내보내기(0) 인쇄
모두 확장

웜 제거

 

적용 대상: Forefront Security for Exchange Server

마지막으로 수정된 항목: 2008-01-07

Forefront Security for Exchange Server를 사용하여 웜에 감염된 메시지를 제거하도록 전송 검색 작업과 실시간 검색 작업을 구성할 수 있습니다. 웜 제거는 웜이 네트워크에 피해를 주기 전에 먼저 공격하는 강력한 새 기능입니다. Forefront Security for Exchange Server는 정기적으로 업데이트되는 WormPrge.dat라는 웜 목록을 사용하여 웜 메시지를 확인합니다. Microsoft에서 유지 관리하는 이 웜 목록은 바이러스 검색 엔진처럼 업데이트됩니다. 일반적으로 WormPrge.dat 파일에는 현재 타사 검색 엔진에서 보고한 웜 이름도 포함됩니다. 그런데 각 검색 엔진마다 웜 이름을 다르게 보고할 수도 있습니다.

note참고:
웜 제거 목록은 필요에 따라 업데이트되므로 바이러스 백신 엔진처럼 자주 업데이트되는 것은 아닙니다.

실시간 검색 작업은 RealtimePurge 레지스트리 키를 사용하여 웜 제거 기능의 사용 여부를 확인합니다. VSAPI 메시지 제거 기능의 사용 여부는 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\VirusScan\EnableScanDeletion이라는 Microsoft 레지스트리 키에 의해 결정됩니다. EnableScanDeletion 키가 설정되어 있는 경우 실시간 검색 작업에서 제거해야 할 메시지 본문이나 첨부 파일을 검색하면 FSEVSAPI에 VIRSCAN_DELETE_MESSAGE 메시지를 보냅니다. 그러면 Exchange에서 전체 메시지를 삭제합니다.

제거되기 전에는 전체 메시지에 액세스할 수 없습니다. Forefront Security for Exchange Server는 실시간 메시지 제거를 위한 격리를 지원하지 않습니다.

전송 검색 프로그램에서 메시지가 웜에 감염되었음을 확인하면 전체 전자 메일 메시지를 삭제하는 방식으로 메시지를 제거합니다. 인바운드와 아웃바운드 Edge 전송 또는 Hub 전송 메시지에 대해 제거가 적용됩니다. 감염된 메시지의 받는 사람에게는 메시지나 알림을 보내지 않습니다. 또한 전송 검색 프로그램에서 제거한 메시지는 복구할 수 없습니다.

파일 필터링 작업 창에서 알림 보내기를 선택하여 관리자와 보낸 사람에게 알림을 보내도록 전송 검색 프로그램을 구성할 수 있습니다 . 제거된 웜 메시지의 받는 사람에게 알림을 보내면 웜이 생성된 메시지를 제거하지 못하므로 받는 사람에게는 알림을 보내도록 구성할 수 없습니다.

격리를 사용하도록 설정한 경우에도 전송 검색 프로그램에서 제거한 웜 바이러스(메시지 및 첨부 파일)는 격리되지 않습니다. 격리 파일이 같은 메시지를 수백 또는 수천 통 받지 않도록 방지하기 위한 조치입니다.

Forefront Security for Exchange Server에서 수동 검색을 실행하는 동안에는 메시지를 제거할 수 없습니다.

검색 프로그램 엔진이 업데이트되기 전에 새로운 웜이 확산되지 않도록 파일 필터링 작업 창 아래의 파일 필터 목록에 웜이 생성된 메시지의 첨부 파일 이름을 지정할 수 있습니다. 파일 필터링 작업 창에 액세스하여 파일 이름 목록에 새 항목을 추가하면 됩니다. 항목을 추가한 후에 제거: 메시지 지우기를 작업으로 선택합니다.

기본적으로 파일 필터는 관리자와 보낸 사람에게 알림을 보내도록 구성됩니다. 제거된 웜 메시지의 받는 사람에게 알림을 보내면 웜이 생성된 메시지를 제거하지 못하므로 받는 사람에게는 알림을 보내도록 구성할 수 없습니다.

note참고:
제거: 메시지 지우기 옵션을 선택하면 전체 메시지가 삭제되며 복구할 수 없습니다. 바이러스 검색 프로그램 업데이트 릴리스 이전에 웜 메시지를 제거하려는 경우에만 이 작업을 선택하는 것이 좋습니다.

웜이 아닌 메시지를 격리할 때와는 달리 메시지 격리를 선택해도 필터를 트리거한 첨부 파일만 격리되고 메시지 본문과 다른 첨부 파일은 삭제됩니다. 웜 메시지에 필터링을 사용하는 경우에는 메시지 본문에 값이 없거나 다른 첨부 파일이 포함될 수 없으므로 메시지 격리를 선택해도 별다른 문제는 없습니다.

