읽기 시간 : 2 분

Comodo Antivirus Labs의 보안 엔지니어 및 IT 전문가는 크고 작은 IT 인프라에 대한 파괴와 혼란을 유발하려는 수천 개의 맬웨어 제품군을 지속적으로 분석하여 Comodo 고객이 이러한 맬웨어 제품군으로부터 안전하게 보호되도록합니다.

블로그 (comblog.comodo.com)에서 진행중인 일련의 게시물에서 코모도의 보안 전문가는 특정 악성 코드 군을 조사하여 코모도의 고급 엔드 포인트 보호 봉쇄 기술과 코모도의 기술이 왜 모든 맬웨어를 물리칩니다. Comodo 엔지니어링 Egemen Tas 수석 부사장과 위협 연구 책임자 Igor Demihovskiy가 이번 주 게시물에 대한 의견을 제시했습니다.

Ramnit와 같은 파일 감염자는 어떻게 작동합니까?

파일 감염자는 가장 오래된 바이러스 유형 중 하나이지만 해커는보다 정교한 동작을 가진 새로운 변종을 도입하여 관련성을 유지합니다.

Ramnit가 플래시 드라이브, 이메일, 웹 페이지 악용 또는 악성 광고를 통해 호스트 시스템에 들어가면 실행 파일 검색을 시작합니다. 하나를 찾으면 감염된 프로그램이 실행될 때마다 맬웨어가 활성화되고 다른 실행 파일로 확산되도록 프로그램의 코드를 다시 작성하여 페이로드를 주입하려고 시도합니다. 일단 활성화되면 멀웨어는 암호, 신용 카드 번호, 개인 데이터 등과 같은 민감한 정보를 포함 할 수 있다고 판단되는 파일을 훔칠 수 있습니다. 최신 변종은 더 정교한 공격을 사용할 수 있습니다.

파일 감염자가 여전히 효과적인 이유 :

이러한 바이러스의 각각의 새로운 변종은 기존 안티 바이러스 기술이 너무 늦을 때까지 탐지 할 수없는 제로 데이 위협을 나타냅니다. 일부 변종은 암호화와 같은 기술을 사용하여 탐지에서 자신을 숨기려고 시도합니다. 이로 인해 코드가 서명 기반에 대해 무의미하게 (따라서 무해하게) 보입니다. 바이러스 백신 프로그램.

코모도 바이러스가 포함되어 있습니다 :

코모도의 고급 봉쇄 기술 가상 컨테이너에서 알 수없는 모든 파일을 자동으로 실행하여 보호 된 시스템과 분리하여 기존 코드, 레지스트리 등에 손상을주지 않도록합니다. 포함 된 바이러스는 디스크 (c : xxx.exe)에서 직접 읽을 수 있지만 쓰기 보호는 페이로드를 디스크 (c : VTrootc : xxx.exe)에 쓰려고 할 때 작업을 가상 드라이브로 리디렉션합니다. 이러한 방식으로 Ramnit와 같은 바이러스는 시작되는 즉시 포함되며 하드 디스크에 파일을 다시 작성하는 데 필요한 무제한 시스템 액세스가 허용되지 않습니다.

Comodo는 바이러스를 분석하고 검역소에 보관합니다.

포함 된 파일은 다음과 같은 전통적인 기술과 고급 기술을 사용하여 샌드 박스에서 분석됩니다. 동적 분석, 휴리스틱, 평판 분석 및 필요한 경우 전문가의 개입. 그런 다음 바이러스 상태가 "알 수 없음"에서 "알려진 상태"로 이동합니다.이 시점에서 바이러스는 격리되어 관리자 정책에 따라 처리됩니다. 프로세스가 완료되면 가상 컨테이너가 내부 메모리와 함께 활성 메모리에서 삭제됩니다.

회사의 IT 환경이 피싱, 맬웨어, 스파이웨어 또는 사이버 공격의 공격을 받고 있다고 생각되면 보안 컨설턴트에게 문의하십시오. 코모도 안티 바이러스 실험실 :

https://enterprise.comodo.com/contact-us.php

이메일 보안 테스트 인스턴트 보안 점수를 무료로 받으십시오

출처 : https://blog.comodo.com/containment/fileinfectors-vs-comodo-auto-containment/