 - 아이폰 (iphone) 웜첫등장 전세계적으로스마트폰의바람이몰아치고있다. 그대표적인제품이애플사의아이폰 (iphone) 이다. 국내에도최근출시되어마니아들의기대가높아지고있다. 그런데, 최근아이폰 (iphone) 에서첫웜 (Worm) 이발견되었다. 호주에서발견된이웜은이키 (Ikee) 라고불리고, 바탕화면을 80년대가수릭애슬리의사진으로바꾸고다른아이폰 (iphone) 에전파되기위한시도를한다. 이번웜은모든아이폰 (iphone) 에영향을미치는것이아니라 Jailbroken이설치된아이폰 (iphone) 에한정된다. 이것은해킹된버전의아이폰 (iphone) OS로사용자가임의의프로그램을설치할수있도록해준다. 이 Jailbroken 이설치되면서다양한서비스가동작되는데, 그중에하나인 SSH 서비스가원격에서루트권한으로접속될수있도록허용되어있었다. 기본패스워드가설정되어있어웜은이취약점을이용하여전파를시도하였다. SSH 서비스는원격터미널접속프로그램으로 telnet과달리안전한통신을보장한다. 그러나, 기본패스워드가이번문제를야기하게되었다. [ 그림 2-4] 아이폰 (iphone) 웜코드의일부다행히이번웜은파일삭제등과같은큰피해를주는기능은포함하고있지않았다. 하지만, 이번첫웜이발표된후같은취약점을이용한두번째웜이또등장하였다. 이로써모바일보안에대한우려가현실화되고있다. 국내도이제아이폰 (iphone) 을출시로, 스마트폰의비중이점차늘어날것으로예상되는만큼스마트폰에발생할수있는보안위협에대한준비도차차마련해나가야할것이다. 세상에서가장안전한이름안철수연구소 05

윈도우 7과윈도우 2008의원격 SMB 공격취약점한블로그를통해윈도우7과 2008서버에영향을주는공격코드가공개되었다. 이번공격코드는원격에서시스템을크래쉬할수있는형태로서비스거부공격에해당한다. 크래쉬되는형태는마우스, 키보드, 네트워크등이모두멈춰버리는형태이다. 취약점은 Netbios 의헤더중 SMB 패킷이 4바이트적거나큰경우에발생할수있다. 공격코드이외도, 간단한명령어를통해서도발생될수있는것으로알려지고있으므로영향을받는시스템은주의가필요하다. 3. 웹보안동향 웹보안통계 웹사이트보안요약 영향을받는시스템은아래와같다. - Windows 7 32비트버전 - Windows 7 64비트버전 - Windows 서버 2008 R2 64 비트버전다음은공격패킷의일부로, 패킷길이의헤더를 9e로셋팅된값보다 4 바이트작게설정하여전달한패킷의형태이다. [ 표 3-1] 웹사이트보안요약악성코드발견건수는 146,300건, 악성코드유형은 944건, 악성코드가발견된도메인은 676건, 악성코드발견된 URL은 4,341건이다. 11월에는웹보안통계치의기반이되는사이트가드 (SiteGuard) 의시스템증설로인해통계수집기간이 4주에서 3주로줄어들었다. 이일로인해악성코드발견건수와도메인, URL 통계치가지난달에비해감소한수치를보였다. 월별악성코드발견건수 [ 그림 2-5] SMB 헤더를조작한패킷형태 [ 그림 3-1] 월별악성코드발견건수 이번취약점을해결하기위한보안패치는아직발표되지않은상태이다. 임시적으로방화벽에서 TCP 포트 139번과 445의접속을차단할수있다. 그러나해당포트는윈도우환경에서일반적으로사용되는포트이므로, 외부에서의접근차단시문제는없는지검토후차단할것을권고한다. 이취약점과관련한지속적정보는다음경로에서확인할수있다. 참고로이취약점은 10월달에발표된 MS09-050의 SMBv2 원격코드실행취약점 과는관련이없다. 2009 년 11 월악성코드발견건수는전달의 221,306 건에비해 66% 수 준인 146,300 건이다. 월별악성코드가발견된도메인 - 제로데이공격취약점정보 http://www.microsoft.com/technet/security/advisory/977544.mspx [ 그림 3-3] 월별악성코드가발견된도메인 AhnLab Trusguard 2009 년 11 월악성코드가발견된도메인은전달의 849 건에비해 80% 수준인 676 건이다. 06 ASEC Report _ 2009. Vol.11

