firefox... 정말 ie보다 안전합니까?

Mozilla Firefox 사용에 대한 일반적인 질문과 답을 해 주는 게시판입니다. 질문을 하기 전에 FAQ를 읽어 보시는게 도움이 될 것입니다.
Post Reply
nemissa
Posts: 17
Joined: 2004 10 07 13:38 11
Contact:

firefox... 정말 ie보다 안전합니까?

Post by nemissa »

보통 firefox가 ie보다 보안이 뛰어나다고들 얘기합니다. 실제로 ie에서 firefox로 바꾼 계기도 스파이웨어에 의해 구글 검색결과의 링크가 엉뚱한 곳(아마 land search라는 곳)으로 연결된 사건 이후입니다. 하지만 인터넷을 찾아봐도 구체적으로 firefox의 보안이 어떻게 뛰어난지에 관한 설명은 찾지 못했습니다.

스파이웨어때문에 adaware와 spybot s&d 두 가지 프로그램을 사용하는데 firefox로 바꾼 현재에도 웹서핑을 한참 하고 위 프로그램으로 스캔을 해보면 c:\windows\system32 안에 엉뚱한 파일이 들어가거나 하는 현상은 동일합니다.

또한 이틀전 충격적인 일을 당하고야 말았는데... winxp sp1에서 firefox를 쓰다가 firefox의 시작페이지가 엉뚱한 곳으로 고정되는 사건이 일어나고야 말았습니다.(이건 ie에서도 겪어보지 못했던 일입니다) 시작페이지를 http://www.google.co.jp를 사용했는데 http://www.google.co.jp를 직접 주소창에 입력해도 엉뚱한 곳으로 하이잭킹이 일어나더군요. 당시 http://www.google.com이나 http://www.google.co.kr은 문제가 없었구요... 결국은 firefox를 재설치 하고서야 이 문제의 해결을 봤습니다. (이 때문에 sp2까지 설치하게 됨)

개인적으로는 브라우저의 독점과 특정 브라우저에 맞춰진 웹페이지따위는 사라지기를 바라고 있고, firefox의 확장기능들을 정말 좋아하지만 ie에서도 못보던 보안 문제를 겪으며 과연 firefox가 ie보다 안전한지에 대해서 의문이 들고있습니다. 잘 아시는분의 답변을 기다립니다.
파란사오정

아마도...

Post by 파란사오정 »

몇가지 여쭈어도 될런지요 ???

firefox만을 전적으로 사용하셨는지요 ???
firefox만을 사용하시고 ie를 전혀 사용하지 않으셨다면...
firefox에 activeX관련 플러그인이나 확장이 설치되어
있지는 않는지요 ???

웹을 통해서 침투하는 애드웨어나 스파이웨어들은 거의 대부분
ActiveX 컨트롤의 형태로 PC에 숨어듭니다.
ActiveX 컨트롤은 IE에서 기본적으로 지원하는 고유기능이므로,
IE가 보안에 취약한 것입니다.
ActiveX 컨트롤은 우리나라의 웹환경에서는 거의 필수적인(?)
사항으로 인식되어 있고, 그러다 보니 사용자들은 무의식적으로
설치를 하게 되었습니다.
바로 애드웨어나 스파이웨어들은 그런 약점을 노린 것입니다.
IE가 가장 많이 보급되는데 중요한 역할을 한 것이 오히려 지금에
와서는 걸림돌이 되고 있는 것입니다.

firefox는 위의 ActiveX 컨트롤을 기본적으로 지원하지 않기
때문에 그 만큼 악성 ActiveX 컨트롤들이 PC에 침투할 수 있는
기회를 제공하지 않는 것입니다.
그래서 IE보다는 안전하다는 것입니다.
그 밖의 웹프로토콜상의 취약점이나
버퍼오버플로우등의 취약점, 기타등등들은
브라우져별로 대동소이할 것입니다.

물론 일부 애드웨어나 스파이웨어들은 웹브라우져를 통하지 않고
P2P나 무분별한 다운로딩에 의해 설치되는 경우도 있으니
자신의 인터넷 서핑 사례도 한번 되짚어 볼 필요도 있습니다.

