바이러스와 웜 형태의 악성코드 'Mamianune' 상세 분석




1. 개요 


생물학에서 다루는 바이러스처럼 자기 자신을 다른 컴퓨터에 전염 시키는 특성을 갖고있는 바이러스(Virus) 악성코드는 다른 실행 파일에 코드나 파일 형태로 기생한다. 그렇기에 감염된 파일을 치료하기 위해선 감염 형태를 분석해야 한다. 본 보고서에선 바이러스와 웜 형태로 전파되는 악성코드 ‘Mamianune’의 감염 동작을 분석하고 바이러스들이 전파 되는 방식을 담았다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Mamianune.exe

파일크기

20,027 Bytes

진단명

Virus/W32.Mamianune

악성동작

파일 바이러스

다운로더

 



2-2. 유포 경로

E-mail 웜 기능과 파일 바이러스 기능을 모두 가지고 있는 해당 악성코드의 특성상 주로 파일 복제나 이메일을 통해 유포되었을 확률이 높아 보인다.



2-3. 실행 과정

해당 악성코드는 실제 악성 행위를 수행하는 코드까지 2단계로 인코딩 되어있으며, 각 단계 모두 폴리모픽(Polymorphic) 기법이 적용되어 코드가 생성된다.





3. 악성 동작


3-1. 파일 감염

해당 악성코드는 감염 동작 시 아래 그림과 같이 악성코드가 삽입될 마지막 섹션에 실행 속성을 부여하고, 악성코드를 삽입한다.


[그림 1] 섹션 속성 변경[그림 1] 섹션 속성 변경


[그림 2] 악성코드 복사[그림 2] 악성코드 복사




변경된 섹션의 내용을 PE 헤더 스펙에 맞춰주기 위해 아래 그림과 같은 여러 동작을 수행한다.


[그림 3] 마지막 섹션 Virtual size 확장[그림 3] 마지막 섹션 Virtual size 확장





3-2. 폴리모픽 코드 생성

해당 악성코드는 E-mail 웜(worm) 기능을 수반하고 있으며, 파일 첨부를 위해 자신을 복제할 때마다 아래 그림과 같이 폴리모픽이 적용되어 안티-바이러스 제품들의 진단을 힘들게 한다.


[그림 4] 코드 생성[그림 4] 코드 생성





4. 결론


이러한 바이러스 기능을 수반한 악성코드는 정상 파일에 악성코드를 기생 시키기 때문에, 일반적인 악성코드에 비해 치료가 어렵다. 따라서, 사용자는 수시로 OS와 응용 프로그램을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등의 방안으로 감염에 예방해야 한다. 상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
Posted by nProtect

다운로더 악성동작 Tufik 바이러스 분석




1. 개요 


바이러스(Virus) 형태의 악성코드는 실행 파일에 코드나 파일 형태로 기생하므로 감염된 파일을 치료하기 위해선 감염 형태 분석이 필요하다. 본 보고서에서는 바이러스 형태 다운로더 악성코드인 ‘Tufik’을 분석하여, 바이러스들의 다양한 감염 형태 중 하나를 파악하고 파일 감염 진행 방식에 대해 다루었다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

tufik.exe

파일크기

41,472 Bytes

진단명

Virus/W32.Tufik

악성동작

파일 바이러스

다운로더

 



2-2. 유포 경로

해당 악성코드는 네트워크 활동을 통한 감염 시도가 발견되지 않았으므로, 감염된 컴퓨터에서 옮겨간 파일의 실행을 통하여 유포되었을 확률이 크다.




2-3. 실행 과정

실행된 악성코드는 자신을 %SystemRoot%\system\alg.exe로 복사하여 재실행 후 다운로드 및 파일 감염 등 악성 동작을 수행한다.




3. 악성 동작


3-1. 파일 감염

해당 악성코드의 감염 형태는 섹션 스펙에 따라, 아래 그림과 같이 악성 섹션을 추가하는 Type1-1과 기존 섹션을 늘려 악성 코드를 추가하는 Type 1-2, 악성 파일 뒤에 원본 파일을 그대로 붙이는 Type 2로 나뉜다.


