토리이 목마

오늘 구글 리더로 RSS에 등록된 글을 읽다 보니 "유출된 Windows 7 7100 이미지가 트로이 목마에 감염됐다"는 글[1]이 있었습니다. 내용을 확인해 보니 최근에 유출된 Windows 7 7100 이미지에 포함된 "setup.exe가 트로이 목마에 감염됐다"는 내용입니다. "the bay of pirates"에서 유출된 첫 7100 이미지 중 하나가 변경되었으며 "많은 사용자들이 이런 사실을 모르고 있다"고 합니다.

목차

트로이 목마

오늘 구글 리더로 RSS에 등록된 글을 읽다 보니 "유출된 Windows 7 7100 이미지가 트로이 목마에 감염됐다"는 글[1]이 있었습니다. 내용을 확인해 보니 최근에 유출된 Windows 7 7100 이미지에 포함된 "setup.exe가 트로이 목마에 감염됐다"는 내용입니다. "the bay of pirates"에서 유출된 첫 7100 이미지 중 하나가 변경되었으며 "많은 사용자들이 이런 사실을 모르고 있다"고 합니다.

확인 절차

감염된 이미지는 'Windows_7_Ultimate_x86_RC_Build_7100.4866522'와 같은 문자열을 포함하고 있으며 감염된 이미지의 MD5 검사합은 '2DC70D7C851D76D49AC71167141222F7'라고 합니다. 따라서 Windows 7 7100을 내려받아 설치한 사람은 FlashSFV와 같은 프로그램을 이용해서 내려받은 이미지의 검사합을 확인해 보기 바랍니다. 검사합을 검사하는 방법은 다음과 같습니다.

  1. flashsfv26.zip를 클릭해서 'flashsfv26.zip'를 내려받은 뒤 임의의 폴더에 풀어놓습니다[2].
  2. W7100SFV.zip를 클릭해서 'W7100SFV.zip'를 내려받은 뒤 'Windows 7 7100 이미지를 저장한 폴더'에 풀어 둡니다.
  3. 'FlashSFV'를 실행하고 'Open'을 클릭합니다. 대화상자에서 풀어놓은 .MD5를 선택한 뒤 'Open' 단추를 누릅니다.
  4. 'Check' 단추를 클릭하고 다음 그림처럼 'Good' 메시지가 떨어지면 정상적인 파일로 보면됩니다[3].

일단 인터넷을 통해 이런 종류의 파일을 내려받을 때는 '항상 무결성 검사를 하는 것'이 좋습니다. 일반적으로 대부분의 이미지 배포 사이트에서는 무결성 검사를 위해 검사합 파일인 '.MD5'를 제공하고 있습니다. 무결성 검사는 위의 예처럼 트로이 목마가 배포되는 것을 막을 수도 있지만 네트워크 오류로 이미지가 손상된 것도 확인할 수 있기 때문입니다.

또 인터넷에 파일을 올릴 때도 올리는 파일이 압축 파일이 아니라면 가급적 검사합 파일을 함께 올리는 것이 좋습니다. FlashSFV[4]를 이용해서 검사합 파일을 만들고 확인하는 방법은 제가 홈페이지에 예전에 올린 파일 전송시 .SFV 이용하기(Creating .SFV File for Transering file)를 읽어 보시기 바랍니다.

관련 글타래


  1. 출처 - Windows 7 Center, Leaked Windows 7 Build 7100 image may have been infected with trojan 
  2. 유틸리티 폴더에 아예 등록해 두고 사용하는 것이 더 좋습니다. 
  3. Total Commander를 사용하고 있다면 두번 클릭하면 자동으로 검사합니다. 
  4. FlashFXP를 개발한 iniCom에서 개발, 무료로 배포하는 프로그램입니다. 다만 이 프로그램의 공식 다운로드 사이트는 더 이상 찾을 수 없었습니다. 
글쓴이
author image
운영체제의 모든 것을 운영하고 있는 IT 블로거. IT 블로거라는 이름은 현재 시국때문에 시사 블로거로 바뀐 상태다. 그러나 나는 아직도 시사와 사회에 관심이 많은 IT 블로거일 뿐이다. 컴퓨터, 운영체제, 시사, 가족, 여행, 맛집, 리뷰등과 살면서 느끼는 소소한 일상이 블로그의 주제이다. 왼쪽의 아이콘은 둘째 딸 다예가 그린 내 모습이다.
2009/04/29 09:04 2009/04/29 09:04
오늘의 글
인기있는 글
조회수 많은 글 | 베오베
댓글 많은 글 | 베오베

Trackback

Trackback Address :: https://offree.net/trackback/2488

Facebook

Comments

  1. koc2000/SALM 2009/04/29 09:07

    헉, 저기에 바이러스를 넣을 생각을 하다니... ㅡㅡ;
    좀 치졸한 인간이 많기는 많은가 봅니다.

    perm. |  mod/del. reply.
    • 도아 2009/04/29 10:26

      워낙 다양한 인간들이 사는 곳이니까요.