또한 애드웨어나 스파이웨어들은 쉐어웨어를 통해서도 침투합니다.
자신이 사용하고 있는 쉐어웨어의 라이센스부분을 자세히 읽어보세요.
어떤 쉐어웨어들은 라이센스에 공개적으로 자신의 프로그램에
애드웨어나 스파이웨어가 포함되어 있다고 ㅤㅂㅏㅀ히기도 합니다.

게다가 아무리 firefox가 보안에 뛰어나다고 하더라도
그 인터넷환경을 제공하는 기반인 운영체제에 문제가 있다면
안심할 수가 없겠지요...
RPC 웜을 대표적인 사례로 들 수가 있습니다.
(지금은 패치가 나왔지만...
또 다른 취약점이 나올 것이고, 우리가 잠든 시간에 누군가가
끊임없이 연구하고 있을 것입니다.)


참고로, 저는 IE와 firefox를 병행해서 사용중에 있습니다.
ActiveX는 공인된 곳, 그중에서도 극히 소수 몇곳, 은행등의
사이트에 접근할 때를 빼고는 설치하지 않습니다.
지금은 누구보다도 웹서핑을 많이 하고 있다고 자부(ㅠ.ㅠ)하고 있습니다만,
아직 문제를 일으킨 애드웨어나 스파이웨어는 구경을 못했습니다.
요즘은 그런 사례를 연구하느라, 바쁘게 여러군데를 돌아다니고
있습니다만....
바이러스도 못본지 오래되었고요...

Code: Select all

PC환경
---------
win98se (Q245729;Q249973;Q323172;Q323255;Q329115;Q256015
              Q259728;Q823559;Q238453;Q239887)
ie 5.50.4522.1800 (sp1; Q299618; Q316059; Q313829)
Java VM 5.0.3810.0
firefox 0.9.2
혹시 시작페이지가 변경된다는 주소를 게시판에 답글로 올려주시면 안될까요 ???
파란사오정

난감...OTL...글...수정이 안되니...

Post by 파란사오정 »

손님으로 답글을 다니...
글 수정을 할 수가 없군요...
위 답글에서 제일 아랫글인 주소를 게시판에 올려달라고 하는 부분을
삭제하고 싶은데요...

그 부분은 없던걸로 해주세요....ㅠ.ㅠ
제가 실수를 했네요...
관리자님이 보시면...
이글과 함께 좀 삭제해주세요....
nemissa
Posts: 17
Joined: 2004 10 07 13:38 11
Contact:

Post by nemissa »

먼저 답글에 감사드립니다. 제가 위에서 설명을 제대로 하지 못했는데 제 경우를 다시 자세히 말씀드리자면...

1. 액티브X를 통한 스파이웨어 유입
제 경우 국내 웹사이트는 거의 이용을 안합니다. spybot으로 설치되어있는 액티브X를 조사해 보니 딱 5개인가가 설치되있더군요. 그 하나하나가 어디에서 설치된 것인지까지 다 압니다. 또한 액티브X만 실시간으로 방어하는 스파이웨어 블래스터라는 프로그램까지 사용중 입니다. 100%라고 확신하기는 어렵지만 이쪽은 별 문제 없을듯 합니다.

2. 사용중인 스파이웨어 제거기가 스파이 웨어이다?
Zdnet에서 스파이웨어 제거기를 가장한 스파이웨어에 관한 기사를 본적이 있습니다. 하지만 현재 가장 인기있는 두가지 제품인 adaware와 spybot이 스파이웨어라고 단정하기는 어렵다고 봅니다. 또한 만약 둘 중의 하나가 스파이웨어라면 다른 한쪽이 그것을 알려주지 않을까요?

3. 쉐어웨어를 통한 스파이웨어 침투
가능한 얘기입니다. 하지만 스파이웨어 제거프로그램 2개를 돌려 의심나는 파일을 수시로 제거하는데도 이것이 제대로 작동할지는 의문입니다.(만약 스파이웨어 제거기로 파일을 삭제해 동작하지 않는 쉐어웨어가 있다면 삭제를 해버립니다)

4. 기타
NAT를 사용, 꼭 필요한 포트 몇 개만 열어두고 쓰고있습니다. 노턴 안티바이러스 최신버전을 사용, 라이브업데이트와 실시간 감시 상시 on상태입니다.

