Skip to content
Gallery
securelink_official_logo
SecureLink
Project
신입교육
Working Diary
TrubleShootingandTips
VMware and OS
VPN Server
RK TEST
SPK TEST
FileBridge
Untitled sync page
Share
Explore
03002024

03142024

김준성
Last edited 187 days ago by 김준성

고객지원 정리

이지서티

날짜: 2024년 3월 11일

문제현상

특정 파워포인트 파일을 실행했을때 다음과 같은 창이 발생 하고 파워포인트 프로그램이 종료
image.png
‘이벤트뷰어’에서는 다음과 같은 에러 메세지 확인
image.png
image.png

원인 추적

출력과 관련된 모듈은 zsSafedotXwingOut(X)에 관련된 오작동이라 생각하여 Safe.PrivacyKeeper 폴더에서 zwSafedotXwingOut(X)_tmp.dll들의 버젼 확인
image.png

대응

모듈의 버젼이 오래된 것으로 판단되어 최신 모듈zsSafedotXwingOut(X) 1.0.2.9 버젼으로 교체
파일명
zsSafedotXwingOut(X)__1029.dll
위치
\\192.168.0.42\alpha\0000.박주선\2024\01월\0117\인증완료\zwSafedotXwingOutX___1029.dll
image.png

조치후 동작

문제의 현상은 일어 나지 않았다. 다시 한번 확인을 위해 해당 모듈을 전버젼으로 바꾸고 다시 실행
해당 모듈을 전 버젼으로 바꾸고 난뒤 테스트에서 문제의 현상이 재연됨
해당 모듈의 문제가 확실 하다고 판단되어 해당 모듈을 다시 최신 모듈로 변경
안전 하게 동작 되는 것을 확인 하고 원격지원 종료

다온네트워크(비즈세이퍼)

문제현상

클라이언트가 네트워크에 접속되어 있지만 웹서버에는 ‘미설치’라고 나오며 접속 상태를 보여주지 않음.

원인분석

클라이언트가 연결되어 있는 서버정보 및 설정 정보를 확인 해 보았으나 모두 정상.
드문 케이스로 클라이언트 설치시 인터넷이 불안정 할 경우 제대로 된 정보가 서버에게 전달 되지 않는 경우가 있었음을 공유받음.

대응조치

Postgresql으로 접속해 해당 유저의 정보를 찾아 수정하였음.

조치후 현상

웹서버에서 정상적으로 유저의 설치 정보 및 접속 정보 확인.

한국문화관광연구원

문제현상

전사적으로 사용하고 있는 UCWORK 메신져 프로그램이 설치는 가능(설치 되는 해당 경로를 예외 처리)하나 실행시에 바로가기가 실행 파일을 찾을 수 없어 실행이 안되는 현상 발생.
image.png

원인분석

실행이 되지 않는 바로가기의 대상 파일 역추적
image.png
해당 파일이 RK에 의해 .lock 파일로 잠겨 있었음
image.png
RK동작의 근거를 찾고자 RK를 삭제한 환경에서 메신져를 재설치 및 재실행
RK가 없는 환경에서는 메진저의 동작이 원활함
RK를 재설치 하고 메신져를 처음부터 재설치 및 재실행
문제의 현상이 재연되었다.
내부에서의 RK의 오작동이 아니기 때문에 해당 메신저의 실행 파일을 예외 처리 하기로 함.

대응조치

https://assc2.securelink.co.kr:80/login/sa_login.jsp
에 as_admin으로 접속
‘사이트 관리 > 랜섬웨어 > 행위분석 예외 관리’ 로 이동
창 하단에 ‘신규’ 클릭
실행파일의 경로와 파일명에(c:\KCTI\KCTIMsg\UCWorks.exe)의 양끝에 ‘#’을 붙여서 입력.
모든 설정 정보 입력후 ‘등록’을 클릭해 종료.
클라이언트가 설치된 컴퓨터로 돌아와 .lock으로 변환된 실행파일을 복구.
image.png
image.png

조치 이후 동작

사내 메신져가 정상 동작.

인아오리엔탈

문제 현상

전부터 사용하던 USB가 SPK의 실시간 감시에 계속 검색되어 안내창이 수시로 발생 됨.
image.png

원인 분석

클라이언트는 무선 마우스와 무선 키보드 사용중
실시감감시는 항상 켜져 있었음

대응 및 조치

실시간 검사를 OFF
클라이언트에게 유선 키보드와 마우스로 테스트를 권유

아이캠스(비즈세이퍼)

문제현상

엑셀을 사용하면 다음과 같은 경고창이 발생후 프로그램 강제 종료됨.
image.png
image.png
RK의 File Backup & Log Viewer에서 탐지 기록과 격리파일에서 다음과 같은 내용 확인
image.png
image.png

원인 분석

WUAUCLTCORE.EXE파일은 윈도우에서 업데이트를 체크하고 인스톨을 실행하는 파일
WUAUCLTCORE.EXE는 다른 고객사에 의해서 예외 처리된 이력이 있음.

대응 및 조치

검출된 파일이 예외 처리가 된 이력이 있어 RK동작을 종료할수 있는 방법이 필요
비즈세이퍼에서는 클라인트별로 RK동작을 제어 할 수 없음
서버의 /home/bizsafer/web/web_biz_20000/webapps/ROOT/downfiles/policies 에서 DeleteCatSet_xxxxxxxxxx.ini 뒤에 사업장 번호를 붙여서 RK가 동작 하지 않게 함.

고객지원 정리
이지서티
문제현상
원인 추적
대응
조치후 동작
다온네트워크(비즈세이퍼)
문제현상
원인분석
대응조치
조치후 현상
한국문화관광연구원
문제현상
원인분석
대응조치
조치 이후 동작
인아오리엔탈
문제 현상
원인 분석
대응 및 조치
아이캠스(비즈세이퍼)
문제현상
원인 분석
대응 및 조치
Want to print your doc?
This is not the way.
Try clicking the ⋯ next to your doc name or using a keyboard shortcut (
CtrlP
) instead.