  2. Zasfe 2009/04/29 09:27

    정말 생각지도 않은곳(?)에 바이러스를 넣었네요.
    출시 나오기도 전에 유출된 버젼에서 바이러스의 사전 테스트를 하는것일까요.

    아무튼 꺼진불도 다시보는게 좋은 세상입니다.

    perm. |  mod/del. reply.
    • 도아 2009/04/29 10:26

      예. 그래서 무결성 검사는 꼭 하는 것이 좋습니다.

  3. 구차니 2009/04/29 09:31

    귀찮고 번거로워도 md5는 검사를 해야겠군요 ㅠ.ㅠ

    perm. |  mod/del. reply.
    • 도아 2009/04/29 10:26

      예... 특히 저런 사람 때문에 꼭 해야 합니다.

  4. 김정재 2009/04/29 10:19

    항상 도아님 글 잘보구있습니다.
    궁금한게 한가지 있습니다. 토렌 사이트에서 유출된 윈도우 7 RC 버전은 아직까지는 마이크로소프트에서 정식으로 출시를 하지 않은이상 불법 소프트웨어 아닌가요? 문론 5월 달에 마이크로소프트 홈페이지를 통해서 다운로드를 받아서 2010년 3월까지 무료로 사용할 수 있지만은 이렇게 토렌사이트를 통해서 사용하는건 불법인지 아닌지 궁금해서 이렇게 글을 올립니다.

    perm. |  mod/del. reply.
    • 도아 2009/04/29 10:29

      유출 자체가 불법입니다. 따라서 유출본을 사용하는 것도 당연히 불법이 됩니다. 그런데 문제는 법적으로 문제 삼지 않는다는 점입니다. 베타판을 유출시키는 사람은 'MS 직원'이라는 소문이 있습니다. 사실 따지고 보면 MS에서 막으려고 한다면 유출될리가 없기 때문입니다.

      즉, MS에서도 이런 유출본을 사람들이 사용하고 소문이 나기를 원합니다. 대신에 유출본을 사용하고 사람들이 피해를 입어도 MS는 법적으로 책임질 이유가 없습니다. 이런 점 때문에 유출본이 계속 나돌고 유출본을 사용하는 것입니다. 예전의 베타부터 지금까지 사용되던 방식입니다.

  5. 종요 2009/04/29 10:24

    windows 7 관련 게시글을 볼 때마다 들었던 의문인데요 개발중인 windows 7이 유출될 수도 있겠지만 지금까지 수 차례나 개발 중인 운영체제가 유출된다는 게 좀 이상합니다. 제가 이런 쪽은 하나도 모르지만 저리 큰 회사에서 그것도 운영체제를 만드는 회사의 보안수준이 어떻길래 매번 유출이 되는지... 일부러 슬쩍슬쩍 흘리면서 베타테스트 하는 거 아닌가요? 마치 MS가 떡밥 던지고 간 보는 것 같아요. 정식출시되고 나서 욕 덜 먹으려고 말이죠.

    perm. |  mod/del. reply.
    • 도아 2009/04/29 10:30

      예... 예전부터 있던 이야기입니다. MS에서 유출하고, 소문내고 법적으로 책임지지 않아도 되니... 잇점이 많습니다.

  6. 학주니 2009/04/29 10:26

    토랜트로 받은 파일들 중에서 이상한 것들도 많기는 하지만..
    저렇게 트로이목마를.. -.-;;
    쩝.. -.-;;

    perm. |  mod/del. reply.
    • 도아 2009/04/29 10:30

      그나마 토런트는 에뮬보다는 나은데,,, 이제는 저런 짓까지 하는군요.

  7. 가키 2009/04/29 11:00

    얼마 전부터 인터넷에 MD5가 보이길래...이게 뭔가...(웹페이지에 있으니 꺼내 먹을 수도 없고...쿨럭!!!)
    하고 있었는데...
    이런 용도였군요...ㅇㅅㅇ;;;

    앞으로 자주 사용해야겠습니다.
    많이 배워갑니다.^^

    perm. |  mod/del. reply.
    • 도아 2009/04/29 18:39

      예. 이미지를 내려받은 뒤에서 항상 검사를 해주는 것이 좋습니다.

  8. jwmx 2009/04/29 11:02

    저런, 주의해야 겠네요. 제 주변에도 윈도7을 사용해 보겠다고
    일부러 찾아 다니는 사람도 있으니 말이죠.

    perm. |  mod/del. reply.
    • 도아 2009/04/29 18:39

      다행이 저는 64이고 검사합도 일치해서 괜찮았습니다. 그러나 피해가 꽤 커질 수도 있겠더군요.