결론적으로 액티브X가 원천적으로 차단되는 점 이외에는 firefox의 보안이 ie보다 나을게 없다고 보면 맞을려나요? 액티브X의 경우 선별적으로 설치를 하고, 위험 액티브X를 차단하는 adware blaster같은 프로그램을 사용한다면 왠만한 위험요소는 막아준다고 봅니다.(물론 100%는 아니겠지만요)

또한 단순히 액티브X가 설치가 안되서 firefox의 보안이 ie보다 뛰어난다고 한다면 좀 말이 안맞는것 같습니다. ie경우도 아예 액티브x를 설치하지 않고 쓴다면 firefox와 동일한 보안능력이 생기니 말입니다.

다시한번 말씀드리지만 액티브X나 ie만의 잔기능이 없어도 불편하지 않은 해외웹사이트를 주로 사용하므로 firefox만으로도 전혀 불편하지 않고(즐겨찾기에 들어있는 수백개의 해외 사이트 중 특수한 방식으로 동영상을 출력하는 일본사이트 딱 하나가 firefox로 안되더군요), 탭 브라우징이나 확장기능에 푹 빠져 다시 ie를 쓸 생각은 별로 없습니다.

단지 보안이 뛰어나다고 해서 ie를 firefox로 바꾸게 되었는데 보안이 좋다는 이유가 (설치하고 싶어도)액티브X가 설치되지 않는것에 국한되는 정도라면 실망이라는 얘기입니다.(이건 어짜피 사전에 관리하고 있었으므로) 그럼...
파란사오정

그렇군요...

Post by 파란사오정 »

먼저 답변 올려주셔서 감사드립니다.

ActiveX를 철저히 관리를 하고 계신다니 안심이 됩니다.
제 생각에는 위의 답변에서 보여준 관리수준만으로도
웬만한 악성코드들은 방어하실 수 있을 것으로 보입니다.

보통 대부분의 일반 사용자들은 님 수준의 관리작업도
하기 힘들어 합니다. 위와 같이 방어를 하고 있는데도
침투하는 악성코드가 있다면 일반 사용자들은 당하고
있을 수 밖에 없을 것입니다.

저도 답변을 올리다보니 한가지 빠트린 사항이 있습니다.

ie가 취약한 이유는 또 있습니다.
그것은 바로 ie가 운영체제와 결합되어 있다는 것입니다.
즉, 운영체제의 일부분이란 뜻이지요...
윈도우탐색기와도 연결이 되고요...
윈도우셀과도 연결이 됩니다.

또, MS사는 운영체제를 개발할 당시부터 사용자들이
운영체제의 GUI를 커스트마이징(Custmizing)하고,
운영체제의 이벤트(Event)를 후킹(Hooking)하고,
심지어는 윈도우셀의 Function실행여부까지 후킹가능하도록
하고 있습니다.
이런 것들은 Win32 API 프로그래밍으로 셀이나 IE관련
프로그래밍을 해보신 분들은 감동하실 것입니다.

특히나 ie의 브라우져확장(browser extention)기능 또한
사용자들의 개입여지를 활짝 열어놓고 있는 상황입니다.
툴바설치, 오른쪽버튼 메뉴확장, 기타 몇가지가 더 있습니다만...
IE에서는 URL 후킹까지 가능하도록 되어 있습니다.
ActiveX 기능 또한 COM, COM+의 일부분이고,
COM과 COM+는 요즘과 같은 인터넷환경에는 필수불가결한
분산처리환경을 제공하는 운영체제의 일부분이라고
볼 수 있습니다.

그리고, IE는 운영체제에 포함된 Windows Script Host(WSH)와
결합되어 있습니다. WSH는 IE와는 별개로 운영체제에서
동작할 수 있습니다. WSH는 Jscript와 VBscript를 실행합니다.
웹페이지소스에 악의적인 JScript 또는 VBScript가 포함되어
있다면, IE로는 당할 수 밖에 없습니다.

물론 지금까지 패치된 노력에 의해서 위의 많은 취약점들이
개선이 되고 있습니다만, 근본적인 구조적 결함이 있기
때문에 완벽한 방어는 어렵다고 봅니다.

바로 악성코드들은 이런 점들을 노리고 있는 것입니다.
운영체제의 셀과 같은 영역에서 보안허점이 있다면
바로 IE도 보안허점에 노출되는 것입니다.
firefox는 이런 점에서 IE보다는 우위에 있다고 보는 것이죠...
운영체제와는 독립적인 브라우져이기 때문이지요...

