이것저것 악성코드나 바이이러스체크하는 프로그램을 깔아봤답니다...
ad-aware, 에드워치, v3, 알약, 이지크린, 울타리, 등등을 써보았답니다...

도대체 무슨프로그램을 깔아서 사용해야 하는지요...컴이 점점 느려져서 미치겠어요... 답변부탁드립니다...
============================

프로그램 사용법


유사한 프로그램은 하나 만 사용하는 것이 좋은 거 아시죠..
아무리 메모리가 빵빵하더라고

실행되는 프로그램을 감시하고
인터넷을 감시하고
메모리를 감시하고 하면
느려지게 되어 있습니다.

사용을 잘 해야 합니다.
항상 켜 놓지 말고 이틀이나 사흘에 한번씩 체크를 하는 습관을 들이는것이
제일 좋은 방법입니다.

프로그램의 선택

바이러스나 악성코드는 안철수연구소 제품하나 정도면 됩니다.

바이러스나 악성코드는 시그니처라는 보안기술에 의해서 프로그램을 만듭니다.
시그니처는 해킹이나 바이러스 침투, 제로데이공격등에 대한 방어/퇴치기술이라고
보며 됩니다. 과거에는 이런 시그니처를 외국기업에서 구입을 해서 퇴치프로그램을 만들었습니다
한예로 곰플레이어에 백도어문제가 나왔을때
외국기업인 라드웨어라는 업체에서 곰플레이어에 시그니처 기술을 알려주서
안정적으로 곰플레이어를 사용할 수 있도록 한적이 있지요..

시그니처 기술은 주로 외국 기업의 보안업체가 가지고 있었지만
최근에는 안철수 연구소에서 자체적으로 시그니처를 개발해서
수출까지 하고 있습니다.

그만큼 보안업체에서는 시그니처가 중요합니다.
노우하우가 제일 중요하지요..
그래서 안철수 거 하나만 사용하는 것이 좋습니다.


사용자 삽입 이미지
포탈사이트의 툴바도 많이 사용하는데 이것도 하나 정도만 사용하세요
툴바에도 악성코드체크 등 여러가지 기능이 들어 가 있기 때문에
검색기능만 있는 것을 사용하는 것이 좋겠다 싶어요..


사용자 삽입 이미지
            레지스트리 정리 프로그램은 클릭투트윅이 좋을 것 같습니다

질 문

외국성인사이트에 들어갔다가 잘못해서 컴퓨터를 켤때마다 바탕화면과
작업표시줄 트래이 와 시작프로그램에 Adult_Chat 프로그램 아이콘이 항상나오고
인터넷 익스플로러 시작 시 그 사이트인지 외국사이트가 나옵니다.

이 아이콘을 클릭해서 메뉴에 uninstall을 클릭하면 3 곳이 다 없어저
안심하고 있다가 컴을 다시 부팅하면 반복됩니다.

제어판이나 프로그램에 이 폴더를 찾으려해도 나와 있지않습니다.
어떻게 하면 좋을지 알려주시면 고맙겠습니다.

해결


맨먼저 자동실행되는 이상한 파일이 있는지 살펴봐야 합니다.

1 임시 인터넷 파일을 모두 삭제를 합니다.

2 임시 인터넷 폴더와 WINDOWS\COOKIE에 있는 쿠키파일(텍스트)파일을
모두 삭제합니다.

3 스크립트파일을 사용하는 경우가 있으므로 탐색기에서 *.VBS 나 *.JS 를
찾아서 삭제를 하세요.

4 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Main
오른쪽 창에서 default_Page_Url 과 search를 삭제를 합니다

5 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
오른쪽 창에서 Start page를 삭제합니다.

원인 분석

광고 창의 경우에 창을 닫으면 다시 뜨고 닫으면 다시 뜨고 하는 것은
스크립트로 처리를 하기 때문입니다.

그러므로 스크립트 파일이나 인터넷 임시 파일을 삭제를 하고 그런 사이트를
들어가지 않으면 됩니다.

스크립트파일은 .js .vbs 로 되어 있습니다.

문제는 시작페이지가 계속 뜨는 것은 자동실행되는 프로그램에 의한것.
또 하나는 익스플로러의 실행시 엑티브x 클래스id를 dll 파일에 등록시켜서
익스플로러 실행시 같이 실행되는 dll 파일을 통해서 실행이 되는 경우때문입니다.

요즘은 이것이 대부분입니다.
그래서 레지스트리에서 클래스 id를 찾기로 찾아서 삭제를 해야 합니다.