  9. asciizhem 2009/04/29 11:50

    메가닥터, 알약,v3lite버전 등 국내 백신을 통한 실시간감시가 작동했을까하는 의구심이 듭니다 ^^

    국내 모카페와 여러 웹사이트가 감염된 사실이 실시간감시를 통해서 종종 발견되곤 했는데, 왠지 해보고 싶다는생각이 문득들어 몇자적어봅니다.

    알집 또는 iso파일들은 항상 압축을 해제한후 바이러스
    검사를 해보고 사용하는데요. 매번 귀찮지만 심적으론 편할것같아 수고를 감수하고 사용하고 있습니다.

    혹시 좀더 좋은대안은 없을까요? ^^

    perm. |  mod/del. reply.
    • 2009/04/29 12:54

      iso나 압축파일의 경우 압축이 되있다면 작동하지 않습니다. iso의 경우 데몬툴 같은 가상프로그램으로 인식시킨뒤 사용을 하시면 실시간검사에서 잡아낼겁니다.(iso파일을 압축을 푸는것보다 데몬툴로 인식시키고 검사하는게 더 빠릅니다). 압축파일의 경우 압축을 풀 경우 실시간 감시에서 잡아냅니다. 만약 제가 잘못알고 있다면 댓글을 달아주세요.

    • 도아 2009/04/29 18:40

      ISO나 압축 파일을 풀어 감시하면 속도가 너무 느려집니다. 따라서 대부분 내려받은 뒤 검사하는 방법을 사용하는데 경우에 따라 잡아내지 못하는 수도 있습니다.

  10. '이런 일이' 공상플러스[429재보선 D-day] 2009/04/29 16:22

    역시 별별 놈들이 다 있군요. 또라이 머리에 빛을 주려는 또라이트와, 운영체제 이미지에 저런 호작질을 하는 녀석이나

    perm. |  mod/del. reply.
  11. osnews 2009/04/29 20:09

    RC 공식 배포판 나올날이 얼마남지 않았으니 그때까지 기다려야겠네요.
    7077 쓰고 있는데 IE가 불안한것 빼곤 잘 돌아가네요.

    perm. |  mod/del. reply.
    • 도아 2009/04/30 10:55

      7100이 공식이라는 이야기도 있더군요.

  12. Designer♬ 2009/04/30 06:41

    Kaspersky에서 계속 잡아내길래 블로그에 글을 올리려다가, 도아님의 글을 보고서야 저만 그런게 아니라는 걸 알게 됐습니다;;;; 사실 토런트에서 MD5 checksum을 일일이 확인하는 사람이 얼마나 될까요? 하물며 에뮬에서의 해쉬마저도 확인안하는 지경이다 보니 저도 완전 낚일뻔 했습니다....

    해당 토런트는 demonid에서도 배포가 되고 있더군요... 코멘트 날려놔야 될 것 같습니다....

    맨날 눈팅만 하다가 이제서야 글 남겨봅니다.... 좋은 정보 감사합니다.

    perm. |  mod/del. reply.
    • 도아 2009/04/30 10:55

      예... 저도 깜짝 놀랐습니다. 트로리 목마가 있다고 해서...

  13. 행인 2009/05/05 21:52

    P2P사이트라고해서 모두 믿을건 아니라고 봅니다.
    저도 살짝 Crysis라는 겜받아서 autorun실행시켰다가 바이러스 왕창 먹은 경험이 있습니다.
    그래서 요즘은 파일 받아도 항상 바이러스 체크하고 프로그램 설치하는 버릇이 생겼네요.
    aVast쓰는데 인터넷 창 열때 웜바이러스인가? 그런거 있으면 자동으로 알려주더군요.
    기는 놈 위에 나는 놈이라고.. 꼭 그 짝이죠...
    파일 받기전에 게시판에 글 올라와있는거 꼼꼼히 체크해보시면 50%정도 위험은 덜 수 있을 것 같더군요.
    미리 받아보고 알려주시는 분들이 있으시니까요.

    perm. |  mod/del. reply.
    • 도아 2009/05/06 05:20

      P2P를 모두 믿는 바보는 없습니다. P2P이기 때문에 오히려 믿지 않죠. 다만 torrent는 일반 p2p와는 달리 올린 사람이 노출되기 때문에 일반 p2p에 비해 조금 더 신뢰하는 것 뿐입니다. 이 경우는 올린 사람도 속은 경우고요.

(옵션: 없으면 생략)

글을 올릴 때 [b], [i], [url], [img]와 같은 BBCode를 사용할 수 있습니다.