게다가 firefox는 IE처럼 폐쇄된 구조에서 개발되는 것이 아니라
전세계의 내노라하는 프로그래머들이 다양한 관점, 다양한 접근법에
의해 직접 코드를 일일이 검증해서 개발되기 때문에 그 만큼
보안취약점에 대해서는 내성을 가질 수 있다고 볼 수 있습니다.

부수적으로, firefox는 웹의 표준을 지향하고 잘 준수하고 있습니다.
그리고 아직은 젊은 나이라는 점이 저에게 매력으로 느껴집니다.
그 만큼 가능성이 많고요...

이상은 저의 관점입니다.
물론 위와 같은 저의 관점이 전적으로 옳다고는 보지 않습니다.
저 역시 '정저지와'와 같은 신세일 수도 있습니다.

위의 님이 보신대로 firefox는 ie와 별 차이없는 브라우져일 수도
있습니다. 이에 대해 저는 부정할 생각은 없습니다.

그러나 저는 그 오픈소스의 신선함과 열정, 앞으로의 가능성에
점수를 주고 싶습니다.
hyeonseok
해커
해커
Posts: 691
Joined: 2004 08 11 22:14 59
Contact:

FireFox 가 IE 보다 절대적으로 안전?

Post by hyeonseok »

일단 저는 글을 쓰신 분들 처럼 보안쪽을 잘 알지는 못합니다. :)

농담같은 말이지만....FireFox 의 안정성 관련해서 읽은 글 중에 "당신이 SpyWare 를 뿌리리면 IE 용을 만들 것이나 FireFox 용을 만들 것이냐?" 라는 것이 있었습니다. SpyWare 를 뿌리는 사람이면 당연히 IE 용을 만들어서 뿌린다는 것이지요. 웃으라고 하는 말 같지만 저런 요인도 있을 수 있다는 것입니다.

아무리 보안에 신경을쓰고...(nemissa 님이 작성하신 글은 아주 멋지군요! 저는 그냥 애드웨어가 깔리든 바이러스가 들어오든...잘 모르는데...-_-;; ) 관리를 잘한다고 해도 누군가가 FireFox 를 맘잡고 공격하면 뚫릴 수 밖에 없다는 것 아실 겁니다.

절대적으로 안전하지는 않지만...IE 만큼 OS 를 컨트롤 할 정도로 심각한 위험 요소는 없다고 생각 합니다. 그리고 사실 저는 이것을 가장 높게 평가 하고요.

보안에 있어서 IE 가 많이 취약하다고 생각하지 않습니다. 사실 일반인들을 괴롭히는 문제는 잘못된 사용(무분별한 Active-x 설치)에서 비롯되는게 많으니까요. 그렇다 하더래도 모든 컨트롤을 넘겨주지는 않기 때문에 IE 같이 웃기는 상황까지 컴퓨터가 오염되지는 않을 것이라는 겁니다.

FireFox 가 IE 보다 보안상 우위가 아니라 접근 방법 자체를 막고 있다는 것이 좋은 것 아닐까요?
소프트원트

Re: firefox... 정말 ie보다 안전

Post by 소프트원트 »

nemissa wrote:또한 이틀전 충격적인 일을 당하고야 말았는데... winxp sp1에서 firefox를 쓰다가 firefox의 시작페이지가 엉뚱한 곳으로 고정되는 사건이 일어나고야 말았습니다.(이건 ie에서도 겪어보지 못했던 일입니다) 시작페이지를 http://www.google.co.jp를 사용했는데 http://www.google.co.jp를 직접 주소창에 입력해도 엉뚱한 곳으로 하이잭킹이 일어나더군요.
이 문제에 대해 하이재킹이였나 아니냐를 직접적으로 언급할 수 없을 것입니다. 이유는 사용자 환경이 어떤가하는 것에 따라 잘못된 판단을 할 수 있습니다.

하이재킹과 관련하여 모질라 포럼에서 1번 언급된 적이 있었는 데, 그 이후 포럼 내용을 계속 보지않아서 뭐라 말씀드리기는 그렇군요.

1. 프록시 서버 설정을 이용하시나요? 이런 경우 프록시 서버에 의해 다른 도메인으로 연결된 가능성이 있을 것입니다. 브라우저 자체는 웹페이지의 코드를 렌더링하는 도구에 지나지 않습니다. 즉 코드와 서버 단위의 문제가 있을 수 있겠죠.

