1/21/2009

인터넷 익스플로러(IE)와 BHO

인터넷 익스플로러(Internet Explorer)의 내부에 접근하기 위해서 BHO라는 녀석을 사용한다. 원래 인터넷 익스플로러에 검색이나 툴바와 같은 부가 기능들 제공하기 위한 용도로 설계 되었으나 악성 코드들도 BHO를 이용하는 경우가 늘었다.

Browser Helper Object - Wikipedia, the free encyclopedia
Because BHOs have unrestricted access to the Internet Explorer event model, some forms of malware have also been created as BHOs. For example, the Download.ject malware installs a BHO that would activate upon detecting a secure HTTP connection to a financial institution, record the user's keystrokes (intending to capture passwords) and transmit the information to a website used by Russian computer criminals. Other BHOs such as the MyWay Searchbar track users' browsing patterns and pass the information they record to third parties.

BHO를 이용해서 사용자의 정보를 가로챌 경우 이를 탐지하고 방어하는 일이 쉬운 일이 아니다. 이미 인터넷 익스플로러에서 모든 접근 권한을 내어 주었으므로 중간에서 이를 필터링할 기작이 존재하지 않는 것이다. 또한 이렇게 수집한 정보들을 밖으로 내보내어도 이는 인터넷 익스플로러의 트래픽으로 간주 되므로 보안 프로그램들이 효율적으로 대응할 수가 없게 된다.

행동 기반 탐지를 시도해 볼 수 있겠지만 대상이 인터넷 익스플로러에 박혀 들어간 DLL이라는 점때문에, 아직까지는 안티바이러스(Anti-Virus)에 의존하는 수 밖에 없을 듯 하다.

일반 유저들은 안티바이러스외에 autoruns등으로 항상 필요 없는 BHO등을 제거하는 노력을 해야 할듯 하다.

Posted via email from bugtruck's posterous

댓글 없음:

댓글 쓰기