[그림 1] 감염 형태[그림 1] 감염 형태




Type 1-1은 PE 스펙 상 파일 크기가 실제 파일 크기와 같으며, 섹션 헤더를 추가할 공간이 있으면 아래 그림처럼 섹션을 추가해준다.


[그림 2] Type 1-1 생성[그림 2] Type 1-1 생성



Type 1-2는 PE 스펙 상 파일 크기가 실제 파일 크기와 같으며, 섹션 헤더를 추가할 공간이 없으면 조건에 맞는 섹션을 선택하여 아래 그림처럼 섹션 크기를 늘린 후 악성 코드를 복사한다.


[그림 3] Type 1-2 생성[그림 3] Type 1-2 생성



Type 2는 PE 스펙 상 파일 크기가 실제와 같지않으면 대상 파일 원본을 보존하기 위해 아래 그림처럼 악성코드 전체를 원본 파일 앞부분에 기록한다. 이 후 원본 파일의 리소스에서 아이콘을 추출하여 원본 파일과 같이 위장한다.


[그림 3] Type 2 생성[그림 3] Type 2 생성





4. 결론


이와 같은 바이러스는 원본을 거의 훼손하지 않아 파일 대부분을 복구할 수 있지만, 다운로더 악성동작으로 다운로드 및 실행될 파일에 의한 피해가 확산될 수 있어 사용자의 주의가 필요하다. 이를 예방하기 위해선, 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
Posted by nProtect

파일 바이러스 Bloored 





1. 개요 


대부분 사용자들이 일반적으로 악성코드하면 ‘바이러스(Virus)’를 떠오르기 마련이다. 바이러스는 사전적으로 ‘프로그램을 통해 감염되는 악성 소프트웨어’를 말하는데 보통 바이러스 감염 후에 공격자에게 실질적인 이득을 주는 기능이나, 기능 확장을 위한 추가 모듈 다운로드 및 실행 기능을 포함한다. 본 보고서에서 다루게 될 악성코드 Bloored는 앞서 설명한 바이러스 형태의 악성코드이며, 구조가 다른 바이러스들에 비해 비교적 단순하다. 본 보고서를 통해 바이러스가 다른 파일을 감염하는 방식과 공격자가 이를 이용해 불법적으로 이득을 취하는 방법을 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Bloored.exe

파일크기

259,072 byte

진단명

Worm/W32.Bloored.Gen

악성동작

파일 바이러스, 드롭퍼, 다운로더, 이메일 웜

네트워크

www.k***a.com

 


2-2. 유포 경로

바이러스는 주로 감염 파일의 실행으로 유포되므로, 대체로 감염된 컴퓨터에 연결되었던 USB 등의 보조기억매체를 통해 유포되었을 확률이 높다. 게다가 Bloored는 이메일 웜(Email-worm) 기능을 포함하기 때문에 이메일을 통해 유포 되었을 확률도 있다.



2-3. 실행 과정


해당 악성코드 실행 시, Bloored가 기록해 놓은 시그니처(Signature)를 확인하여 감염 여부를 판단한다. 감염 파일일 경우 시그니처에 포함된 정보로 감염 대상인 파일의 원래 크기를 이용하여 %TEMP%에 정상 파일을 복원 후 실행 시키고, 악성 동작을 수행한다. 감염되지 않은 파일일 경우 위 동작을 건너뛰고, 악성 동작을 수행한다.





3. 악성 동작


3-1. 파일 감염

경로 ‘C:\’를 루트로 이하의 파일과 디렉토리 내부를 감염하며, [그림 1]과 같이 루트에서 15회 이상 깊게 들어가지 않는다. C 드라이브 외에는 감염하지 않는다.


[그림 1] 깊이 제한[그림 1] 깊이 제한



[그림 2]와 같이 임시 파일을 생성하여 ‘악성PE - 감염 대상 PE - Signature’ 순서로 입력한 뒤 감염 대상 경로 파일 명으로 복사하여 파일 감염을 수행한다.


[그림 2] 파일 감염 루틴[그림 2] 파일 감염 루틴


여기서 Bloored는 실행 된 파일의 감염 여부를 고려하지 않기 때문에, 이미 감염된 파일이 다른 정상 파일을 감염 시키면 계속해서 파일이 뒤로 붙는 구조이다.