월별악성코드가발견된 URL 악성코드배포 Top 10 [ 그림 3-4] 월별악성코드가발견된 URL 2009년 11월악성코드가발견된 URL은전달의 6,801건에비해 64% 수준인 4,341건이다. 악성코드유형별배포수 [ 표 3-3] 악성코드배포 Top 10 악성코드배포 Top 10에서 Win-Adware/Shortcut.InlivePlayerActiveX.234가지난달과같이 46,442건으로 1위를차지하였으며, Top 10 에 Win-Adware/BHO.HiMyCar.49152 등 3건이새로등장하였다. 웹보안이슈 유튜브 (YouTube) 동영상관련코덱으로위장한 Koobface 웜유포 [ 표 3-2] 월별유형별배포수 [ 그림 3-5] 월별유형별배포수악성코드유형별배포수에서 Trojan 류가 79,698건전체의 54.5% 로 1위를차지하였으며, Trojan류가 13,152건전체의 9% 로 2위를차지하였다. 2009년 11월 9일오후, 해외에서유튜브 (YouTube) 동영상관련코덱으로위장한 Koobface 웜이유포되고있는것이보고되었다. 이번에유포된 Koobface 웜은기존의다른웜들이페이스북 (Facebook) 의댓글이나게시물들을자동으로생성하여다른페이스북사용자들의시스템에감염을시도하는일반적인형태가아니였다. 해당 Koobface 웜은아래 [ 그림 3-6] 과같이구글 (Google) 리더에유튜브동영상으로위장하여컴퓨터사용자에게해당동영상이정상적으로플레이가되지않는것처럼보여준다. 해당유튜브동영상을정상적으로보기위해가운데플레이버튼을클릭하게되면다시아래 [ 그림 3-6] 의이미지와같은웹사이트로연결이되며정상적인시청을위해서는 Adobe Flash Player 10.37을설치해야된다는안내문구를보여주게된다. 안내문구에존재하는설치를클릭하게되면 38,912바이트의 Setup.exe파일이다운로드되며실행되는데해당파일은 Koobface 웜의변형이다. 해당 Koobface 웜에감염이되면윈도우시스템폴더 (C:\Windows\System32) 에자신의복제본을 ld15.exe 라는피일명으로생성하고인터넷에존재하는다른시스템에서개인정보유출을목적으로제작된다른악성코드변형들을다운로드하게된다. 해당 Koobface 웜과다운로드되는악성코드들은 V3 제품군에서다음과같이진단한다. - Win32/Koobface.worm.38912.E - Win32/Koobface.worm.131584 - Win-Trojan/Agent.56064 - Win32/Koobface.worm.51200.B 이러한사회공학적인기법을이용하는악성코드들로부터시스템을보호 세상에서가장안전한이름안철수연구소 07

하기위해서는취약점에대한패치와 V3 365클리닉과같은방화벽과백신을함께제공하는통합보안제품을설치하고, 사이트로부터악성코드감염을예방하는사이트가드 (Siteguard) 와같은소프트웨어설치가중요하다. 하지만무엇보다중요한것은전자메일에존재하는의심스러운웹사이트링크를클릭하지않는사용자의지혜이다. 로, 불필요한프로그램들은 [ 시작 ]-[ 제어판 ]-프로그램추가 / 제거 ] 에서삭제를한다. 지속적으로 BHO는악성코드유포에사용되기때문에, 사용자들의주의가필요하다. 