2. 현재 사용자 이외에 다른 사용자에 의한 홈페이지 변경
- 그러나 nemissa님께서 언급한 홈페이지가 고정되었다는 것이 변경할 수 없는 사안인 지요? 시작 페이지 하이재킹이라하면, 옵션에서 변경할 수 없는 상태를 말합니다. 물론 변경할 수 있더라도 변경되었다는 이야기도 포함합니다. 그러나 nemissa님 이외의 다른 사람(로컬상의)이 변경할 수 있으니, 이것은 예외로하죠.

모질라에서 시작페이지가 변경할 수 없는 상태는 아니였을 것입니다. 그 점에서도 IE와 다릅니다.
nemissa wrote:스파이웨어때문에 adaware와 spybot s&d 두 가지 프로그램을 사용하는데 firefox로 바꾼 현재에도 웹서핑을 한참 하고 위 프로그램으로 스캔을 해보면 c:\windows\system32 안에 엉뚱한 파일이 들어가거나 하는 현상은 동일합니다.
최근에 발표된 모질라 파이어폭스의 보안문제는 파이어폭스의 [다운로드폴더(사용자가 지정한 폴더입니다)]의 파일을 삭제할 수 있다고 발표되었습니다. 이 문제는 패치가 되었습니다. 그러나 이외 폴더에 대해 해당되지않습니다.

하위버전 0.9에서 원격 사용자에 의해 임의의 코드를 실행할 수 있는 보안문제가 발표되었습니다. 따라서 업그레이드를 하셔야 합니다. 현재 모질라 파이어폭스 1.0 한글판이 공개되지않아, 1.0pr버전으로 업그레이드를 하지않고있는 사용자들이 많으리라 생각합니다.

업그레이드하시기 바랍니다.
문제를 알고도 그냥 방치하는 것은 문제가 있겠죠. 차니님이 이 문제에 대해 좀 더 적극적으로 대처해주길 바랍니다. 국내 사용자들이 업그레이드를 하지 않는 이유중 하나가 한국어 문제라면, 1.0 안정버전이 나오기 전이라도 조속히 처리하는 게 올바른 것이 아닌가 합니다.
nemissa wrote:보통 firefox가 ie보다 보안이 뛰어나다고들 얘기합니다. 실제로 ie에서 firefox로 바꾼 계기도 스파이웨어에 의해 구글 검색결과의 링크가 엉뚱한 곳(아마 land search라는 곳)으로 연결된 사건 이후입니다. 하지만 인터넷을 찾아봐도 구체적으로 firefox의 보안이 어떻게 뛰어난지에 관한 설명은 찾지 못했습니다.
파이어폭스도 프로그램입니다. 그러니 완벽한 완전한 프로그램이라고 할 수 없습니다. 그러나 이야기하신대로 [IE]보다라고 하는 것입니다.

보다를 가지고 이야기를 해야하겠죠.

1. 웹상에서 벌어지는 [악성프로그램]에 대한 처리
이들 악성프로그램은 비표준 웹기술 [ActiveX/BHO/WSH]를 모질라에서 지원하지 않습니다. 당연히 모질라는 안전합니다.

2. 실행프로그램의 자동다운로드
모질라는 exe를 자동으로 다운로드하여 실행하지 않습니다. 사용자 개입없이는 불가능합니다.

3. 보안문제의 대처
프로그램 자체 버그나 취약성이 존재할 수 있는 가능성이 존재하기 때문에 그에 따른 대처가 가장 중요한 부분입니다. 즉 사후 관리 시스템이 중요하다는 이야기입니다.

MS는 보안패치를 매월초에 발표합니다. 그 기간동안 발표를 미룹니다. 정기적인 발표를 하고있다는 것입니다. 그 기간동안에 새로 발생되는 보안문제에 사용자는 노출되어 있습니다 . 그래서 보안전문가들은 이런 정기적인 보안패치 발표를 수시적인 발표 형태로 바꿀 것을 요구하고있지만, MS는 내 맘이야로 가고있죠.

