보안

악성코드 찌꺼기

sungtg 2007. 10. 20. 13:30

악성코드 찌꺼지가 발견되었다고 하는데


질문


악성코드 찌꺼지가 발견되었다고 하는데...
유료로만 치료가능한건가요

아님 무료치료방법은 없는건가요??


분석 및 해결


악성코드 검사 프로그램으로 체크를 하면 찌꺼기라는 말을 많이 볼겁니다.

찌꺼기라는 것을 나름대로 알기 쉽게 정의를 내리자면

첫째는 레지스트리 키값이 됩니다.
{9938DDF0-9B5E-4D77-8387-4DD8AFCA1DEB}
이런식으로 16진수로 나타나는 것을 자주 볼것입니다.
이것이 레지스트리에 남아 있다면 찌꺼기 입니다.

또 하나는
.DLL 파일이나 .OCX 파일입니다

파일이 존재하는지를 악성코드 프로그램이 다 찾아볼까 하는의문이 들지요

악성코드 프로그램은 뒤지는 폴더는

인터넷을 하면서 다운받는 .OCX가 저장되는
C:WINNTDownloaded Program Files 일명 다운로드 폴더나
C:WINNTsystem32
C:Program Files
폴더를 체크를 합니다.

여기에 저장된 파일을 모두 점검하는것이 아니고 레지스트리의 키와 비교하여
찾아 내는 것입니다.

악성코드를 돌린 후에 나오는 에러 중에는
레지스트리에는 키값이 있는데 실제로 dll파일이나 ocx 파일이 없는 경우가
많을 수 있고
dll파일은 있는데 레지스트리 키가 없는 경우가 많이 있습니다.

찌꺼기라는 용어가 우리 문화에 나쁜이미지 이므로
나쁘게 받아 들여질 수 있는데..

심플하게 컴퓨터 용어적인 개념으로 받아들일 필요가 있습니다.

처리는 실제 레지스트리 키값이나 dll파일이 있는지 확인해보고
찜찜하니까 삭제를 하세요

단 문제는 dll파일을 삭제를 할때

탐색기에서 날짜 순으로 소트를 해놓고
증상이 일어난 날짜와 dll파일의 날짜와 비교해서 삭제를 하면 됩니다.

단 dll파일을 먼저 삭제를 하지 말고
레지스트리 키를 먼저 삭제를 한 후

나중에 dll파일을 삭제를 해야 합니다.


추 가


오늘 설명한 부분이 악성코드를 수동으로 삭제를 하는 방법의 일부분입니다.

위의 그림에 있는 Active-x 컨트롤을 악성코드라고 가정하고 시작하죠

우선 익스플로러/옵션/일반/설정/개체보기에서 속성을 클릭을 하면
속성 값에 16진수 같은 것이 나오는데 이것이 레지스트리에 저장이 되는
클래스 값입니다.

이것을 레지스트리에서 찾는데
어디에 있냐면

레지스트리의 HKEY_LOCAL_MACHINESOFTWAREClassesCLSID 이고

사용자 삽입 이미지


이 키값에 커저를 두고 찾기 메뉴로 찾으면
사용자 삽입 이미지


그리고 하위에
InprocServer32 키에 해당 파일이 설명이 되어 있는 것입니다.

사용자 삽입 이미지



위 그림을 보니까
웹하드에서 사용하는 컨트롤이군요

system32 폴더에 webhardlauncger.ocx의 정체가
웹하드를 뛰우면 나타나는 화면들입니다.

그런 웹하드를 쓰지 않으려면
레지스트리에서 먼저 키를 지우고

그리고 탐색기에서 ocx파일을 지우면 되겠죠..