토리이 목마
오늘 구글 리더로 RSS에 등록된 글을 읽다 보니 "유출된 Windows 7 7100 이미지가 트로이 목마에 감염됐다"는 글[1]이 있었습니다. 내용을 확인해 보니 최근에 유출된 Windows 7 7100 이미지에 포함된 "setup.exe가 트로이 목마에 감염됐다"는 내용입니다. "the bay of pirates"에서 유출된 첫 7100 이미지 중 하나가 변경되었으며 "많은 사용자들이 이런 사실을 모르고 있다"고 합니다.
트로이 목마
오늘 구글 리더로 RSS에 등록된 글을 읽다 보니 "유출된 Windows 7 7100 이미지가 트로이 목마에 감염됐다"는 글[1]이 있었습니다. 내용을 확인해 보니 최근에 유출된 Windows 7 7100 이미지에 포함된 "setup.exe가 트로이 목마에 감염됐다"는 내용입니다. "the bay of pirates"에서 유출된 첫 7100 이미지 중 하나가 변경되었으며 "많은 사용자들이 이런 사실을 모르고 있다"고 합니다.
확인 절차
감염된 이미지는 'Windows_7_Ultimate_x86_RC_Build_7100.4866522'와 같은 문자열을 포함하고 있으며 감염된 이미지의 MD5 검사합은 '2DC70D7C851D76D49AC71167141222F7'라고 합니다. 따라서 Windows 7 7100을 내려받아 설치한 사람은 FlashSFV와 같은 프로그램을 이용해서 내려받은 이미지의 검사합을 확인해 보기 바랍니다. 검사합을 검사하는 방법은 다음과 같습니다.
- flashsfv26.zip를 클릭해서 'flashsfv26.zip'를 내려받은 뒤 임의의 폴더에 풀어놓습니다[2].
- W7100SFV.zip를 클릭해서 'W7100SFV.zip'를 내려받은 뒤 'Windows 7 7100 이미지를 저장한 폴더'에 풀어 둡니다.
- 'FlashSFV'를 실행하고 'Open'을 클릭합니다. 대화상자에서 풀어놓은 .MD5를 선택한 뒤 'Open' 단추를 누릅니다.
- 'Check' 단추를 클릭하고 다음 그림처럼 'Good' 메시지가 떨어지면 정상적인 파일로 보면됩니다[3].
일단 인터넷을 통해 이런 종류의 파일을 내려받을 때는 '항상 무결성 검사를 하는 것'이 좋습니다. 일반적으로 대부분의 이미지 배포 사이트에서는 무결성 검사를 위해 검사합 파일인 '.MD5'를 제공하고 있습니다. 무결성 검사는 위의 예처럼 트로이 목마가 배포되는 것을 막을 수도 있지만 네트워크 오류로 이미지가 손상된 것도 확인할 수 있기 때문입니다.
또 인터넷에 파일을 올릴 때도 올리는 파일이 압축 파일이 아니라면 가급적 검사합 파일을 함께 올리는 것이 좋습니다. FlashSFV[4]를 이용해서 검사합 파일을 만들고 확인하는 방법은 제가 홈페이지에 예전에 올린 파일 전송시 .SFV 이용하기(Creating .SFV File for Transering file)를 읽어 보시기 바랍니다.
- 출처 - Windows 7 Center, Leaked Windows 7 Build 7100 image may have been infected with trojan ↩ ↩
- 유틸리티 폴더에 아예 등록해 두고 사용하는 것이 더 좋습니다. ↩
- Total Commander를 사용하고 있다면 두번 클릭하면 자동으로 검사합니다. ↩
- FlashFXP를 개발한 iniCom에서 개발, 무료로 배포하는 프로그램입니다. 다만 이 프로그램의 공식 다운로드 사이트는 더 이상 찾을 수 없었습니다. ↩
Trackback
Trackback Address :: https://offree.net/trackback/2488
Comments
-
-
Zasfe 2009/04/29 09:27
정말 생각지도 않은곳(?)에 바이러스를 넣었네요.
출시 나오기도 전에 유출된 버젼에서 바이러스의 사전 테스트를 하는것일까요.
아무튼 꺼진불도 다시보는게 좋은 세상입니다. -
-
김정재 2009/04/29 10:19
항상 도아님 글 잘보구있습니다.