3-2. 파일 다운로드 및 실행

[그림 3]과 같은 루틴으로 파일을 다운로드 및 실행시킨다

[그림 3] 파일 다운로드 및 실행 루틴[그림 3] 파일 다운로드 및 실행 루틴




3-3. 이메일 웜

레지스트리 키 ‘HKCU\Software\Microsoft\WAB\WAB4\Wab File Name’을 참조하여, Outlook에서 사용하는 주소록 파일 ‘.wab(Windows Address Book)’의 내용을 파싱해 아래 그림들과 같은 내용을 임의로 선택하여 전송한다.

[그림 4] 전송하는 계정 명[그림 4] 전송하는 계정 명


[그림 5] 메일 내용[그림 5] 메일 내용


[그림 6] 첨부 파일 명[그림 6] 첨부 파일 명


[그림 7] 첨부 파일 확장자[그림 7] 첨부 파일 확장자



첨부 파일은 확장자가 .zip일 경우 압축된 Bloored.exe를, 이외의 확장자일 경우는 압축되지 않은 Bloored.exe가 첨부된다.




3-4. 파일 드롭

C ~ X 드라이브 중 DRIVE_FIXED 또는 DRIVE_RAMDISK 타입인 드라이브를 탐색하여, 문자열 “shar” 또는 “mus”를 디렉토리 명에 포함하는 디렉토리 발견 시 bloored.exe 파일을 아래 [그림 8]의 파일 이름으로 복사한다.

[그림 8] 드롭 파일 명[그림 8] 드롭 파일 명



드라이브 탐색 중 아래와 같은 확장자 파일 발견 시, 이메일 주소를 파싱하여 ‘3-3. 이메일 웜’ 항목과 같이 메일을 전송한다.

[그림 9] 파싱 대상 파일[그림 9] 파싱 대상 파일





4. 결론


Bloored와 같은 바이러스는 정상 파일을 악성 파일로 만들기 때문에, 일반적인 악성코드의 치료방법인 ‘삭제’보다 치료 방법이 까다롭다. 그렇기 때문에, 감염 시 치료가 불가능한 파일이 비교적 많이 발생할 수 있어, 원본 파일을 삭제할 수 밖에 없는 상황이 생길 수 있다. 이런 바이러스에 감염되지 않도록 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
Posted by nProtect

잉카인터넷, 더욱 강력해진 사용자용 PC보안 제품 'nProtect Anti-Virus/Spyware V4.0 베타' 출시


○ 행위기반탐지 강화로 신규 변종 바이러스, 스파이웨어 감지
○ MBR, 볼륨 영역의 변조를 방지하는 MBR보호 기능 탑재





 정보보안 전문기업 잉카인터넷(대표 주영흠)이 사용자 컴퓨터의 안전을 위해 보안 기능을 대폭 강화한 사용자용 PC보안 제품 ‘nProtect Anti-Virus/Spyware V4.0 (이하 nProtect AVS V4.0) 베타버전’을 새롭게 출시했다고 4일 밝혔다.


잉카인터넷 신제품 nProtect AVS V4.0은 기존기능에 행위기반탐지와 MBR보호가 추가된 것이 특징이다. 먼저, 행위기반탐지는 사용자 PC의 침투한 악성코드 행위를 관찰하여 진단하는 기술이다. 기존 시그니처 방식으로는 탐지가 어려웠던 알려지지 않은 바이러스까지 탐지하는 것이 장점이다.


특히, 행위기반탐지 기술은 문서프로그램의 취약점을 이용해 공격하는 악성코드의 실행을 실시간으로 차단하고, 파일의 변형을 막는다. 이로 인해 워드나 엑셀 등의 매크로를 이용해 작업한 문장을 바꾸는 매크로바이러스에 대한 사전 방지를 할 수 있으며, 문서 취약점을 이용한 APT 공격에 대한 탐지가 강력해졌다.


두 번째 강화한 기능은 하드디스크의 MBR(마스터부트레코드) 영역 파괴를 방지하는 ‘MBR보호’이다. MBR이란 컴퓨터가 부팅할 때 필요한 정보를 저장하는 장소이며 메모리가 이 MBR의 정보를 읽어 운영체제(OS)를 작동시킨다.