파이어폭스는 오픈소스입니다. 버그가 발표되면 공개되고 이 또한 해당 버그 발견자에 의해 또는 다른 개발자에 의해 패치를 올리거나 [재단 개발자]들에 의해 신속하게 처리됩니다. 이에 대해서는 아래 링크의 내용을 보시기 바랍니다.

http://softwant.com/cgi-bin/kimsboard/b ... view&l=183

즉 모든 프로그램에는 버그가 존재하며 또한 보안상 취약성이 존재합니다. 그러한 취약성을 어떻게 처리하느냐며 얼마만큼 신속한가의 문제입니다. 이 문제에서 [MS]보다 [모질라재단]이 우위에 있다고 할 수 있습니다.

파이어폭스 브라우저에 알려진 보안문제 다이어그램
http://secunia.com/graph/?type=cri&period=all&prod=3256

IE 브라우저에 알려진 보안문제 다이어그램
http://secunia.com/graph/?type=imp&period=all&prod=11

또하나 브라우저 문제에 있어 중요한 것이 업데이트/업그레이드 문제입니다. 현재 nemissa님의 경우 XP를 사용하니까, IE의 보안기능을 이용할 수 있을 것입니다. 그러나 XP가 아닌 사용자의 경우 IE의 보안기능을 이용하지 못합니다. 그나마도 SP2를 적용한 IE입니다. 비XP 윈도우즈 사용자가 46%정도가 되는 데, 여기에 XP사용자중 또 얼마나 SP2로 업그레이드할까요? 이들 사용자에 의한 보안문제가 차후 인터넷 환경을 불안하게 하겠죠. 과거 블래스터웜 문제가 패치되지않는 OS 때문이였기에 그렇죠.

문제는 MS의 보안정책이 보안과 관련없는 운영적 차원에서 문제없는 OS에 대한 비용지불과 연동하고 있다는 것이죠. 그들이 그런 것이 아니라고 하지만, 밖에서 볼 때는 빤히 보이는 것 아닌지요.

소프트웨어의 보안문제는 해당 소프트웨어만의 문제가 아니라 그를 둘러싼 포괄적인 문제와 관련되어 있음을 생각해보시기 바랍니다.

그리고 현재는 nemissa님의 문제가 단순 버그/보안취약성이였는 지 전혀 알 수 없는 상태, 새로 설치한 상태라서 문제를 정확히 알아낼 수 없다는 점에서 쉽게 결론 내릴 수는 없을 것같내요.

일단 아래 링크를 이동해서 로그파일을 만들어주세요.

http://www.firefox.or.kr/cgi-bin/kimsbo ... gory=스파이웨어

그리고 다른 분들도 1.0.1로 업그레이드하시기 바랍니다.

http://ftp.mozilla.org/pub/mozilla.org/ ... 01.0PR.exe

업그레이드하시기 바랍니다.

보다는 more than이지 Perfect가 아니죠.

보다(more than)라는 관점에서 파이어폭스를 살펴보시기 바랍니다.
nemissa
Posts: 17
Joined: 2004 10 07 13:38 11
Contact:

Post by nemissa »

답글 남겨주신분들에게 감사를 드립니다.

>파란사오정님
액티브X뿐만 윈도우를 노리면 ie도 함께 문제에 노출될 경우가 있겠군요. 정보 감사합니다.

>hyeonseok님
제 생각도 그렇습니다. 액티브X만 잘 관리한다면 ie도 충분히 안전하지 않나 생각합니다. (물론 액티브X라는 말 조차도 들어본 적이 없는 다수의 사람들에게는 ie가 위험할 겁니다)

>소프트원트님

>1. 프록시 서버 설정을 이용하시나요?
일반적인 ADSl+Cable/DSL Router(=인터넷 공유기)환경이라 별도의 프록시는 쓰지 않습니다.

>2. 현재 사용자 이외에 다른 사용자에 의한 홈페이지 변경
집에서 혼자 사용하는 PC입니다.

>업그레이드하시기 바랍니다.
firefox1.0.1pr 일본어판+보안패치를 사용합니다.

>모든 프로그램에는 버그가 존재하며 또한 보안상 취약성이 존재합니다. 그러한 취약성을 어떻게 처리하느냐며 얼마만큼 신속한가의 문제입니다. 이 문제에서 [MS]보다 [모질라재단]이 우위에 있다고 할 수 있습니다.
잘 모르던 문제였습니다. 정보 감사합니다.


firefox를 재설치하고 하이잭킹 문제는 사라졌지만 일단 알려주신 사이트와 이쪽에 로그를 올려봅니다.(하이잭킹 현상이 이후로 sp2를 설치하고 sp2의 방화벽을 사용하고 있습니다)

*추신* 알려주신 사이트에 가입까지 했는데 유료군요!