추가정보

1

다른 엑티브 x 나 Dll파일을 조작하여 익스플로러만 실행하면 다시 증상이
나타날 수 있습니다.
이런 경우에는 해결하기가 힘듭니다. 다시 설치하는 방법을 사용합니다.

간혹 SHDOCVW.DLL 파일을 조작하는 사이트가 있습니다.

도스로 부팅해서 SHDOCVW.DLL 삭제를 하고 익스플로러 버전이 같은
다른 컴퓨터에 있는 SHOVCW.DLL파일을 SYSTEM32폴더에 복사를 하세요
그런 다음 도스창에서 "REGSVR32 SHDOCVW.DLL" 엔터 를 쳐서
레지스트리에 등록을 시킵니다.

2
Windows 폴더에 있는 Downloaded Program Files 폴더를 열어보면
ActiveX Control이 시스템에 설치 되었는지 알 수 있습니다.

예를 들어 문제의 GoHip은 다음과 같습니다.
CLASS ID: {F17EDBC0-3EB2-11D3-AB74-00A0C9A522F2}
ActiveX Control 형태의 프로그램은 Downloaded Program Files 폴더에서
해당 아이콘을 찾고 오른쪽 마우스 버튼 클릭으로 메뉴를 열어서
지울 수 있습니다.

일부 프로그램은 Control Panel의 프로그램 추가/제거(Add/Remove Programs) 애플릿을 통해 지울 수도 있습니다.

아니면 위의 F17EDBC0-3EB2-11D3-AB74-00A0C9A522F2 ID로 레지스트리에서 찾아서
삭제를 해주세요.



질 문

컴퓨터에 바이러스가 깔려 치료하는데 치료를 해도  바이러스가 또생기네요.ㅜㅠ
어떤 프로그램이 악성코드등 바이러스를 완전 치료해줄까요?

해 결

결론은 악성코드나 바이러스를 완전하게 치료하는 것은 없습니다.
                                                     

사용자 삽입 이미지


 아래 챠트에서 보듯이  전염되는 속도가 초 단위로 전파가 되는 시대에 있습니다.
한 곳이 바이러스나 웜에 노출 되었다면 순식간에 넒게 감염되는 것은 시간 문제입니다.
사용자 삽입 이미지

사용자 삽입 이미지


사용자 삽입 이미지
위에 표에서 보듯이 보안에 관한 솔루션을 가지고 있지만 (IDS,IPS,방화벽,ESM, 안티바이러스 등)
웜이나 바이러스 공격을 해석하고 퇴치 프로그램을 만들때 까지 시간이 7-30시간 정도 들어갑니다.
더구나 변종이 계속 나오기 때문에 퇴치를 만들고 나면 변종이 꼭 생기게 됩니다.
그때 그때 대처할 수 밖에 없습니다.

특히 ZERO-DAY ATTACK 이란 윈도우나 운영체제의 취약점 이용해서
침투하는 바이러스나 웜이기 때문에 운영체제의 패치가 나와야 해결이 됩니다.
사용자 삽입 이미지

윈도우XP의 경우 3천 7백만 줄로 만들어졌다고 합니다.
그러므로 앞으로 어디서 취약점이 발견될 것인가는 잘 파악을 할 수 없습니다.
취약점을 공격하는 바이러스가 나와봐야 알 수 있습니다.

결론

예방이 우선인데 바이러스 체크 프로그램으로 예방하는 것이 아니고
사용자가 메일, 웹, 보안에 대한 뉴스에 대처를 그때 그때 실시간 보다 앞서서 해주는 것이
안전합니다.
걸린 다음에는 하루정도는 기다려야 대응코드나 패치, 퇴치바이러스 프로그램을 찾을 수
있겠지요..

hosts 파일

2007.12.02 19:22 | 보안

hosts 파일이란 ?


국민은행 위장 사이트 주의 안내


국민은행 웹사이트를 가장한 위장 사이트를 통하여
인증서 암호, 계좌 비밀번호, 이름,주민등록번호, 보안카드 비밀번호 등을 입력하도록 유도하고 있으니 고객님의 각별한 주의 바랍니다
사용자 삽입 이미지

악성코드로 인하여 윈도우즈의 hosts 파일이 변경되며(ibn.kbstar.com 추가),ibn.kbstar.com 주소 입력 시 위장 사이트로 자동 접속되게 합니다.