궁금한게 한가지 있습니다. 토렌 사이트에서 유출된 윈도우 7 RC 버전은 아직까지는 마이크로소프트에서 정식으로 출시를 하지 않은이상 불법 소프트웨어 아닌가요? 문론 5월 달에 마이크로소프트 홈페이지를 통해서 다운로드를 받아서 2010년 3월까지 무료로 사용할 수 있지만은 이렇게 토렌사이트를 통해서 사용하는건 불법인지 아닌지 궁금해서 이렇게 글을 올립니다.-
도아 2009/04/29 10:29
유출 자체가 불법입니다. 따라서 유출본을 사용하는 것도 당연히 불법이 됩니다. 그런데 문제는 법적으로 문제 삼지 않는다는 점입니다. 베타판을 유출시키는 사람은 'MS 직원'이라는 소문이 있습니다. 사실 따지고 보면 MS에서 막으려고 한다면 유출될리가 없기 때문입니다.
즉, MS에서도 이런 유출본을 사람들이 사용하고 소문이 나기를 원합니다. 대신에 유출본을 사용하고 사람들이 피해를 입어도 MS는 법적으로 책임질 이유가 없습니다. 이런 점 때문에 유출본이 계속 나돌고 유출본을 사용하는 것입니다. 예전의 베타부터 지금까지 사용되던 방식입니다.
-
-
종요 2009/04/29 10:24
windows 7 관련 게시글을 볼 때마다 들었던 의문인데요 개발중인 windows 7이 유출될 수도 있겠지만 지금까지 수 차례나 개발 중인 운영체제가 유출된다는 게 좀 이상합니다. 제가 이런 쪽은 하나도 모르지만 저리 큰 회사에서 그것도 운영체제를 만드는 회사의 보안수준이 어떻길래 매번 유출이 되는지... 일부러 슬쩍슬쩍 흘리면서 베타테스트 하는 거 아닌가요? 마치 MS가 떡밥 던지고 간 보는 것 같아요. 정식출시되고 나서 욕 덜 먹으려고 말이죠.
-
-
가키 2009/04/29 11:00
얼마 전부터 인터넷에 MD5가 보이길래...이게 뭔가...(웹페이지에 있으니 꺼내 먹을 수도 없고...쿨럭!!!)
하고 있었는데...
이런 용도였군요...ㅇㅅㅇ;;;
앞으로 자주 사용해야겠습니다.
많이 배워갑니다.^^ -
-
asciizhem 2009/04/29 11:50
메가닥터, 알약,v3lite버전 등 국내 백신을 통한 실시간감시가 작동했을까하는 의구심이 듭니다 ^^
국내 모카페와 여러 웹사이트가 감염된 사실이 실시간감시를 통해서 종종 발견되곤 했는데, 왠지 해보고 싶다는생각이 문득들어 몇자적어봅니다.
알집 또는 iso파일들은 항상 압축을 해제한후 바이러스
검사를 해보고 사용하는데요. 매번 귀찮지만 심적으론 편할것같아 수고를 감수하고 사용하고 있습니다.
혹시 좀더 좋은대안은 없을까요? ^^ -
'이런 일이' 공상플러스[429재보선 D-day] 2009/04/29 16:22
역시 별별 놈들이 다 있군요. 또라이 머리에 빛을 주려는 또라이트와, 운영체제 이미지에 저런 호작질을 하는 녀석이나
-
-
Designer♬ 2009/04/30 06:41
Kaspersky에서 계속 잡아내길래 블로그에 글을 올리려다가, 도아님의 글을 보고서야 저만 그런게 아니라는 걸 알게 됐습니다;;;; 사실 토런트에서 MD5 checksum을 일일이 확인하는 사람이 얼마나 될까요? 하물며 에뮬에서의 해쉬마저도 확인안하는 지경이다 보니 저도 완전 낚일뻔 했습니다....
해당 토런트는 demonid에서도 배포가 되고 있더군요... 코멘트 날려놔야 될 것 같습니다....
맨날 눈팅만 하다가 이제서야 글 남겨봅니다.... 좋은 정보 감사합니다. -
행인 2009/05/05 21:52
P2P사이트라고해서 모두 믿을건 아니라고 봅니다.
저도 살짝 Crysis라는 겜받아서 autorun실행시켰다가 바이러스 왕창 먹은 경험이 있습니다.
그래서 요즘은 파일 받아도 항상 바이러스 체크하고 프로그램 설치하는 버릇이 생겼네요.
aVast쓰는데 인터넷 창 열때 웜바이러스인가? 그런거 있으면 자동으로 알려주더군요.
기는 놈 위에 나는 놈이라고.. 꼭 그 짝이죠...
파일 받기전에 게시판에 글 올라와있는거 꼼꼼히 체크해보시면 50%정도 위험은 덜 수 있을 것 같더군요.
미리 받아보고 알려주시는 분들이 있으시니까요.
Facebook