Windows Server 2003 계열 스파이웨이 주의하실 것
글쓴이: djasmsrj / 작성시간: 화, 2003/11/18 - 7:25오후
출처 : http://linux-sarang.net/board/?p=read&table=news&no=1050&page=
본인이 3개월전에 발견한 건데 아직도 전세계 인터넷에서 말하는
사람들이 한사람도 없어 조치 방법을 가르쳐 드릴테니 패치하시기
바랍니다. LSA Shell 을 죽이시기 바랍니다. 이것이 주기적으로
통신을 하면서 정보를 빼갑니다. 제가 생각하기에는 MS 놈들이 뭔가를
집어 넣은것 같습니다. 패치방법은 Sygate Personal Firewall Pro를
까시고 LSA Shell을 Block 처리하시기 바랍니다. 그방법이 제일
안전하고 확실한 방법입니다.
그럼 ...
맞나요?
Forums:
D:\WINDOWS\system32\lsass.exe
서비스중에 HTTP SSL서비스의 lsass.exe 를 말씀하시는건가요?
--
Linux강국 KOREA
http://ydongyol.tistory.com/
Re: D:\WINDOWS\system32\lsass.exe
IPSEC Services 라는 서비스도 그 실행 파일을 사용하네요..
다시 살펴 보니 Protected Storage, Security Accounts Manager 도 그 실행파일을 사용하네요..
Security Accounts Manager 서비스의 경우는
"서비스를 시작하면 보안 계정 관리자(SAM)에서 요청을 받을 준비가 된 다른 서비스로 신호를 보냅니다. 서비스를 사용하지 않도록 설정하면 SAM이 준비되었을 때 시스템의 다른 서비스로 알리지 않으며 서비스를 올바르게 시작할 수 없습니다. 사용하지 않도록 설정할 수 없는 서비스입니다."
위와같은 도움말이 나와있는데요.. ; 도움말 중에 사용하지 않도록 설정할 수 없는 서비스라고 명시 되었는데.. ;;
관련된 다른 자료를 알수 있을까요..
.
Re: Windows Server 2003 계열 스파이웨이 주의하실 것
출처를 봐도 정확한 근거도 없고, 상세한 내용도 전혀 없네요.
네트워크 트래픽을 3개월동안 발생시키면서 스파이웨어 역할을 했음에도 아무도 말하는 사람이 없을까요? 위에 써있는 특정 제품을 깔라는 광고인듯한 느낌까지 드네요.
Windows 2003은 쓰지 않아서 잘 모르겠는데, 여기서 말하는 LSA가 어떤 LSA인지 모르겠네요. 일단 윈도우 계열에서 쓰이는 로컬사용자 인증용 서비스도 LSA(Local Security Authoration)이고, 그 외에 접속 유지용 프로토콜이라는것으로 Link State Advertisements라는게 존재하네요.
이건 네트워크 경로 제어용 패킷이라는군요. 최단 경로의 검색, 접속 안정성 유지 등에 쓰이는 패킷이라는 설명이 있네요. 정보를 빼내는 스파이웨어와는 무관한듯 싶습니다.
스파이웨어인지 아닌지 확인하려면 패킷 자체를 검사해서 정보가 빠져나가고 있는지 확인해보는게 어떨까 싶네요. 몰랐던 내용 몇가지 알게 되었으니 조금은 감사해야하는걸까요.