국민은행 웹사이트에서는 어떠한 경우에도 위 화면처럼 하나의 화면에서 ‘보안카드 비밀번호’와 ‘인증서 암호’를 동시에 요구하지 않습니다.
또한, 당행 웹사이트의 ‘인증서 암호’ 입력 화면은 팝업 형태의 별도 화면으로 구성되어 있습니다.
위 그림과 같이 하나의 화면에서 인증서비번, 통장비번, 이름, 주민등록번호, 보안카드비번, 인정번호 등을동시에 요구하는 경우 절대로 입력하지 마시고,
발견 즉시 아래의 기관에 신고하시기 바랍니다.

신고처 KB국민은행 콜센터 : 1588-9999
한국정보보호진흥원 : (02)118 또는 (02)1336,
E-mail : phishing@certcc.or.kr
경찰청 사이버 테러대응센터 : (02)3939-112
피싱신고 접수 사이트 : http://www.krcert.or.kr

해당 악성코드 감염여부 확인방법

① 시작 → 실행 → hosts 파일 위치입력 후 확인클릭
※ Windows XP일 경우 : C:\windows\system32\drivers\etc\hosts
※ Windows 98일 경우 : C:\windows\hosts
※ Windows 2000/NT일 경우 : C:\WINNT\system32\drivers\etc\hosts





② 연결 프로그램 창이 열리면 메모장(Notepad)를 선택하고 확인 클릭




③ 당행 사이트 주소가 있을 경우 악성코드에 감염된 상태입니다.




치료방법

초기화면(http://www.kbstar.com) 접속 시 자동 실행되는
해킹차단기 nProtect’에 의해 자동 치료됩니다.




hosts 파일 분석

hosts파일의 위치:
Windows xp : c:windowssystem32driversetchosts
Windows 2000 : c:winntsystem32driversetchosts

인터넷 이름풀이는 DNS(Domain Name Service)를 통해 이루어진다.
DNS 이전에는 어떤것을 사용했을까 ?
바로 hosts 파일이다.
hosts 파일은 hosts 이름은 적어놓은 text 파일이다.
때문에 텍스트 편집기로 편집이 가능하다.

HOSTS파일은 IP주소와 호스트 이름을 매핑 시켜주는 파일로서
UNIX시스템의 HOSTS파일과 같은 기능을 수행한다.

기본적으로 Windows 는 인터넷 통신을 할때 DNS보다는 hosts 파일을 먼저 참조한다.
따라서 hosts 파일에서 원하는 호스트명을 찾는다면 더이상 DNS에 쿼리(query, 질의)를 하지 않는다

따라서 국민은행 도메인(www.kbstar.com)을 입력하였다면
hosts 파일에 매칭되는 ip주소가 있으므로
dns를 더 이상 호출하지 않고
그냥 바로 ip 주소로 접속하게 되는 것이다.
 

증상

토요일 저녁에 컴퓨터를 켜 보니 이상한 메시지가 팝업창으로 들어옵니다.

218.xx.xxx.xxx에서 연결을 시도 합니다.
그래서 인터넷 연결을 해제 하니까

자동으로 adsl 연결창을 열려고 하더군요..
아래 그림과 비슷하고 url 주소만 알지 못하는 주소로 뜨더군요
 

사용자 삽입 이미지
 

해 결


한창 생각을 했습니다.

"덮고 자자.. 이것 잡으려면 또 새벽까지 갈거니까 덮고 그냥 자고 내일하자."
"아니다 오랜만에 걸리니까 한번 해결해보자.."

갈등을 때리다 그래 가는데 까지 가보자로 결정을 했지요

자 그럼 우선 뭐가 문제인지 작업관리자를 띄워보자
작업관리자를 띄우니까 익스플로러가 살아있는 겁니다.

익스플로러 창을 닫았는지도 시간이 지났고 adsl 연결도 끝었는데..

사용자 삽입 이미지

프로세스를 죽이면 다시 살아나고 죽이면 다시 살아나고..

그래서 무엇인가가 자꾸 익스플로러 창을 띄우나 보다.
그러면 우선 자동실행되는 것이 있는지 레지스트리에서 점검을 해보자..