만약 MBR영역이 파괴되면 PC 부팅이 불가하므로 시스템을 사용하지 못한다. 악성파일이 백그라운드 상에서 MBR영역을 파괴시키면 블루스크린이 뜨고, 윈도우 사용이 불가하다. MBR이 손상된 하드디스크는 정상적인 부팅이 어렵고 저장된 데이터에 대한 복구가 어려운 것이 문제다.


MBR보호 기능은 이러한 문제를 방지하기 위해 악성파일이 MBR영역과 더불어 볼륨영역에 접근하는 것을 막아 MBR영역의 손상을 차단한다. 특히, 잉카인터넷의 MBR보호 기술은 과거 전용 솔루션 nProtect MBR Guard로 제작, 국내 주요 은행과 방송사를 마비시킨 3.20, 6.25 사이버테러 사태 때 무료 배포되어 DDoS 공격을 예방하고 사용자 사이에서 그 기술력을 인정받은 이력이 있다.


기본 기능인 안티 바이러스, 스파이웨어 탐지도 향상됐다. 이번 기본기능의 중점은 자체 개발한 타키온 엔진을 향상시켜 빠른 스캐닝과 멀티 진단이 가능하다는 점이다. 이로 인해, 컴퓨터에 침투한 바이러스, 스파이웨어의 실시간 탐지가 더욱 가벼워지고 빨라졌다. 또한 탐지된 악성코드에 대한 진단 및 치료, 삭제 기능을 멀티로 구현하여 더욱 업그레이드시켰다.


이 외에도 ▲하드웨어 변경 없이 간단한 조작으로 게임 성능 및 인터넷 속도를 최적화시켜주는 게임최적화 기능 ▲제품 내 모듈의 위, 변조와 해킹 여부를 확인하는 무결성 검증 ▲제품 자체 레지스트리, 파일, 프로세스 보호 ▲바이러스 검역소 백업 및 복원 등 부가 기능을 강화하였다. 또한, 최근 출시한 윈도우10을 지원한다.


게다가 전문 인력으로 구성된 잉카인터넷 시큐리티 대응센터(ISARC)가 365일 실시간으로 악성코드, 해킹에 대응하며, 수집한 악성코드 정밀분석, 분석 보고서 제공과 정기 업데이트를 통해 신규 악성코드에 대한 빠른 보안을 제공한다.


잉카인터넷은 nProtect AVS V4.0 베타버전을 사용자에게 공개하여 제품에 관한 피드백을 적극적으로 수렴해 정식 버전 개발에 참고할 계획이다. nProtect AVS V4.0 베타버전을 사용하고 싶은 사용자는 http://avs4.nprotect.com/에 접속하면 제품 설치본과 소개서를 다운받을 수 있다.
 

저작자 표시 비영리 변경 금지
신고
Posted by nProtect
최근 매스컴을 통해 "해킹", "바이러스", "DDoS"등 악성 프로그램으로 인한 피해를 다룬 기사거리를 종종 볼 수 있는데, 과거에 비하면 그 빈도 수가 상당히 많아진 느낌입니다. 그만큼 PC가 우리의 생활에 중요한 역할로써 자리잡고 있으며 악성 프로그램도 더욱 위협적인 존재가 되었다고 볼 수 있겠죠. 과거엔 그저 파일을 감염시키던 단순한 악성 프로그램과는 달리 현대에는 개인정보 유출이나 사이버테러에까지 그 종류 및 공격방법도 다양해지고 있습니다.
이런 악성 프로그램의 위협을 잘 알고 있지만 어떻게 확인할 수 있으며, 또 어떻게 내 PC를 관리해야 할까요?
그래서 오늘은 악성 프로그램으로부터 내 PC를 든든하게 지켜줄 백신프로그램의 대해 다뤄보도록 하겠습니다. "지피지기 백전불태"란 말이 있듯, 백신프로그램의 사용법을 자세히 숙지하고 사용해야 갖은 위협들로부터 내 PC를 안전하게 지켜낼 수 있습니다. 그럼 내 PC를 안전하게 지켜줄 "nProtect Anti-Virus/Spyware 2007" 이하 "nProtect AVS 2007"의 사용법과 옵션 설정방법에 대해 집중적으로 다뤄보도록 하겠습니다. 

먼저 아래의 링크에서 프로그램을 다운로드받아 nProtect AVS 2007을 설치합니다.

