보안

악성코드와 한판 전쟁 스토리

sungtg 2007. 11. 27. 13:09

증상

토요일 저녁에 컴퓨터를 켜 보니 이상한 메시지가 팝업창으로 들어옵니다.

218.xx.xxx.xxx에서 연결을 시도 합니다.
그래서 인터넷 연결을 해제 하니까

자동으로 adsl 연결창을 열려고 하더군요..
아래 그림과 비슷하고 url 주소만 알지 못하는 주소로 뜨더군요 

사용자 삽입 이미지
 

해 결


한창 생각을 했습니다.

"덮고 자자.. 이것 잡으려면 또 새벽까지 갈거니까 덮고 그냥 자고 내일하자."
"아니다 오랜만에 걸리니까 한번 해결해보자.."

갈등을 때리다 그래 가는데 까지 가보자로 결정을 했지요

자 그럼 우선 뭐가 문제인지 작업관리자를 띄워보자
작업관리자를 띄우니까 익스플로러가 살아있는 겁니다.

익스플로러 창을 닫았는지도 시간이 지났고 adsl 연결도 끝었는데..

사용자 삽입 이미지

프로세스를 죽이면 다시 살아나고 죽이면 다시 살아나고..

그래서 무엇인가가 자꾸 익스플로러 창을 띄우나 보다.
그러면 우선 자동실행되는 것이 있는지 레지스트리에서 점검을 해보자..

레지스트리의 자동실행되는 영역에는 전에 설정해 놓은 사항이 그대로
있었습니다.
그럼 이건 아니고

그래서 이번에는 익스플로러와 같이 실행되는 dll파일을 찾아보기로 작정하고
보니까.. tasklist/m 도스창에서 처 보니까

dll 파일 중에 "000095xxx.dll"파일이 있더라구요
아항 이놈이구만 생각을 했지요

다음에는 인터넷임시파일과 쿠키를 삭제를 하고
개체를 보니까 내가 알던 개체들만 있어서 그래도 모두 삭제를 했지요

그런다음 탐색기에서 00009xxxx.dll파일을 삭제하려고 했더니
아니나 다를까 사용중이라서 삭제가 안된다고 하더군요
안전모드로 부팅을 해서 삭제를 하고

다시 정상적으로 부팅을 해서 작업관리자를 보니까
아주 깨끗해서 다시 인터넷을 연결해서 익스플로러를 사용하다가
미심 적어서 다시 작업관리자를 뛰우니까

wuauclt.exe 파일이 떠 있는 겁니다.
이것은 업데이트하는 윈도우 파일인데 나는 업데이트를 자동으로 하지 못하게
막아 놓았는데 지가 알아서 업데이트를 하더라고요

제어판에 가서 다시 확인을 해보고
다시 부팅을 해도 마찬가지 입니다.

부팅해서 system32폴더에 보면 또 00009xxx.dll파일도 다시 생기고..
귀찮아서 여기 까지 하고 잠을 잤어요
시스템이 오류가 생기는 것도 아니고 해서 내일 하자...

추 가


다음날 일요일 아침부터 씨름할 생각을 하니까

짜증이 나서 덮어 두려고 했다가 카페나 메일확인 차 들어갔다가
발동이 걸린 겁니다.

뭔지 모르지만 계속해서 익스플로러에 url파일이나 ip를 던줘 줘서
실행시키는 것이 있구나 생각을 했지요

생각을 정리를 해볼필요가 있어서 잠시 생각을 했습니다.

1. 시스템이 느려지거나 이상한 창이 뜨거나 하는 것은 없다
2. 인터넷 연결을 해놓으면 아무이상 없이 사용할 수 있다
3. 인터넷 연결만 끝으면 그때부터 이상한 주소를 호출한다.
4. 계속해서 익스플로러 프로세스가 생긴다.
5. 자동실행되는 것은 아니다.
6. 그렇다고 실행파일이 있어서 실행되는 것도 아니다.
7. 윈도우 업데이트 파일은 왜 뜨는 거지 등등..

그래서 현재 상황에서
익스플로러를 띄울수 있는 프로세스는 wuauclt.exe파일이다

그럼 이것을 제어판에서 제어가 안되는데 어떻하지 ?
어디서 찾아야 하나 하다가 생각 난 곳이 바로 제어판/관리도구/서비스 입니다.

서비스단에 윈도우 업데이트되는 부분을 막기로 했습니다.
그래서 제어판/관리도구에서 서비스 창을 열고
현재 실행중인 서비스 중에 업데이트나 다른 네트워크 관련된 서비스 중에
자동실행 중인것을 모두 수동으로 바꾼 후에 다시 부팅을 했습니다.

사용자 삽입 이미지

그래도 혹시 몰라서 저는 아직 C:드라이브는 fat32로 쓰고 있어서
도스로 부팅을 한 후 v3를 돌려서 익스플로러가 win32계열에 바이러스인지 아닌지
확인을 해두고..

오후에 다시 보니까 정상적으로 되었더라구요
어제 저녁때 부터 오늘 오후까지 시간으로 한 20시간이 걸렸죠..
중간에 팝업이나 애드웨어 잡는 프로그램을 돌려 봤는데
프로그램들의 성격이 레지스트리와 엑티브x에 초점이 맞춰진것 같더라구요

이번 것은 엑티브x와는 조금 틀린 문제로 봤거든요

인터넷연결을 하면
보통 컴퓨터 들이 윈도우 서비스 단에서
업데이트 상태가 자동으로 되어 있는 것을 악용을 해서
이 약점을 노리는 악성코드가 내 컴퓨터로 dll파일을 복사시켜놓고
익스플로러에 실행되면 실행되면서
자기네 사이트를 호출하고..

이 정도까지만 하게 되어 있는 악성코드라고 판단을 했습니다.

시작페이지 바꾸는 것도 아니고 그렇다고 요란한 팝업을 띄우는 것도 아니지만
간만에 악성코드를 만나 10시간동안 씨름을 했습니다.

과거 처럼 바이러스에 의해서 하다하다 안되서
윈도우를 다시 엎어 버리는 일은 아니어서 괜찮다고 생각을 했는데
악성코드를 추적하는 것이 더 시간이 많이 걸리네요

하기는 그래서 이렇게 메일을 쓸 거리를 만들었으까 됐지요. 뭐..

'보안' 카테고리의 다른 글

메일을 열어보는 순간 바로 감염된다고  (0) 2007.12.15
hosts 파일  (0) 2007.12.02
다잡아,다간다 ad-aware로도 악성코드가 안잡혀요  (0) 2007.11.07
하드드라이브 클릭할 때 연결프로그램 뜰때  (0) 2007.11.01
메신저와 보안문제  (0) 2007.11.01

'보안'의 다른글

  • 현재글악성코드와 한판 전쟁 스토리

관련글

티스토리툴바