웜바이러스는 대책이 잘 서지 않습니다. 그때 그때 case by case로 대처를 해야 합니다.
웜바이러스와 일반 바이러스와 구분하는 구분자는 인터넷 익스플로러를 사용하면서 클릭이 안되거나, 창이 꺼진다던지 하면 웜 쪽의 바이러스이고 인터넷을 연결하지도 않았는데 이상하다면 일반적인 바이러스 입니다.
그런데 이런 구분자도 사실 상 일반인들은 구분하기 힘듭니다. 그림을 보면서 설명을 드리죠
컴퓨터가 이상하다 싶으면 제일 먼저해야 하는것이 작업관리자를 띄우세요
컴퓨터는 프로그램들이 움직이는 공간이므로 바이러스도 프로그램(파일)입니다.
그러므로 파일을 찾아야 하는데 작업관리자가 그 역할을 합니다. 바탕화면에서 아래 작업표시줄에서 오른쪽 마우스를 클릭해서 [작업관리자]를 선택하면 됩니다.
아래그림은 각종 웜바이러스가 거의 들어온 작업관리자 입니다
e1.exe hkcmd.exe rundl132.exe explorer.exe(system32폴더) svhost32.exe 그외 10248.exe 등이 보일 겁니다.
요즘 인터넷익스플로러에서 더블클릭해야지 사이트 이동이 가능하게 되는 경우 이런 바이러스들 때문입니다.
이제 바이러스의 정체를 밝혀 냈으니까 이것들이 어떻게 작동이 되는지 확인해서 퇴치를 해야 겠지요
아래그림을 보면 레지스트리에서 자동실행되는 프로그램들이 참 재이있습니다.
코덱을 업데이트하는 update.exe는 정상적인 설정이고 나머지 부분을 보자면 windows\cofig 에 있는 svhost32.exe 윈도우서비스를 실행하는 svchost.exe를 흉내를 냈는데 winddows\sysem32 폴더에 있어야 정상입니다.
windows\command 에 있는 rundl132.exe는 제어판을 기동하는 rundll32.exe가 정상이고 windows\system32폴더에 있는 것이 정상입니다. 더 웃기는 것은 알파벳 소문자 l 과 숫자 1과 비슷해서 파일이름을 만들었습니다.
그리고 실제로 rundll32.exe가 실행이 되는데 이것은 제어판이나 프린터 설정때 사용하게 되지.. 자동으로 실행되지 않습니다.
그리고 폴더의 위치도 보면 inf, addins, down등 windows폴더의 하위 폴더에 숨겨놓으면서 실행이 되고 있습니다.
아래그림은 레지스트리의 로그온 할때 자동실행되게 만들어서 이 파일을 이용해서 계속적으로 웜바이러스를 가지고 오는 통로 역할을 합니다
그림하단에 보면 자세한 레지스트리의 경로가 나와 있습니다.
그런데 아래그림에서 조심해야 될것은 userinit.exe 절대 지우면 안됩니다. 만약 지우면 로그온이 안되어서 다시 윈도우를 설치를 해야 하기 때문입니다
자 그럼 이제는 이런 파일들을 삭제를 해야지요
우선 작업관리자 그림에서 해당 파일을 선택하고 하단에 프로그램 끝내기를 선택해서 실행을 중지 시켜야 합니다. 그래야 탐색기에서 삭제가 됩니다.
첫번째로 해야 될 것은 레지스트리에서 위 그림에서 보여준 빨간색으로 테두리가 된 것을 삭제를 해야 합니다.
그럼 다음 탐색기에서 해당 파일을 일일이 찾아서 삭제를 해야 합니다.
|