보안

다잡아,다간다 ad-aware로도 악성코드가 안잡혀요

sungtg 2007. 11. 7. 18:02

질문

다잡아,다간다로 안잡혀서 ad-aware로도 설치해 보았는데,
익스플로러 시작페이지에 뜨는 악성코드가 안잡혀요ㅠㅠ

어케 하면 해결할수 있을까요..
넘~~~~~ 답답하고, 짜증나요

해결


원리를 알아야 하는데 따라하기에만 익숙하다 보면 짜증만 납니다
도대체 어디서 부터 손을 대야 하는지 잘 알 수 없으니까요.

윈도우의 프로세스를 이해를 해야 정확한 진단이 가능합니다.

제 생각을 따라해보세요

1. 악성코드를 만든 사람 입장에서 생각을 해보세요
악성코드를 사용자가 실행시켜서 테스트 하라고 만든 것이 악성코드라고 생각하지는 않겠지요

그럼 악성코드라는 것은 몰래 진행이 된다는 판단을 할 겁니다.
몰래 진행된다면 좋은 방법이 무엇이 있겠습니까 ?

첫번째로 생각을 할 수 있는 것이 자동실행되는 것입니다.
윈도우가 부팅되면서 자동실행되는 프로그램인것 처럼 속일 수 있습니다.

이런 악성코드라면 고맙지요 금방 찾아 낼수 있으니까요..
레지스트리만 두지면 금방 나오는 것이니까 별 문제가 안됩니다.

두번째가 문제가 되는데
초보자들이나 컴퓨터를 했다고 하는 고급자들도 알아차리가 어려운것이
바로 add-in 되는 것들입니다.

익스플로러나 윈도우 부팅때 자동실행되는 윈도우의 프로그램들
윈도우 로그인창에 기생하는 프로세스들이 문제가 됩니다.
그림을 가지고 설명을 하지요

제일 먼저 2000이상에서는 로그인과정이 꼭 들어갑니다.
그래서 로그인에 악성코드를 붙여 넣으면 자동실행이 되는것과 마찬가지 입니다.

작업관리자로는 확인할 수 없는 프로세스를 보여주는 프로그램입니다

사용자 삽입 이미지

위 그림에 보면 winlogon.exe 아래에 보면 service 하위에 svchost.exe라는
것이 많지요
윈도우에서 서비스라고 부르는 루틴을 실행시켜 주는 역활을 합니다.

제어판/관리도구에 보면 서비스라고 설정되어 있는 부분을 실행을 하는 역활을 합니다.
spollsv는 프린터서비스
lsass는 네트워킹에 필요한 서비스
얼마전에 이것 때문에 컴퓨터를 켜놓기만 하면 다운되고 다운되고 했던 것을 기억할 겁니다.
이 프로그램이 취약점을 바이러스가 침입했기 때문에
프로세스가 계속 증가시킴으로서 컴퓨터를 로그인만 하면 무조건 다운을 시켰지요

위 그림 외에 이상한 것이 걸려 있다면 의심을 해야겠지요
아래그림은 winlogon.exe에서 쓰이는 dll 파일의 리스트입니다.

사용자 삽입 이미지


아래 그림에서는 아래창에서 thread라고 하는 부분을 보게 되는데
익스플로러와 같이 진행되는 이상한 프로그램을 찾기 위해서 입니다.

사용자 삽입 이미지

기본적인 익스플로러에서 불러들이는 dll파일 들입니다.

사용자 삽입 이미지

사용자 삽입 이미지

shdocvw.dll 파일은 탐색기에서도 사용하고 있고
익스플로러에서도 사용되는 뷰어 입니다.
탐색기에서 파일의 내용을 보여주는 옵션이 있지요 이 파일이 사용되는것입니다.
그래서 가끔 악성 사이트의 경우 이 파일에 기생을 해서 시작페이지를
바꾸는 경우가 종종 있습니다.

사용자 삽입 이미지


데이타를 가지고 악성코드를 어떻게 제거 할 것인가를 방법론을 찾아야 하는것인데..
방법론 또한 여러 프로그램들이 얽혀 있다면 차근차근 따져 봐야 하는 문제가 있습니다.

워낙에 다양하고 경우의 수가 많아서 딱 꼬집어서 퇴치를 알려드리지 못합니다.

잘못 하면 시스템을 날리는 경우도 많이 생길수 밖에 없기 때문 입니다.

왜냐 하면 윈도우 로그온이라든지
탐색기같은 곳에서 사용하는 dll 파일이나 실행파일에 기생을 하게 되면
잘못 파일을 삭제를 하면 윈도우가 날라가거든요.

프로세스 단위로 추적을 해서 제거를 해야 하는데
이것은 각 컴퓨터 마다 프로그램이나 환경이 제각각 이므로 힘들수 밖에 없고....

악성코드에 걸렸다 싶으면
첫째는 윈도우로그온(winlogon.exe)에 딸려서 들어온 dll파일
두번째는 인터넷익스플로러(iexplorer.exe)에 딸려온 dll파일들을
잘 살펴보면 됩니다.

추가정보

악성코드를 잡는 프로그램들의 특징은 제가 위에서 알려드린 대로 차례대로 찾게 됩니다.
윈도우로그온이나 인터넷익스플로러에서 사용되는 dll, ocx를 체크해서 잡는데
일반적으로 사용되는 파일들 외에 것을 잡게 되어 있습니다.
문제는 외국것이나 업데이트가 안된 악성코드 잡는 프로그램을 사용할 때 문제가 됩니다.
외국것은 우리나라 포탈에서 사용하는 엑티브x 모듈을 악성코드라고 할 것이고
업데이트가 안된 것은 아예 못잡을 것입니다.

요즘은 악성코드를 잡아주는 척하면 피싱(fishing)질 하는 업체가 더 문제지만요...
악성코드를 돈을 안내고..
포맷을 하지 않고..

잡으려면 이번 메일을 잘 읽어보시기 바랍니다.

여기서 제가 사용한 유틸리티는
process explorer
윈도우의 프로세스를 찾아주는 유틸리티

dependency walker
실행파일에서 사용되는 dll파일을 찾아주는 유틸리티입니다

www.download.com 에서 검색하면 다운받을 수 있습니다.