질문
다잡아,다간다로 안잡혀서 ad-aware로도 설치해 보았는데, |
해결
것이 많지요 윈도우에서 서비스라고 부르는 루틴을 실행시켜 주는 역활을 합니다. 제어판/관리도구에 보면 서비스라고 설정되어 있는 부분을 실행을 하는 역활을 합니다. spollsv는 프린터서비스 lsass는 네트워킹에 필요한 서비스 얼마전에 이것 때문에 컴퓨터를 켜놓기만 하면 다운되고 다운되고 했던 것을 기억할 겁니다. 이 프로그램이 취약점을 바이러스가 침입했기 때문에 프로세스가 계속 증가시킴으로서 컴퓨터를 로그인만 하면 무조건 다운을 시켰지요 위 그림 외에 이상한 것이 걸려 있다면 의심을 해야겠지요 아래그림은 winlogon.exe에서 쓰이는 dll 파일의 리스트입니다. 아래 그림에서는 아래창에서 thread라고 하는 부분을 보게 되는데 익스플로러와 같이 진행되는 이상한 프로그램을 찾기 위해서 입니다. 기본적인 익스플로러에서 불러들이는 dll파일 들입니다. shdocvw.dll 파일은 탐색기에서도 사용하고 있고 익스플로러에서도 사용되는 뷰어 입니다. 탐색기에서 파일의 내용을 보여주는 옵션이 있지요 이 파일이 사용되는것입니다. 그래서 가끔 악성 사이트의 경우 이 파일에 기생을 해서 시작페이지를 바꾸는 경우가 종종 있습니다. 데이타를 가지고 악성코드를 어떻게 제거 할 것인가를 방법론을 찾아야 하는것인데.. 방법론 또한 여러 프로그램들이 얽혀 있다면 차근차근 따져 봐야 하는 문제가 있습니다. 워낙에 다양하고 경우의 수가 많아서 딱 꼬집어서 퇴치를 알려드리지 못합니다. 잘못 하면 시스템을 날리는 경우도 많이 생길수 밖에 없기 때문 입니다. 왜냐 하면 윈도우 로그온이라든지 탐색기같은 곳에서 사용하는 dll 파일이나 실행파일에 기생을 하게 되면 잘못 파일을 삭제를 하면 윈도우가 날라가거든요. 프로세스 단위로 추적을 해서 제거를 해야 하는데 이것은 각 컴퓨터 마다 프로그램이나 환경이 제각각 이므로 힘들수 밖에 없고.... 악성코드에 걸렸다 싶으면 첫째는 윈도우로그온(winlogon.exe)에 딸려서 들어온 dll파일 두번째는 인터넷익스플로러(iexplorer.exe)에 딸려온 dll파일들을 잘 살펴보면 됩니다. |
추가정보
악성코드를 잡는 프로그램들의 특징은 제가 위에서 알려드린 대로 차례대로 찾게 됩니다. 요즘은 악성코드를 잡아주는 척하면 피싱(fishing)질 하는 업체가 더 문제지만요... 잡으려면 이번 메일을 잘 읽어보시기 바랍니다. 여기서 제가 사용한 유틸리티는 dependency walker www.download.com 에서 검색하면 다운받을 수 있습니다. |
'보안' 카테고리의 다른 글
hosts 파일 (0) | 2007.12.02 |
---|---|
악성코드와 한판 전쟁 스토리 (0) | 2007.11.27 |
하드드라이브 클릭할 때 연결프로그램 뜰때 (0) | 2007.11.01 |
메신저와 보안문제 (0) | 2007.11.01 |
누가 내컴퓨터를 얼마나 사용했을까 ? (2) | 2007.11.01 |