|
McAfee VirusScan 8.0i 개요
통합 PC/서버보안 솔루션인 McAfee VirusScan [ 사전예방 개변의 Anti-virus ]
- 오늘날 기업들은 8만 1천여 개에 달하는 바이러스와 날로 증가하는 악성코드의 공격 대상이 되고 있다. 이에 따라 이제 보안대책 또한 이러한 공격을 사전에 차단하는 능동적 보안으로 방향을 돌리고 있다. 이에 따라 맥아피에서 최근에 발표한 차세대 통합 PC/서버보안 솔루션인 McAfee VirusScan i는 복잡하고 다양해지는 공격에 능동적으로 대응할 수 있는 보안 솔루션이다.
| |
※제품기능
- Anti-virus 기술의 새로운 재정립
- 액세스 방지의 방화벽 기능
- 호스트 IPS에서의 기능인 버퍼 플로우 탐지 및 차단
- 기존 안티 바이러스 기능 외에 Spyware와 같은 악성 소프트웨어차단
- 감염된 소스 식별 및 차단
- 새로운 기능: “I” = IPS
- 액세스 방지
- 포트, 공유 폴더 등을 제한함으로써 침입 방지
- 버퍼오버플로우 방지
- 20여개 이상의 어플리케이션에서의 특정 버퍼 오버플로우 Exploit방지
- McAfee® i (VSE 8.0i )
VirusScan 콘솔
- 포트차단
- 지정된 포트에서 수신 또는 송신 트래픽을 차단하고 차단된 포트에 액세스를 시도할 때 항목의 로그 기록 여부를 선택한다. 포트를 차단할 때 TCP 및 UDP 액세스가 모두 차단 된다.
- “ 차단하고자 하는 포트를 송신 또는 수신 방향에 따라 포트를 차단한다. TCP, UDP 포트로 유입되는 웜 바이러스 및 기타 공격으로부터 포트를 차단함으로써 DAT파일이 릴리스될
때까지 컴퓨터 유해 코드를 차단할 수 있다.”
- 파일, 공유 및 폴더 보호 등록정보
- 파일, 폴더 및 공유에 대한 읽기 또는 쓰기 액세스를 방지함으로써 바이러스 아웃브레이크 동안 침입을 방지 할 뿐 아니라 침입의 확산을 중지시키는 데 매우 강력하다.
의심스러운 실행파일이 시작 폴더에서 실행이 안되도록 설정한다. 파일액션과 대응방법에 따라 읽기/쓰기/실행/생성/ 삭제가 안되도록 선택적으로 액션을 취하고 액션에 따른 대응조치는 경고, 차단으로 구분해서 대응한다.
- 버퍼 오버플로 방지
- 버퍼오버플로 공격은 응용프로그램 또는 프로세서 내의 소프트웨어 디자인 결함을 악용하여 컴퓨에서 코드를 강제로 실행하는 공격기술이다.
- VirusScan Enterprise는 Internet Explorer, Microsoft Outlook,Outlook Express, Microsoft Word 및 MSN Messenger를 비롯한 약30개 정도의 응용프로그램을 보호한다.
- 악용된 응용프로그램으로 컴퓨터상의 임의 코드를 실행 못하도록 한다.특정 프로세서를 제외 시킬 수도 있다. 또한 버퍼오버프로 탐지를 로그파일에 기록할 수 있으며 1MB ~ 999MB 사이까지 로그파일크기 제한할 수도 있다. 이 파일 크기를 초과하면 로그파일 항목에서 가장오래된 20%가 삭제되고 새로운 데이터가 파일에 추가된다
- 버퍼오버플로우 방지 기능
- 시스템에서 주요 어플리케이션에 대한 버퍼오버플로우를 실시간 감시하며 발생 시 이를 차단하여 시스템 보안 취약점을 통해 공격코드가 작동되는 것을 방지함.
- 시스템의 Heap 또는 Stack 에서 작동되는 코드set을 검사하여 유해 코드가 실행되는 것을 막는다.
- Windows운영 체제에서 사용빈도가 높으며? 취약성, 위험도가 높은 30가지 이상 프로그램에 대하여 이 기능 수행
- 새로운 어플리케이션 버퍼 오퍼플로우에 대한 리스트가 DAT과 함께 자동 업데이트됨
- 원하지 않는 프로그램 정책
- 스파이웨어나 애드웨어 와 같은 원하지 않는 프로그램은 방해 요인과 보안 위험이 될 수 있다. VirusScan Enterprise를 사용하여 원하지 않는 프로그램으로 정의한 다음,탐지된 프로그램에 지정한 액션을 취할 수 있다. 원하지 않는 프로그램에 대한 실제 탐지와 치료는 DAT 파일에 의해 결정되며, DAT 파일은 DAT 파일의 정보를 사용하여 프로그램을 치료한다.
- 온 엑세스 검색 차단
- 공유 폴더에 감염된 파일이 있는 원격 컴퓨터로부터의 연결을 차단할 수 있다. 사용자에게 메시지를 전송할지 여부와 원격 컴퓨터로부터의 연결을 차단할지 여부 및 그 기간을 지정한다. 원하지 않는 프로그램이 탐지될 경우, 원격 컴퓨터로부터의 연결을 차단할 수도 있다.
|
연결 차단 (기본값). |
연결 차단 (기본값).
공유 폴더에서 감염된 파일을 읽으려고 시도하거나 이러한 파일에 작성하려고 하는 원격 컴퓨터의 네트워크 사용자에 대한 연결을 차단 한다. |
다음 시간 경과 후
연결 차단 해제(분)
(기본값은 10분). |
지정한 시간(분)이 지나면 연결 차단이 해제됩니다. 1과 9999 사이
의 숫자를 입력한다. |
- 온 엑세스 검색? - 휴리스틱
- 휴리스틱스 아래에서 알 수 없는 코드 부분이나 Microsoft Office 매크로가 바이러스일 가능성을 스캐너에서 평가할 것인지 여부를 지정한다. 이 기능을 사용할 경우 스캐너는 코드가 알려진 바이러스의 변종일 가능성에 대해 분석한다.
- Heuristics ? 변종탐지 및 제거
- SDBOT, GAOBOT, POLYBOT 등의 BOT 계열 웜 : 7000 여종(2004년 12월 기준)
- BOT계열 웜 샘플은 매주 150~200개 정도가 접수되고 있음.
- Anti-virus 제품의 변종 탐지 회피를 위해 최근에는 실행 압축 파일로 배포 사례가 늘고 있음(UPX, ASPack, Morphine, PEPack, Pelite, Yoda 등 사용)
- 최근 BOT계열 다양한 변종 탐지를 위해선 실행 압축 파일 검사 기능이 필수적임
- 2005년 1월 13일 Release 4400 엔진에서 실행 압축 파일 탐지 능력 향상(Unpacker 성능 개선)
|
| 알려지지 않은 프로그램 바이러스 찾기 |
알려지지 않은 매크로 바이러스 찾기 |
| 바이러스와 유사한 코드가 있는 실행 파일을 스캐너가 발견하면 이 파일을 감염된 파일처럼 취급합니다. 스캐너는 사용자가 액션 탭에서 선택한 액션을 적용합니다 |
바이러스와 유사한 코드가 있는 포함된 매크로를 스캐너가 발견하면 이 매크로를 감염된 매크로처럼 취급합니다. 스캐너는 사용자가 액션 탭에서 선택한 액션을 적용합니다. |
|