▣ nProtect AVS 2007 제품소개 및 다운로드 받기
http://www.nprotect.com/service/avs2007/

아래는 "nProtect AVS 2007"이 실행된 모습 입니다.


nProtect AVS 2007은 메인화면 좌측에 보이는 것과 같이  크게 아래의 5가지의 메뉴로 구성되어 있으며, 각 메뉴의 간략한 설명 및 기능은 아래와 같습니다.

보안센터 : 현재 보안설정 상황을 한눈에 볼 수 있으며, 업데이트 및 제품정보에 관련된 설정을 빠르게 할 수 있습니다.
바이러스 / 스파이웨어 :  nProtect AVS 2007의 핵심 기능으로 실시간 감시기를 이용해 시스템을 검사할 수 있습니다.
시스템 청소 : 시스템에 불필요한 파일을 삭제하여 디스크 공간을 확보하고 PC를 최적화 시킵니다.
파일 관리 : 중요한 파일을 암호화 하여 안전하게 보호하고, 완전삭제가 필요한 파일은 복구가 불가능하도록 시스템에서
                      완전히 삭제할 수 있습니다. 
로그 및 알림 : 로그정보를 보거나 알림을 설정할 수 있습니다.

자, nProtect AVS 2007의 설치가 완료되었습니다. 이제 무엇을 해야 할까요?
바로 "업데이트"입니다. 백신프로그램의 주 기능인 "시스템 검사" 및 "실시간 검사" 기능도 업데이트 없이는 무용지물 일 뿐입니다.
업데이트는 컴퓨터백신에서 정말 중요한 작업으로, 최소한 하루에 한 번 업데이트하여 최신 버전을 유지해 주어야 합니다. 업데이트방법에는 "수동 업데이트"와 "자동 업데이트"가 있으며, 먼저 "수동 업데이트" 방법을 살펴보도록 하겠습니다.

"백신 업데이트"는 PC보안의 기본 
 
nProtect AVS 2007의 업데이트 메뉴는 메인메뉴 상단과 보안센터->제품정보 탭 총 두 곳에 위치하고 있으며, 업데이트 버튼을 클릭하여 업데이트 유틸리티 창을 띄우도록 합니다.

"업데이트 유틸리티"에서 업데이트 가능한 패턴과 제품을 확인하여 다음 "업데이트 시작"을 눌러 업데이트를 진행합니다. 파일 복사까지 완료 되면, nProtect AVS 2007이 재시작 후 업데이트가 완료 됩니다. 


제품 정보에서 최신 업데이트된 패턴 버전과 패턴 수량을 확인할 수 있는데, 최신 업데이트 패턴이 정상적으로 출력되면 업데이트가 정상적으로 완료 된 것 입니다.


위와같이 수동 업데이트는 매번 직접 업데이트 버튼을 클릭해야 하는 번거로움이 있으므로, 자동 업데이트를 이용하는 것이 좋습니다. 그러나 nProtect AVS 2007에는 이미 "자동 업데이트"가 기본으로 설정되어 있으므로, 업데이트 시간 및 정책설정만 변경 하도록 합니다. 아래는 "자동 업데이트" 설정 및 정책 변경방법 입니다.

"업데이트 유틸리티"에서 "옵션"을 클릭 합니다.


"자동 업데이트 사용"을 체크하면 자동 업데이트를 사용할 수 있으며, 아래 "업데이트 주기"는 기본 설정이 3시간 마다 업데이트를 체크하게 되어 있으며, 임의의 시간으로 변경 가능 합니다.


이제 최신 패턴 업데이트까지 완료가 되었다면 드디어 "시스템검사"를 해보도록 하겠습니다!

"시스템 검사"로 악성 프로그램을 박멸하자!

시스템검사는 "바이러스/스파이웨어" 메뉴의 "검사"에서 진행할 수 있습니다. 검사의 종류에는 "기본 검사", "전체 검사", "사용자 지정 검사"로 총 3개의 검사 방법이 있는데, 여기서 "전체 검사"는 말뜻 그대로 시스템 전체를 검사하기 때문에 시간이 오래 걸리는 단점은 있으나 시스템내의 모든 악성 프로그램을 진단할 수 있는 장점이 있어 nProtect AVS 2007 최초 설치 후 "전체 검사"로 시스템을 정밀 검사 하는것이 좋습니다.  