레지스트리의 자동실행되는 영역에는 전에 설정해 놓은 사항이 그대로
있었습니다.
그럼 이건 아니고

그래서 이번에는 익스플로러와 같이 실행되는 dll파일을 찾아보기로 작정하고
보니까.. tasklist/m 도스창에서 처 보니까

dll 파일 중에 "000095xxx.dll"파일이 있더라구요
아항 이놈이구만 생각을 했지요

다음에는 인터넷임시파일과 쿠키를 삭제를 하고
개체를 보니까 내가 알던 개체들만 있어서 그래도 모두 삭제를 했지요

그런다음 탐색기에서 00009xxxx.dll파일을 삭제하려고 했더니
아니나 다를까 사용중이라서 삭제가 안된다고 하더군요
안전모드로 부팅을 해서 삭제를 하고

다시 정상적으로 부팅을 해서 작업관리자를 보니까
아주 깨끗해서 다시 인터넷을 연결해서 익스플로러를 사용하다가
미심 적어서 다시 작업관리자를 뛰우니까

wuauclt.exe 파일이 떠 있는 겁니다.
이것은 업데이트하는 윈도우 파일인데 나는 업데이트를 자동으로 하지 못하게
막아 놓았는데 지가 알아서 업데이트를 하더라고요

제어판에 가서 다시 확인을 해보고
다시 부팅을 해도 마찬가지 입니다.

부팅해서 system32폴더에 보면 또 00009xxx.dll파일도 다시 생기고..
귀찮아서 여기 까지 하고 잠을 잤어요
시스템이 오류가 생기는 것도 아니고 해서 내일 하자...

추 가


다음날 일요일 아침부터 씨름할 생각을 하니까

짜증이 나서 덮어 두려고 했다가 카페나 메일확인 차 들어갔다가
발동이 걸린 겁니다.

뭔지 모르지만 계속해서 익스플로러에 url파일이나 ip를 던줘 줘서
실행시키는 것이 있구나 생각을 했지요

생각을 정리를 해볼필요가 있어서 잠시 생각을 했습니다.

1. 시스템이 느려지거나 이상한 창이 뜨거나 하는 것은 없다
2. 인터넷 연결을 해놓으면 아무이상 없이 사용할 수 있다
3. 인터넷 연결만 끝으면 그때부터 이상한 주소를 호출한다.
4. 계속해서 익스플로러 프로세스가 생긴다.
5. 자동실행되는 것은 아니다.
6. 그렇다고 실행파일이 있어서 실행되는 것도 아니다.
7. 윈도우 업데이트 파일은 왜 뜨는 거지 등등..

그래서 현재 상황에서
익스플로러를 띄울수 있는 프로세스는 wuauclt.exe파일이다

그럼 이것을 제어판에서 제어가 안되는데 어떻하지 ?
어디서 찾아야 하나 하다가 생각 난 곳이 바로 제어판/관리도구/서비스 입니다.

서비스단에 윈도우 업데이트되는 부분을 막기로 했습니다.
그래서 제어판/관리도구에서 서비스 창을 열고
현재 실행중인 서비스 중에 업데이트나 다른 네트워크 관련된 서비스 중에
자동실행 중인것을 모두 수동으로 바꾼 후에 다시 부팅을 했습니다.

사용자 삽입 이미지

그래도 혹시 몰라서 저는 아직 C:드라이브는 fat32로 쓰고 있어서
도스로 부팅을 한 후 v3를 돌려서 익스플로러가 win32계열에 바이러스인지 아닌지
확인을 해두고..

오후에 다시 보니까 정상적으로 되었더라구요
어제 저녁때 부터 오늘 오후까지 시간으로 한 20시간이 걸렸죠..
중간에 팝업이나 애드웨어 잡는 프로그램을 돌려 봤는데
프로그램들의 성격이 레지스트리와 엑티브x에 초점이 맞춰진것 같더라구요

이번 것은 엑티브x와는 조금 틀린 문제로 봤거든요

인터넷연결을 하면
보통 컴퓨터 들이 윈도우 서비스 단에서
업데이트 상태가 자동으로 되어 있는 것을 악용을 해서
이 약점을 노리는 악성코드가 내 컴퓨터로 dll파일을 복사시켜놓고
익스플로러에 실행되면 실행되면서
자기네 사이트를 호출하고..

이 정도까지만 하게 되어 있는 악성코드라고 판단을 했습니다.

시작페이지 바꾸는 것도 아니고 그렇다고 요란한 팝업을 띄우는 것도 아니지만
간만에 악성코드를 만나 10시간동안 씨름을 했습니다.

과거 처럼 바이러스에 의해서 하다하다 안되서
윈도우를 다시 엎어 버리는 일은 아니어서 괜찮다고 생각을 했는데
악성코드를 추적하는 것이 더 시간이 많이 걸리네요

하기는 그래서 이렇게 메일을 쓸 거리를 만들었으까 됐지요. 뭐..

