보안

웜바이러스 지겨워서

sungtg 2007. 10. 19. 22:30

질 문

우선 컴퓨터 운영체제는 윈도우xp입니다.

바이러스는 몰랐는데..계속 걸려있었던것 같습니다.

바이러스란걸 알고 포맷을 시도했습니다.
처음 포맷을 하는거라 설명서 읽어가며 땀 뻘뻘 흘리면서 포맷에 성공했습니다.
파티션 부분은 잘모르겠지만 어쨋든 일주일간은 잘 썼습니다.

그런데 일주일후 이번에는 갑자기 웹서핑중에 컴퓨터가 꺼지기 시작했습니다.

갑자기 혼자 꺼지고 혼자 재부팅하길 수십번 그후로 한 5일간 컴퓨터를 못했습니다.

그후 다시 포맷을 마음먹고 오늘 포맷을 했습니다.

여러 응용프로그램을 깔고 cpu도 100%가 아니고 인터넷도 빠르고 너무 좋더라구요
그래서 예방책으로 이것저것 지식인에 검색해서 4개의 컴퓨터 최적화 프로그램과
바이러스 예방 프로그램을 깔았습니다.

만족하면서 저녁에 컴퓨터를 켰는데

웜바이러스에 걸렸다고 낮에 깔았던 프로그램이 알려주더라구요.

정말 당황스럽고 어이가 없어서..
어떻게 해야할지도 모르겠습니다.

확실히 웜 바이러스인것 맞습니다.
낮에 멋모르고 좋다고 해서 깔았던 패치에서도 웜이라고 뜨더군요.
그러면 치료도 해주든지..;;참//

다시 포맷을 하더라도 웜 바이러스에 걸릴것 같고
확실한 대비책을 알려주시면 너무 감사하겠습니다.

해 결


웜바이러스는 대책이 잘 서지 않습니다.
그때 그때 case by case로 대처를 해야 합니다.

웜바이러스와 일반 바이러스와 구분하는 구분자는
인터넷 익스플로러를 사용하면서 클릭이 안되거나, 창이 꺼진다던지 하면 웜 쪽의 바이러스이고
인터넷을 연결하지도 않았는데 이상하다면 일반적인 바이러스 입니다.

그런데 이런 구분자도 사실 상 일반인들은 구분하기 힘듭니다.
그림을 보면서 설명을 드리죠

컴퓨터가 이상하다 싶으면 제일 먼저해야 하는것이 작업관리자를 띄우세요

컴퓨터는 프로그램들이 움직이는 공간이므로
바이러스도 프로그램(파일)입니다.

그러므로 파일을 찾아야 하는데 작업관리자가 그 역할을 합니다.
바탕화면에서 아래 작업표시줄에서 오른쪽 마우스를 클릭해서 [작업관리자]를 선택하면 됩니다.

아래그림은 각종 웜바이러스가 거의 들어온 작업관리자 입니다

e1.exe
hkcmd.exe
rundl132.exe
explorer.exe(system32폴더)
svhost32.exe
그외 10248.exe 등이 보일 겁니다.

요즘 인터넷익스플로러에서 더블클릭해야지 사이트 이동이 가능하게 되는 경우
이런 바이러스들 때문입니다.



이제 바이러스의 정체를 밝혀 냈으니까
이것들이 어떻게 작동이 되는지 확인해서 퇴치를 해야 겠지요

아래그림을 보면 레지스트리에서 자동실행되는 프로그램들이 참 재이있습니다.

코덱을 업데이트하는 update.exe는 정상적인 설정이고
나머지 부분을 보자면
windows\cofig 에 있는 svhost32.exe 윈도우서비스를 실행하는 svchost.exe를 흉내를 냈는데
winddows\sysem32 폴더에 있어야 정상입니다.

windows\command 에 있는 rundl132.exe는 제어판을 기동하는 rundll32.exe가 정상이고
windows\system32폴더에 있는 것이 정상입니다.
더 웃기는 것은 알파벳 소문자 l 과 숫자 1과 비슷해서 파일이름을 만들었습니다.

그리고 실제로 rundll32.exe가 실행이 되는데
이것은 제어판이나 프린터 설정때 사용하게 되지..
자동으로 실행되지 않습니다.

그리고 폴더의 위치도 보면 inf, addins, down등
windows폴더의 하위 폴더에 숨겨놓으면서 실행이 되고 있습니다.



아래그림은 레지스트리의 로그온 할때 자동실행되게 만들어서
이 파일을 이용해서 계속적으로 웜바이러스를 가지고 오는 통로 역할을 합니다

그림하단에 보면 자세한 레지스트리의 경로가 나와 있습니다.

그런데 아래그림에서 조심해야 될것은 userinit.exe 절대 지우면 안됩니다.
만약 지우면 로그온이 안되어서 다시 윈도우를 설치를 해야 하기 때문입니다




자 그럼 이제는 이런 파일들을 삭제를 해야지요

우선 작업관리자 그림에서 해당 파일을 선택하고
하단에 프로그램 끝내기를 선택해서 실행을 중지 시켜야 합니다.
그래야 탐색기에서 삭제가 됩니다.


첫번째로 해야 될 것은 레지스트리에서 위 그림에서 보여준 빨간색으로
테두리가 된 것을 삭제를 해야 합니다.

그럼 다음 탐색기에서 해당 파일을 일일이 찾아서 삭제를 해야 합니다.






추가


웜바이러스는 한 번에 퇴치시킬수 있는 바이러스 종류가 아닙니다.

최근에 웜바이러스 경향을 보면
우선 바이러스를 끌어들이는 파일을 몰래 컴퓨터에 심어놓고
자동 실행되게 하면서

계속적으로 웜바이러스를 끌어오는 로직를 사용하고 있습니다.

그러므로 V3나 바이러스 퇴치 프로그램을 이용해서 퇴치를 한다고 해도
또 발생할 수 있습니다.

그러므로 일반 바이러스와 달리 인터넷 익스플로러를 사용할 때 주로 나타나므로
익스플로러의 옵션을 조정을 할 필요가 있습니다.

익스플로러에서 파일을 다운받고, 실행하는 익스플로러의 기능은 Activ-x 이므로
이것을 불편하더라고 차단을 시켜두는 것이 좋습니다.

아래그림과 같이 보안수준을 높게 잡아두거나
수동으로 Activ-x를 모두 [관리자승인]이나 [사용안함]으로 설정을 해두어서
일정기간 웜 바이러스의 통로를 철저하게 차단 시켜 둘 필요가 있습니다.

일반 포탈사이트도 들어가면서 매번 "설치할꺼냐"는 물음을 받게 되고
로그인을 할때도 물어보는 박스 창을 보게 될겁니다.

이렇게 한 2-3일 정도 지난후에 보안수준을 보통으로 가져다 놓고
사용해보세요

물론 조심을 하면서요





웜바이러스는 파일에 손상을 주기 보다는 시스템을 정상적으로
작동시키지 않는 바이러스가 대부분이므로

어렵게 생각하지 말고 차근차근
바이러스가 들어오는 순서의 역순으로 따지면 찾아서 삭제할 수 있습니다.