무턱대고출처가분명하지않은프로그램을설치하지않도록웹서핑시에사용자들의주의가필요하다. [ 그림 3-6] 유튜브동영상을코덱으로위장한 Koobface 웜유포용안내문구 Adware 설치와찰떡궁합인 BHO에대한이해이번달에는 BHO를이용한 Adware들이 Top 10에 2건이올랐다. 4위를차지한 Win-AdWare/BHO.HiMyCar.237568 와 7위를차지한 Win- Adware/BHO.HiMyCar.49152들은모두 BHO를이용하는 Adware들이다. 그럼, Adware나 Spyware와함께언급되는 BHO는도대체무엇인가? BHO는 (Browser Helper Objet) 는브라우저도우미개체라고불리며, 윈도우탐색기와 IE기능을확장할때사용하는기능이다. BHO에등록된 Adware나 Spyware들은실행파일형태가아니라, 확장자가 DLL형태로윈도우탐색기나 IE에의하여실행되기때문에윈도작업관리자에서확인이불가능하게되며, 윈도우시작시에윈도우탐색기에의하여자동실행되는특징을가지고있다. 이와같이 Adware나 Spyware를설치및실행할수있는최적의요건을갖추었기때문에, BHO를많이이용한다. 주로 BHO에감염되면, 실행파일과 DLL파일을 Windows의시스템폴더아래에생성한다. 그와함께다수의레지스트리를생성하는특징이있다. 이를통해사용자가사용하는 Internet Explorer에입력되는키워드를감시하는기능을가지고있으며, 시작페이지를사용자가원하지않는페이지로변경하거나광고등을띄우며시스템장애나 Internet Explorer 오류의원인이되기도한다. 그럼 BHO는어떻게제거하면될까? BHO를수동으로제거하는방법은다음과같다. 1. 제어판 -> 인터넷옵션 -> 고급 -> 타사브라우저확장명사용체 크를해제하고, IE(Internet Explorer) 를종료한후에해당 BHO 의 DLL 파일을찾아서삭제한다. 2. 최근에는툴바와같은불필요한프로그램들이 BHO 를이용하므 AhnLab SiteGuard Pro 08 ASEC Report _ 2009. Vol.11

Ⅱ. 칼럼 : 새로운악성코드명명법 1. 악성코드명명법 1980년대중반컴퓨터바이러스가등장하면서세계각지에서는퇴치프로그램을제작하였다. 이때각기다른방식으로진단명을부여하면서, 명명법에일관성이없고혼란스러워지는문제를초래하였다.. 이러한문제를해결하기위해 CARO(Computer Antivirus Researchers Organization) 멤버들이 1991년모여컴퓨터바이러스이름안 (computer virus naming scheme) 를만들게되었다. 여기서변형은. 로띄어쓰기는 _ 등이결정되었으며안철수박사의 V3도이명명법에맞춰진단명을변경하였다. 하지만, 1990년대중후반매크로악성코드, 윈도우악성코드, 스크립트악성코드등새롭게등장하는유형의악성코드를표현할수없는문제가발생했다. 업체별로각기다른진단명이사용되다닉피츠제랄드 (Nick FitzGerald) 는 2002년 AVAR 컨퍼런스에서새로운진단명안을제안하였다. <malware_type>://<platform>/<family_name>.<group_ name>.<infective_length>.<variant><devolution<modifiers> 현재마이크로소프트, F-시큐어등의업체에서이안과유사한방식으로진단명을짓고있다. 하지만, 다른업체들은이전에사용되던고유의진단명을수정하기어렵고폭발적으로증가하는이명명법을사용해도악성코드변형구분이힘들어지는현실속에 < 패밀리이름 >. < 그룹이름 > 대신 < 이름 > 으로간단히쓰고있다. 을결정했다. [ 플랫폼 ]-[ 종류 ]/[ 이름 ]{-[ 상세이름 ]}.[ 변형 ] 1. 