질문


제가 xp를 쓰는데요..
인터넷하다보면

IEXPLORE.EXE - 응용 프로그램 오류
"0x77f83aef"에 있는 명령이 "0x023f7ed4"의 메모리를 참조했습니다.
메모리는"written"될 수 없었습니다.

프로그램을 마치려면 [확인]을 클릭하십시오.

이렇게 오류메시지가 뜨는데요..

이것의 원인은 뭐고, 처방은 무엇인가요..ㅠㅠ

해결


원인을 살펴보면

프로그램이 실행된 다는 것은 디스크에 있는 프로그램을 메모리에 로딩한다는 의미입니다
프로그램들이 실행할 때는 메모리를 순차적으로 사용하는것이 아니고
랜덤하게 주소를 지정 받습니다.

사용할 메모리 영역을 할당받는 과정에서 생기는 대표적인 Error 입니다.

프로그램을 만들때 메모리를 할당하는 방식이 2가지 있습니다.
직접 메모리 주소를 할당하는 방식과

윈도우에게 메모리를 할당하게 끔
윈도우에 메모리 주소를 상대주소로 넘겨주는 방식 2가지를 사용하는데

보통은 윈도우에서 메모리를 할당할 수 있도록 상대주소를 사용합니다.

프로그램이 실행되면서 윈도우는 프로그램에서 주소를 넘겨받아서
주로 가상메모리(디스크)에 주소를 할당해서 프로그램을 실행시킵니다

이 과정에서 윈도우에서 해당 메모리 주소를 이미 다른 프로그램에 의해 사용하고
있거나,
프로그램이 사용할 메모리의 주소를 할당을 하지 못할 때 이런 에러가 납니다.

해결은

1. 가상메모리를 늘리는 방법
2. 쓰지 않는 프로그램을 삭제를 함으로써 디스크의 남은 공간을 많이 확보하는 방법
3. 바이러나 악성코드 체크

2, 3번째 방법을 더 권장합니다.

추가정보


read, written 등을 할 수 없다는 말이 모두 같은 종류의 에러입니다.

익스플로러 경우에는 플러그-인 되는 프로그램들이 워낙에 많기 때문에
정황을 분석해 볼 필요가 있습니다.

다른 플래시나 자바등의 컨트롤을 다운받아서 실행하면서
나타날 수도 있기 때문입니다.

윈도우는 메모리 운영시 디스크를 사용하는 가상메모리를 참 즐겨 사용합니다.
이런 가상메모리가 어떤식으로 사용되고 있는지 살펴보면

페이징은 프로그램을 실행할때 자주 사용되지 않는 부분의 작업 메모리를
하드디스크로 옮기는 방식을 통해, 활용 가능한 메모리 공간을 증가시키기 위한 방법 하나입니다
이때, 한번에 옮겨지는 메모리 용량 단위를 페이지라 부릅니다


프로그램 실행이 들어오면

윈도우에서 메모리 관리를 할때는 페이지표가 있어서

1 .현재 사용중인 프로그램들을 다시 디스크에 만들어진 페이지고 옮기고
2. 메인 메모리에 빈 공간을 만든 후
3. 실행 요청이 들어온 프로그램에 대한 디스크(가상메모리)에 페이지를 먼저 만들고
4. 다시 메인메모리(ram)에서 디스크에 있는 페이지를 읽어서 프로그램을 실행하게 됩니다.

많이 발생하는 에러가 "메모리 참조를 잘못했다는 ...." 그런 에러들 입니다

메모리에 관련된 에러는 딱 잘라서 이것이 문제라고 설명할 수 없습니다.
전체적인 윈도우의 운영상태를 파악을 해서 이것 외에
다른 요인이 없는지 확인하는것도 중요합니다.

대부분의 이런 read, wirte에러가 나오면 악성코드를 먼저 의심을 해보세요


질문

다잡아,다간다로 안잡혀서 ad-aware로도 설치해 보았는데,
익스플로러 시작페이지에 뜨는 악성코드가 안잡혀요ㅠㅠ

어케 하면 해결할수 있을까요..
넘~~~~~ 답답하고, 짜증나요

해결


원리를 알아야 하는데 따라하기에만 익숙하다 보면 짜증만 납니다
도대체 어디서 부터 손을 대야 하는지 잘 알 수 없으니까요.

윈도우의 프로세스를 이해를 해야 정확한 진단이 가능합니다.

제 생각을 따라해보세요

1. 악성코드를 만든 사람 입장에서 생각을 해보세요
악성코드를 사용자가 실행시켜서 테스트 하라고 만든 것이 악성코드라고 생각하지는 않겠지요

그럼 악성코드라는 것은 몰래 진행이 된다는 판단을 할 겁니다.
몰래 진행된다면 좋은 방법이 무엇이 있겠습니까 ?

