날로 교묘해지는 몰웨어(Malware)

구독자 평가 : 0/10, 총 0 명이 참여하셨습니다.

⇒  Windows XP, Posted 배우기(Mr.Learn) on 2005년 12월08일 AM 09:24

 최근들어 악성소프트웨어가 설치된 컴퓨터를 치료했는데, 증상을 보고선 감짝 놀라지 않을 수 없었다. 제거하면 부팅시에 다시 설치하므로 아주 숨겨진 설치파일까지 뿌리채 완벽히 뽑지 않으면 안된다. rundll32.exe이나 시작프로그램에 등록되는게 아니고 아예 MSIE의 DLL로 심어버린다. 따라서 분명히 프로세스 목록에는 보이지 않는데, MSIE만 작동시키면 URL을 납치한다. - 도저히 치료를 못하겠다고 해서 쥐꼬리만큼 아는 척 하는 배우기가 긴급출동(?)을 해서 일단 라바소프트웨어 애드웨어6 PRO로 스캔을 하니까 200여개가 잡히더라. 재부팅 해보니 증상은 여전해서 오마이 캭! 콜록! 이번에는 스파이웨어닥터를 돌리니까 230여개가 잡히고 이를 삭제, 재부팅하니까 치료전 검색사이트로는 안가는데 또 이상한 검색사이트로 빠지네 그려. 결국 찾아낸 것이 bho.dll이다.  regedit로 bho.dll를 정보를 찾아서 몽땅 삭제하니까 URL납치는 멈추었다. 좀 이상하다 싶어서 system32로 이동해서 가장 최근에 변경되어진 날짜를 가진 파일들을 조사해 보니까. 바이러스 감염부터 백도어까지 10여개가 감염되어 있었다. 속성 보기만 해도 바이러스 체이서의 실시간 모니터링에 의해서 잡히게 되므로 일단 의심스러운 파일들중에 Microsoft Corporation. All rights reserved가 없는 파일을 반복해서 살펴보고서 대부분 삭제를 했다. 끝났나 싶었는데, 이번에는 웹페이지에서 이상한 현상을 발견(우측이미지) 했는데 기묘한 현상이 일어난다. 분명히 HTML내부에서 링크가 이루어지지 않았음에도 지멋대로 특정단어(영문)를 링크로 만들고 상태표시줄이나 링크URL의 alt에 Sponsored Link라고 삽입되어져 있다. 최종적으로 XoftSpy로 스캔한 뒤에 10여개를 더 찾아 결과를 보고 수동으로 모두 삭제하니까 정상으로 돌아왔다. 점점 컴퓨터를 사용하기가 무서워지는 시대가 오고 있다. 시스템을 항상 최적상태로 유지하기 위해 조각모음이나 오류검사를 실행하면서 실시간 모니터링은 물론 풀스캔(Full Sacn)작업으로 몰웨어(MalWare)도 점검을 해야한다. 거기에 서비스팩2의 자동업데이트 기능을 항상 활성화하고 보안업데이트가 되도록 해야하며 악성소프트웨어 제거 도구는 기본이다. 또한 그렇게 했음에도 다운로드 받은 파일에 대한 철저한 검사가 병행되어져야 한다.