 먼저 "전체 검사"를 선택 후 "검사 시작" 버튼을 클릭합니다.


nProtect AVS 2007의 듀얼 엔진이 로드된 후 사용중인 프로세스, 레지스트리, 파일을 차례로 검사중 입니다.

검사가 완료 되면 검사된 악성 프로그램의 경로와 진단명 그리고 치료 유무에 대해서 아주 자세히 확인할 수 있습니다.
앗! 트로이목마가 발견 되었습니다! 트로이목마는 감염된 PC의 정보를 외부로 유출하는 악성 프로그램 입니다.
소중한 나의 정보가 외부로 유출될 수 있으니 빨리 치료 해보도록 하겠습니다. 아래의 치료버튼을 클릭합니다.


간단히 삭제로 치료가 완료되었습니다. 하지만 발견된 악성 프로그램의 종류에 따라 시스템 재부팅 후 완벽히 치료되는 악성 프로그램도 있으니 "상태" 메시지를 정확히 확인하여 치료가 정상적으로 완료할 수 있도록 해줍니다. 


이렇게 "전체 검사"를 통해 시스템을 진단하고 완벽히 치료까지 했습니다. 그 외 "기본 검사"와 "사용자 지정 검사" 또한 동일한 방법으로 쉽게 검사를 진행할 수 있으며, "기본 검사"는 시스템의 메모리와 주요 항목(윈도우 시스템 파일)만 빠르게 탐색하는 검사 방법이며, 만약 윈도우 시스템 파일에 악성 프로그램이 감염될 경우 시스템에 아주 치명적일 수 있기 때문에 가장 일반적으로 사용하는 검사 방법입니다. "사용자 지정 검사"는 감염 의심되는 디스크 및 폴더만 선택하여 검사를 빠르게 진행할 수 있어 "기본 검사"와 "전체 검사"의 장점을 두루 갖추었다고 볼 수 있습니다.

이제 검사부터 치료까지 모두 완료하여 악성 프로그램으로부터 PC가 안전해졌지만 언제든지 위와 같은 악성 프로그램에 감염될 수 있으므로 안심은 금물입니다. 무엇보다 감염을 사전 예방하여 위험을 최소화하는 것이 가장 완벽한 보안이라고 할 수 있습니다.
"시스템 검사"는 악성 프로그램에 의해 감염된 후 치료하였다면 이번에는 감염 전 미리 예방하는 방법에 대해 알아보도록 하겠습니다.


"실시간 검사"로 감염을 사전 예방하자!
 
"바이러스/스파이웨어" 메뉴의 "실시간 검사 사용"을 "On"에 놓으면 실시간 검사를 사용할 수 있습니다.


실시간 감시에는 등급이 있는데 등급이 높을수록 실시간 검사 시 더욱 정밀한 검사를 시행하지만 저 사양의 PC에선 시스템이 느려질 수 있으므로 자신의 시스템 상황에 따라 알맞게 설정합니다.
아래는 "내 문서"에 악성 프로그램이 있다는 가정하에 "내 문서"를 더블클릭하여 접근 시 악성 프로그램의 여부를 파악하여 경고창이 출력된 모습입니다. PC가 느려진다는 이유로 "실시간 검사"를 꺼두었다면, 악성 프로그램인지 모르고 아무런 의심 없이 파일을 실행하여 PC에 감염되었을지도 모르는 아찔한 상황입니다.

지금까지 nProtect AVS 2007의 "업데이트"부터 "시스템 검사", "실시간 검사"까지 알아보았습니다. 위에서 함께 살펴본 것과 같이 백신 프로그램은 설치만으로 그 기능을 제대로 발휘할 수 없습니다. 자신에게 맞는 옷이 있는 것 처럼 백신프로그램 또한 시스템에 맞는 설정이 필요하며, 아래 링크에 있는 "윈도우 업데이트"로 최신 보안업데이트까지 완료한다면 PC를 더욱더 안전하게 보호할 수 있습니다.

▣ "쉽게 배우는 윈도우 업데이트" 바로가기
http://erteam.nprotect.com/8
저작자 표시
신고
Posted by nProtect