첫번째로 생각을 할 수 있는 것이 자동실행되는 것입니다.
윈도우가 부팅되면서 자동실행되는 프로그램인것 처럼 속일 수 있습니다.

이런 악성코드라면 고맙지요 금방 찾아 낼수 있으니까요..
레지스트리만 두지면 금방 나오는 것이니까 별 문제가 안됩니다.

두번째가 문제가 되는데
초보자들이나 컴퓨터를 했다고 하는 고급자들도 알아차리가 어려운것이
바로 add-in 되는 것들입니다.

익스플로러나 윈도우 부팅때 자동실행되는 윈도우의 프로그램들
윈도우 로그인창에 기생하는 프로세스들이 문제가 됩니다.
그림을 가지고 설명을 하지요

제일 먼저 2000이상에서는 로그인과정이 꼭 들어갑니다.
그래서 로그인에 악성코드를 붙여 넣으면 자동실행이 되는것과 마찬가지 입니다.

작업관리자로는 확인할 수 없는 프로세스를 보여주는 프로그램입니다

사용자 삽입 이미지

위 그림에 보면 winlogon.exe 아래에 보면 service 하위에 svchost.exe라는
것이 많지요
윈도우에서 서비스라고 부르는 루틴을 실행시켜 주는 역활을 합니다.

제어판/관리도구에 보면 서비스라고 설정되어 있는 부분을 실행을 하는 역활을 합니다.
spollsv는 프린터서비스
lsass는 네트워킹에 필요한 서비스
얼마전에 이것 때문에 컴퓨터를 켜놓기만 하면 다운되고 다운되고 했던 것을 기억할 겁니다.
이 프로그램이 취약점을 바이러스가 침입했기 때문에
프로세스가 계속 증가시킴으로서 컴퓨터를 로그인만 하면 무조건 다운을 시켰지요

위 그림 외에 이상한 것이 걸려 있다면 의심을 해야겠지요
아래그림은 winlogon.exe에서 쓰이는 dll 파일의 리스트입니다.

사용자 삽입 이미지


아래 그림에서는 아래창에서 thread라고 하는 부분을 보게 되는데
익스플로러와 같이 진행되는 이상한 프로그램을 찾기 위해서 입니다.

사용자 삽입 이미지

기본적인 익스플로러에서 불러들이는 dll파일 들입니다.

사용자 삽입 이미지

사용자 삽입 이미지

shdocvw.dll 파일은 탐색기에서도 사용하고 있고
익스플로러에서도 사용되는 뷰어 입니다.
탐색기에서 파일의 내용을 보여주는 옵션이 있지요 이 파일이 사용되는것입니다.
그래서 가끔 악성 사이트의 경우 이 파일에 기생을 해서 시작페이지를
바꾸는 경우가 종종 있습니다.

사용자 삽입 이미지


데이타를 가지고 악성코드를 어떻게 제거 할 것인가를 방법론을 찾아야 하는것인데..
방법론 또한 여러 프로그램들이 얽혀 있다면 차근차근 따져 봐야 하는 문제가 있습니다.

워낙에 다양하고 경우의 수가 많아서 딱 꼬집어서 퇴치를 알려드리지 못합니다.

잘못 하면 시스템을 날리는 경우도 많이 생길수 밖에 없기 때문 입니다.

왜냐 하면 윈도우 로그온이라든지
탐색기같은 곳에서 사용하는 dll 파일이나 실행파일에 기생을 하게 되면
잘못 파일을 삭제를 하면 윈도우가 날라가거든요.

프로세스 단위로 추적을 해서 제거를 해야 하는데
이것은 각 컴퓨터 마다 프로그램이나 환경이 제각각 이므로 힘들수 밖에 없고....

악성코드에 걸렸다 싶으면
첫째는 윈도우로그온(winlogon.exe)에 딸려서 들어온 dll파일
두번째는 인터넷익스플로러(iexplorer.exe)에 딸려온 dll파일들을
잘 살펴보면 됩니다.

추가정보

악성코드를 잡는 프로그램들의 특징은 제가 위에서 알려드린 대로 차례대로 찾게 됩니다.
윈도우로그온이나 인터넷익스플로러에서 사용되는 dll, ocx를 체크해서 잡는데
일반적으로 사용되는 파일들 외에 것을 잡게 되어 있습니다.
문제는 외국것이나 업데이트가 안된 악성코드 잡는 프로그램을 사용할 때 문제가 됩니다.
외국것은 우리나라 포탈에서 사용하는 엑티브x 모듈을 악성코드라고 할 것이고
업데이트가 안된 것은 아예 못잡을 것입니다.