메시지가 제거되는 경우 웜 관리자에게 고유한 알림 메시지를 보내도록 전송 및 실시간 검색 프로그램을 구성할 수 있습니다. 또한 파일 필터에 의해 메시지가 제거된 경우에도 알림을 보낼 수 있습니다. 전자 메일 알림에 설명된 것처럼 알림 설정 작업 창에서 필요에 따라 모든 알림을 수정할 수 있습니다.

Forefront Security for Exchange Server를 설치하거나 업그레이드할 때 기본적으로 웜 제거 기능은 사용하도록 설정되어 있습니다. WormPrge.dat는 Forefront Security for Exchange Server가 설치된 디렉터리에 있는 Wormlist\Bin 폴더에 설치됩니다. 전송 검색 작업에 웜 제거 기능을 사용하지 않도록 설정하려면 Forefront Security for Exchange Server 레지스트리 키 아래에 있는 TransportPurge 레지스트리 값을 0으로 설정해야 합니다. 실시간 검색 작업에 웜 제거 기능을 사용하지 않도록 설정하려면 Forefront Security for Exchange Server 레지스트리 키 아래에 있는 RealtimePurge 레지스트리 값을 0으로 설정해야 합니다.

note참고:
이러한 레지스트리 값을 바꿀 때마다 전송 검색 작업에 변경 내용을 적용하려면 Exchange IMC 서비스를 재생해야 하고 실시간 검색 작업에 변경 내용을 적용하려면 Exchange Information Store를 재생해야 합니다.

새로운 웜이 확인되면 Microsoft에서 웜 확인 목록을 업데이트합니다. 그러면 모든 Forefront Security for Exchange Server 고객에게 알림이 전송되고 Forefront Security for Exchange Server에서 새 업데이트를 다운로드할 수 있습니다. 이 프로세스는 바이러스 검색 엔진 업데이트에 사용되는 프로세스와 동일합니다. 업데이트 수행 방법은 수동 또는 예약 중에 선택할 수 있습니다. 업데이트가 제대로 수행되면 Wormlist\Bin 폴더에 최신 버전의 WormPrge.dat 파일이 저장되고 이전 WormPrge.dat 파일을 보관할 수 있도록 LastKnownGood 폴더가 만들어집니다. 업데이트 수행 방법에 대한 자세한 내용은 파일 검색 프로그램 업데이트를 참조하십시오.

관리자가 사용자 지정 웜 제거 목록(CustPrge.dat)을 만들어 아직 Wormprge.dat 파일에 포함되지 않은 바이러스 이름을 추가로 지정하거나 바이러스에 감염된 것으로 확인된 메시지를 모두 제거할 목록을 만들 수 있습니다. 그러면 웜 제거 목록과 사용자 지정 제거 목록 모두에 대해 감염된 메시지와 파일을 검사합니다.

사용자 지정 웜 제거 목록 만들기
  1. Forefront Security for Exchange Server 설치 폴더에 있는 WormList 엔진 폴더에 CustomList라는 새 폴더를 만듭니다.

  2. CustomList 폴더에 CustPrge.dat라는 텍스트 파일을 만듭니다.

  3. 제거할 바이러스 이름을 CustPrge.dat에 입력합니다. 각 줄에 바이러스 이름을 하나만 입력하고 그 뒤에 캐리지 리턴을 입력합니다. 바이러스 이름은 바이러스 백신 엔진 업데이트 알림이나 바이러스 백신 엔진 공급업체 웹 사이트에서 확인할 수 있습니다. 항목에는 별표(*) 와일드카드 문자를 포함할 수 있습니다.

    note참고:
    여러 바이러스 백신 회사가 같은 바이러스를 다른 이름으로 기록한 경우 철저한 예방을 위해서는 모든 이름을 CustPrge.dat 파일에 포함해야 합니다.
  4. 바이러스에 감염된 메시지를 모두 제거하려면 별표(*)만 입력하고 그 뒤에 캐리지 리턴을 입력하십시오. 그러면 감염된 것으로 확인된 모든 메시지가 제거됩니다.

    note참고:
    이 작업을 실행하면 감염된 모든 메시지가 제거되고 복구할 수 없게 되므로 실행하지 않는 것이 좋습니다. 대신 웜 바이러스 이외의 바이러스에 대해서는 삭제치료 옵션을 사용하는 것이 좋습니다. 이 두 옵션은 감염된 메시지와 파일을 격리합니다.
  5. Microsoft Exchange 전송 서비스를 재생합니다.

 
이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.
표시:
© 2014 Microsoft