진단명의최대길이는크게제한이없지만가급적 45자이내로한다. 2. 플랫폼은악성코드의제작언어나실행환경등을표시한다. 3. 종류는악성코드의가장큰특징을담고있는분류이다. 4. 이름은특징적구분에따라다른이름을사용한다. 이때분석가의필요에따라상세이름이올수있다. 이름과상세이름은 - 로구분한다. 이름은첫글자만대문자이고나머지는소문자로한다. 5. 변형은알파벳대문자로표기한다. (A, B, C AA, AB, AC ZZ, AAB, AAC ZZZ...) 이때욕설, 비속어등이나올수있어자동으로변형이부여될때는모음 (A, E, I, O, U) 은제외한다. 플랫폼은이전과동일하게사용한다. 악성코드의가장큰특징을나타내는종류는 Adware, AppCare, Packer, Spyware, Trojan, Virus, Worm을사용하며이는윈도우실행파일 (Win32, Win64) 와리눅스 (Linux) 에만구분된다. 즉, 스크립트, 매크로등다른플랫폼은종류를구분하지않는다. 추천이름은유사특징을가진유형을정리한것으로분석가에따라다른이름을정할수있다. 2. 기존명명법의문제점 안철수연구소는현재사용중인악성코드명명법이약 10년전쯤에만들어져스파이웨어등의새로운유형및악성코드길이가증가하면서악성코드길이를나타내는숫자가더이상불필요하다는문제인식이대두되었다. 이에기존명명법을보강하는새로운진단명계획을세웠으며새로운명 명법의목표는다음과같다. 1. 새로운악성코드를포함한진단명정립 2. 진단명을통한정보극대화 3. 지나치게길지않은진단명 [ 표 4-1] 대표이름 3. 안랩의새로운명명법 안철수연구소는내년초를목표로기존명명법을보강한새로운명명법 상세이름은악성코드추천이름에서별도구분이필요하다고판단될 때사용한다. 예를들어보통다운로더를 Win32-Trojan/Downloader.A 로표시하는데분석가가별도의구분이필요하다고생각될때 Win32- 세상에서가장안전한이름안철수연구소 09

Torjan/Downloader-Foo.A 와같이명명할수있다. 변형은대문자로만표현되며최초이름에는 A 가붙으며이후 B, C Z 순으로나가며 Z 이후에는 AA, AB.. ZZ 로사용되며 ZZ 이후에는 AAA 가된다. 단, 자동으로변형이부여될때는욕설, 비속어, 음란단어가만들어지는걸예방하기위해모음 (A, E, I, O, U) 을사용하지않는다. 따라서자동으로변형이부여될때는 BD 다음변형은 BE가아닌 BF이다. [5] Nick FitzGerald, A Virus by Any Other Name : Towards the Revised CARO Naming Convention, AVAR Conference, 2002 [6] Peter Szor, The Art of Computer Virus Research and Defense, p.38-46 일반적인변형외에정보형변형은진단명다음에붙는다. [ 표 4-2] 정보변형 단, 여러 Generic 이름이올수있으므로이때는이름에숫자를붙인다. 예 ) Win32-Worm/IRCBot.Generic Win32-Worm/IRCBot1.Generic 4. 새로운명명법예 새로운명명법을기존명명법과비교하면다음표와같다. 악성코드의경우사이즈가붙는데예에서는편의상 12345로통일했으며새로운명명법의변형도 A로통일했다. [ 표 4-3] 새로운명명법예 5. 참고자료 [1] 박준용, [ASEC][SZ] 진단명정책.doc, 2005년 7월 [2] 바이러스명명원칙.ppt [3] V3 제품군진단명칭, 2001년 1월 12일 [4] V3 제품군진단명칭 ( 접두어 ), 2005년 7월 11일 10 ASEC Report _ 2009. Vol.11