요즘은 악성코드를 잡아주는 척하면 피싱(fishing)질 하는 업체가 더 문제지만요...
악성코드를 돈을 안내고..
포맷을 하지 않고..

잡으려면 이번 메일을 잘 읽어보시기 바랍니다.

여기서 제가 사용한 유틸리티는
process explorer
윈도우의 프로세스를 찾아주는 유틸리티

dependency walker
실행파일에서 사용되는 dll파일을 찾아주는 유틸리티입니다

www.download.com 에서 검색하면 다운받을 수 있습니다.

팝업광고

2007.11.01 11:09 | 인터넷/웹서핑

질 문

집에 컴 xp를 쓰고 있는데요

얼마전부터 인터넷에 접속해 있을때면 어느순간 갑자기 어떤 창이 뜹니다.
몇번 그렇게 영어로 되있어 그냥 닫고 넘어갔는데
그런식으로 한글로 뜬게 있어서 대충 읽어보았더니 광고메세지더군요.

창 모양은 회색 바탕에 그냥 글자가 적혀있고요.
메세지는 211.83.881.93 에게 온 메세지라고 적혀있었어요.

이 아이피는 생각이 안나서 제가 맘대로 적은거구요.. 암튼 제 아이피를
찾아서 온 광고같은데... 이런일이 있을수 있는건가요

해 결

생각하건데는 아래 그림과 같은 팝업 창이었을 것 입니다.

사용자 삽입 이미지

이것은 윈도우의 메신저 서비스를 차단하면 됩니다.
제어판/관리도구/서비스에서
Messenger 서비스를 "사용안함"으로 설정하세요
사용자 삽입 이미지



























그리고 ip를 역추적을 해보려면 한국인터넷진흥원(http://ipwhois.nic.or.kr)으로
ip주소를 넣으면 ip를 사용하는 기관이 나올겁니다.

업체명이나 기관명, 법인명까지 나오지 정확한 이름은 나오질 않습니다
.
예를 들어 게임방이라면 게임방에서 사용하는 인터넷서비스업체까지
추적이 된다는 뜻입니다

추가정보

인터넷을 하다 보면 팝업때문에 짜증이 많이 날겁니다.

팝업광고에 대해서 알아 보면

팝업광고는 처음에는 순수한 상품이나 기업(사이트)을 알리기 위한 수단으로 시작이 되었습니다.

그런데 변질이 되어서 이제는 사이트홍보의 차원을 넘어서
인터넷을 사용하는 네티즌이 오히려 상품이 되게 만드는 지경에 이르렀습니다.

팝업광고를 값 어치는 뷰어 수와 클릭 수 크게 2가지로 나누어지기 때문에
어떻게든지 오래, 여러번 보게끔 하려는 방법이 동원되고 있지요

팝업광고의 유형을 살펴보면

신문사이트라든지 이미 오프라인에서 알려진 업체의 사이트는
보통 스크립트를 사용해서 사이트를 열때나 페이지가 바뀔때 팝업창이 뜨게끔
만들어 놓는 것이 대부분입니다.

"openwin" 이라는 스크립트 함수를 사용해서 만듭니다.
초창기의 팝업창을 막는 기술은 사이트의 홈페이지에 이 함수가 있는지
확인해서 차단하는 기술을 사용했습니다.

보통 이런 사이트들은 자체적으로 팝업을 막는 메뉴까지 제공하기 때문에 문제가 없습니다.

문제가 되는 것은 숨겨놓은 악성코드, Active-x 모듈들이 문제가 됩니다.

팝업광고만 해주는 사이트들이 따로 있는데
이런 사이트들은 보통 악성코드나 Active-x 모듈을 인터넷사용자들에게 몰래
각각의 PC에 저장을 시켜 놓고 사용자가 인터넷에 접속만 하면
사용자의 환경을 서버에서 간파를 해서 팝업창을 작동시키는 그런 형태를 사용합니다.

사용자 삽입 이미지




















악성 코드는
웹사이트의 HTML소스속의 BODY부분
게시판 또는 메일홍보문 등의 해당 HTML소스 속 아무곳에 넣으면 되기 때문에
사용자가 보기만 해도 다운받는 효과를 얻게될 수 있습니다

자료실에 보면 팝업창을 막는 프로그램이 여러가지가 있습니다.
이런 프로그램도 최신 버전으로 설치하는 것이 중요합니다.