Logfile of HijackThis v1.98.2
Scan saved at 午後 8:44:34, on 2004/10/12
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\Ahead\NEROTO~1\DRIVES~1.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\conime.exe
E:\winny\Winny2\Winny.exe
C:\Program Files\VMware\VMware Workstation\vmware.exe
C:\Program Files\VMware\VMware Workstation\bin\vmware-vmx.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\asuka\デスクトップ\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Nero DriveSpeed] C:\PROGRA~1\Ahead\NEROTO~1\DRIVES~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: FlashGetでダウンロード - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: FlashGetで全てダウンロード - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6065460406
O16 - DPF: {9AEBAA67-8B4D-4884-9EB7-8C6BEA20CE5C} (FileManager Control) - http://club.nate.com/NetEditor.cab
O16 - DPF: {AD906BA4-9679-4A50-94C6-D677526BB92A} (CyImageCtl Class) - http://cyimg2.cyworld.nate.com/ImageUpl ... Upload.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5BD187E-5E59-4ED6-8548-BC383665B9D4}: NameServer = 168.126.63.1,168.126.63.2

에러로그

An unexpected error has occurred at procedure: modMain_CheckOther14Item()
Error #55 - File already open

Please email me at merijn@spywareinfo.com, reporting the following:
* What you were doing when the error occurred
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2900.2180
HijackThis version: 1.98.2

This message has been copied to your clipboard.
지나다가...

Post by 지나다가... »

nemissa wrote:C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1]
O8 - Extra context menu item: FlashGetでダウンロード - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: FlashGetで全てダウンロード - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
잘 알지는 못하지만 플래쉬겟은 애드웨어가 포함된 유틸이라고 알고있습니다.
꽤 오래전에 저두 사용하다가 애드웨어가 있다는 소리를 듣고 그 후부터는 사용안하는 유틸중에 하나네요.
플래쉬겟을 지워보시고 검색해보세요.
소프트원트

아직 파이어폭스가 하이재킹되었다는 증거는 없음

Post by 소프트원트 »

nemissa wrote:*추신* 알려주신 사이트에 가입까지 했는데 유료군요!
이런 이야기를 들으면, 개인적으로 [어떻게 이야기]를 해야할 지 모르겠더군요. 가입할 때 등록화면 보시지 않았나요? 그냥 사용자 정보 입력란으로 넘어가지 않습니다.

말의 전달 과정에서 오해가 있었는 지 모르지만, 저는 그곳에 있는 HijackThis를 다운받아 이곳에 올리라는 이야기였습니다. Hijackthis 사용에 대한 안내가 있었기 때문에, 이를 다시 타이핑할 필요가 없었으니까요.

그리고 Q&A의 글쓰기는 회원에게만 제한되어있기 때문에 쓸 수 없다고 판단하였습니다. 제가 이를 확인하지 못 했는 데, 누구나 글쓰기가 되었더군요. 이 글쓰기 권한처리에 있어서 저의 잘못이라고 할 수 있습니다.

탈퇴한 개인정보와 게시물은 삭제하였습니다.

등록화면 상단에 분명히 밝히고 있는 내용을 읽으셨다면, 가입과 탈퇴라는 수고는 하지 않아도 되었을 것입니다.

http://www.firefox.or.kr/cgi-bin/kimsbo ... uery=regis

저의 경우 이런 서운한 말을 듣지않아도 되었겠죠. 정말 서운한 느낌입니다.

올린 로그파일을 보죠..

HijackThis의 비영어계열 OS의 문제인 지, 오류가 발생합니다. 그래서 정확한 로그작성이 안되는 것같더군요.

또 현재는 모질라 파이어폭스를 다시 설치해서, 문제가 사라졌기 때문에 어떻게 된 것인 지, 그 원인을 찾아낼 수 가 없습니다.

다시 강조하면, 아래 기술된 내용은 현재로써는 추측으로써 이야기이며, 그 이상의 판단은 하지 마시기 바랍니다.

이미 문제가 해결된 상태이기 때문입니다

1. 파이어폭스 하이재킹 아직은
파이어폭스의 하이재킹 문제는 아직까지 구체적으로 또는 공식적으로 확인된 것이 없습니다.