왜냐하면
팝업창막는 프로그램이 나오면 또 이 프로그램을 속이는 기술로 팝업창을
띄울 테니까 이것도 바이러스 처럼 최신버전으로 갱신을 하는 것이 중요합니다.

팝업 창에 대해서 설명하다 보니까 악성코드까지 오게 되었는데..

악성코드를 "프로그램"이라고 칭할 때도 있고 그냥 "코드"라고 부르기도 합니다.
HTML에 삽입되면 코드라고 부르고
실행파일이나 DLL파일과 같은 프로세스를 만든다면 프로그램이라고 하는데...

문제는 일반 사용자들은 구별하기가 어렵지요
이제는 컴퓨터가 없는 곳이 없기 때문에
상식 선에서 알아 둘 필요가 있을 것 같아서 적었습니다.

악성코드 찌꺼기

2007.10.20 13:30 | 보안

악성코드 찌꺼지가 발견되었다고 하는데


질문


악성코드 찌꺼지가 발견되었다고 하는데...
유료로만 치료가능한건가요

아님 무료치료방법은 없는건가요??


분석 및 해결


악성코드 검사 프로그램으로 체크를 하면 찌꺼기라는 말을 많이 볼겁니다.

찌꺼기라는 것을 나름대로 알기 쉽게 정의를 내리자면

첫째는 레지스트리 키값이 됩니다.
{9938DDF0-9B5E-4D77-8387-4DD8AFCA1DEB}
이런식으로 16진수로 나타나는 것을 자주 볼것입니다.
이것이 레지스트리에 남아 있다면 찌꺼기 입니다.

또 하나는
.DLL 파일이나 .OCX 파일입니다

파일이 존재하는지를 악성코드 프로그램이 다 찾아볼까 하는의문이 들지요

악성코드 프로그램은 뒤지는 폴더는

인터넷을 하면서 다운받는 .OCX가 저장되는
C:WINNTDownloaded Program Files 일명 다운로드 폴더나
C:WINNTsystem32
C:Program Files
폴더를 체크를 합니다.

여기에 저장된 파일을 모두 점검하는것이 아니고 레지스트리의 키와 비교하여
찾아 내는 것입니다.

악성코드를 돌린 후에 나오는 에러 중에는
레지스트리에는 키값이 있는데 실제로 dll파일이나 ocx 파일이 없는 경우가
많을 수 있고
dll파일은 있는데 레지스트리 키가 없는 경우가 많이 있습니다.

찌꺼기라는 용어가 우리 문화에 나쁜이미지 이므로
나쁘게 받아 들여질 수 있는데..

심플하게 컴퓨터 용어적인 개념으로 받아들일 필요가 있습니다.

처리는 실제 레지스트리 키값이나 dll파일이 있는지 확인해보고
찜찜하니까 삭제를 하세요

단 문제는 dll파일을 삭제를 할때

탐색기에서 날짜 순으로 소트를 해놓고
증상이 일어난 날짜와 dll파일의 날짜와 비교해서 삭제를 하면 됩니다.

단 dll파일을 먼저 삭제를 하지 말고
레지스트리 키를 먼저 삭제를 한 후

나중에 dll파일을 삭제를 해야 합니다.


추 가


오늘 설명한 부분이 악성코드를 수동으로 삭제를 하는 방법의 일부분입니다.

위의 그림에 있는 Active-x 컨트롤을 악성코드라고 가정하고 시작하죠

우선 익스플로러/옵션/일반/설정/개체보기에서 속성을 클릭을 하면
속성 값에 16진수 같은 것이 나오는데 이것이 레지스트리에 저장이 되는
클래스 값입니다.

이것을 레지스트리에서 찾는데
어디에 있냐면

레지스트리의 HKEY_LOCAL_MACHINESOFTWAREClassesCLSID 이고

사용자 삽입 이미지


이 키값에 커저를 두고 찾기 메뉴로 찾으면
사용자 삽입 이미지


그리고 하위에
InprocServer32 키에 해당 파일이 설명이 되어 있는 것입니다.

사용자 삽입 이미지



위 그림을 보니까
웹하드에서 사용하는 컨트롤이군요

system32 폴더에 webhardlauncger.ocx의 정체가
웹하드를 뛰우면 나타나는 화면들입니다.

그런 웹하드를 쓰지 않으려면
레지스트리에서 먼저 키를 지우고

그리고 탐색기에서 ocx파일을 지우면 되겠죠..