파이어폭스 하이재킹과 관련하여 prefs.js 파일에서 시작페이지나 검색페이지를 변경하였을 가능성이 있을 지 모릅니다. 그러나 이곳의 내용은 도구>환경설정에서 확인할 수 있는 것입니다. 아직까지 prefs.js 변경에 대한 문제는 위의 언급에서처럼 알려진 바가 없습니다!!!!

2. p2p프로그램의 문제
현재 일본 개발자가 만든 p2p 프로그램인 [E:\winny\Winny2\Winny.exe ]를 통해 트로이잔 목마가 유포된다는 이야기가 있었습니다. 이에 대한 보고는 일본에서만 알려져있었던 것같습니다.

이 문제에 대해 일단 대표적인 스파이웨어 제거툴 중의 하나인 [페스트페트롤]로 검사를 해보시기 바랍니다. 그러나 페스트페트롤은 [오진]이 많은 프로그램입니다.

http://www.pestscan.com/Scan.asp

인터넷익스플로러를 사용해야 합니다. 검색결과가 나와도 그것이 정확하다고 할 수 없습니다. 직접 검색해보니, 사전차단 설정한 것까지 악성프로그램이라고 진단하기 때문입니다.

현재의 Flashget 1.6버전은 [애드웨어]입니다. 이 말은 악성프로그램으로써 애드웨어를 이야기하는 것이 아닙니다. 광고소프트웨어라는 것이죠. 라이센스에서도 밝히고 있습니다. shareurl 서비스가 있는 데, 사용자가 다운로드한 정보를 전송합니다. 그러나 이에 대해서는 설치과정에서 밝히고 있습니다. 이 글을 작성하기전 다운받아 설치를 해보고 확인한 것입니다.

이런 이유로 [SpyBot S&D][Ad-aware]에서는 진단하지 않습니다.

개인적으로 이런 광고소프트웨어를 사용하지 않길 바랍니다. 판단은 사용자의 몫입니다.

개인적인 생각은 사소한 정보라도 나의 개인정보이기 때문에 [관심]을 기울여야하지않을까 합니다.

3. DNS서버 문제
다른 문제로 한글 도메인이 있죠. 넷피아.
문제로 이야기한 http://www.google.co.jp를 입력해도 다른 곳으로 간다고 했는 데, 어디로 가던가요? 이에 대해 이야기를 해주시면 다시 자료를 찾아보도록 하죠.

현재 도메인서버가 코넷으로 연결되도록 되어있더군요. 코넷은 넷피아의 한글 도메인 서비스 협력사인 것으로 압니다. 인터넷서비스업체가 코넷인가요

저는 한글도메인서비스를 [키워드 하이재킹]이라고 생각합니다.

hosts 파일을 열어서 다음을 적어주세요.

127.0.0.1 guide.netpia.com

IE에서 키워드 검색할 경우, 넷피아로 연결되지 않고 MSN으로 연결됩니다. 좀 더 좋은 방법은 XP배우기님 사이트를 방문해보면, 구글로 연결할 수 있는 방법을 찾을 수 있습니다.

http://xpz.chinguya.net/EE/

nemissa님의 경우 일본어가 되신다면, 일본어 모질라 포럼에 글을 올려보시기 바랍니다. 아무래도 그쪽에서 답변을 얻는 게 보다 현실적이라는 생각입니다.

그쪽에서 혹시 [nemissa]님이 겪었던 문제에 대한 언급이 있을 지 모릅니다.

사소한 것으로..

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

이것은 윈도우즈에서 다국어 지원을 위해 사용되니, 삭제할 필요가 없습니다.

아래 항목은 굳이 실행하지 않아도 됩니다. 리소스만 잡아먹기 때문에 HijachThis를 다시 실행하여 체크한 뒤 하단에서 fix checked 하시면 됩니다. 즉 메모리에 상주하지 않아도 일반적으로 프로그램 아이콘을 실행하면 되기 때문입니다.

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Nero DriveSpeed] C:\PROGRA~1\Ahead\NEROTO~1\DRIVES~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

그럼 이만 글 줄입니다. 이후에 이전과 같은 경험을 할 경우, 로그파일을 메일로 보내주세요.

분명 아직까지 파이어폭스가 공식적으로 하이재킹에 감염되었다는 이야기는 없습니다.
Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest