좀비 피씨의 마지막 운명..지워도 지워도 되살아나는 파일들

처음 본인의 pc 가 해커에게 빙의가 된 좀비 피씨가 되어 해커의 손에 좌지우지 시스템이 말썽을 피웠을 때

태연하게 관망만 하던 분들이었는데,

이제 그분들pc 가 두 대가 동시에, 함께 인터넷이 마비되고...등등의 사유로고장이 나게 되어

점검해 보았는바, 이 분들 피씨도 빙의가 된 채 오래 생활하다가

장렬히 좀비피씨의 최후 증세를 겪고 장애를 그간 겪어왔던것으로 보인다.

다행히 그간 오랜 기간 해커로부터 고통받은본인이 그간 익힌 노하우를 통해응급조치로

시스템을 새로 복구해냈다.

사실 좀비피씨의 마지막운명은 해커가 자유자재로 해당 피씨를 사용하고 또 다른 해킹에 이용하다가

최후에는 그 흔적을 없애기 위해 시스템을 마비시켜 폐기시키는 단계로 넘어간다고 본다.

예를 들어좀비피씨를 디도스 공격에 이용했다거나, 시스템에서 무슨 활동을해커가 하였는데,

그것을 그대로 두고 떠나면 차츰차츰 최종 피해지에서부터 역추적해서 들어 추적해오면

결국 해커 자신의 정체가 탄로난다거나, 아니면자신의 해킹 사실이나 방법 내역들이

탄로가 나기 때문이라고 추정해본다.

그래서 좀비피씨를 이용이 끝날 때 즘 적당히 망가 뜨리고 떠나면

좀비 피씨 보유자들이 알아서 포맷도 하고,,새로 장비도 구입하고 해서

해커가 활동한 내역을 전부 없애게 되고..해커 자신은 홀가분하게 된다..이런 과정이 아닌가 싶다.

일전에 처음 본인의 컴퓨터가 해킹되었을 때도 글을 올렸지만,

본인도 해킹 사실을 알게 되어 방어를 시작한뒤부터는

오히려 해커가 노골적으로 본인의 시스템을 파괴하려고 나서서

방어하느라 엄청 힘들었다.....그 긴 사연은 모두 생략하기로 하고..

본인이 해킹을 당하면서 어떻게 상대가

내 시스템의 권한을 취득하고 조종하고 그리고 이렇게 자신 맘대로 망가뜨리고 사라지는가를

생각해보니 다음과 같은 방안을 취한 것이 아닌가 의심해보게 된다..어디까지나 의심일 뿐인데

직접 당해보면 하나하나 알게 된다고 본다.

해커가 별도의 트로이 목마 프로그램 같은 것을 다운받게 해서 해킹하는 경우도 있지만,

본인의 경우에는 그런 것이 아니었던 것으로 보인다.

그리고 지금다른 분들의피씨가 이렇게 된 과정도그런 것이 아닌 것으로 보인다.

즉 직접 트로이 목마와 같은 프로그램을 침투시키기도 하겠지만,

그것보다는 다음의 방안이 아닌가 추정해본다.

원래 윈도우에는 원격조정툴이 내장되어 있다.

참고로 - 내 컴퓨터- 오른쪽 클릭 - 속성 탭에 보면 원격조정 툴이 있다.

내 컴퓨터 - 오른쪽 클릭 - 관리 - 서비스 항목을 보면remote registry 항목은 원격조종을 통하여

자신의 시스템의 레지스트리를 마음껏 수정하면서 사용하게 되어 있다.

결국 윈도우 자체가 이런 원격조정 기능을 처음부터 내장해서 편리하게

사용자가 시스템을 원격조정하게 하면서

컴퓨터를 사용하게 되어 있다.

그런데

어떤 경로이든

이 원격조종자가 사용자 본인이 아닌 경우에는 윈도우 시스템이 그대로

트로이 목마의 도구가 되는 것이다.

그것은 또 달리 말하면 다른 해커가 원격조종자의 권한을 취득하는 경우에는

윈도우에 내장된 기능을 그대로 사용하여

다른 이의 컴퓨터를 자신이 빙의한 좀비피씨로 만들 수 있다는 의미도 된다.

특히 어둠의 경로를 통해 다운받는 os 는 그런 경향이 훨씬 심하다.

어둠의 경로를 통해 다운받는 경우는

자신은 자신의 시스템이라고 믿지만,

사실은 배포자의 시스템을 배포자 누군가가 원격조종이 가능한 상태로

자신의 pc에 하나 깔아둔 것과 같은 결과라고 생각이 되는 것이다.

그러나 어둠의 경로이든

정상적인 윈도우이든

어느 순간 원래 내장되어 있는 원격조정 도구설정과 관리권한을 취득한 이가

이 원격조정 권한을취득하여 조정하기 시작하면

굳이 트로이 목마 프로그램을 침투시키지 않아도 얼마든지

다른 이의 컴을 조종할 수 있다고 본다..

이런 위험성을 처음 주변에 알렸으나

계속 지나친 과민이라는 등 조소만 받다가..

이제 자신들의 컴이 어느날 갑자기 뜻하지 않게

이상하게 한날 한시에 동시에 다 마비되고 나서,,

자신의 컴에도 그런 문제점이 있었나 하는데,

- 사실해커의 입장에서는 한심한 컴에 잘못 침투해서 화가나서 그랬을 가능성이 더 크다..-

이 컴은 도대체 언제 은행을이용하는 거야??아무리 기다려도...에잇/// 이랬을 가능성이 더 크지 않을까..

^^

참고로 이렇게 윈도우에 내장되어 있는 기능을 이용하여

어둠의 경로의 윈도우의 어떤 배포자가 해킹을 한다면,

그렇게 해서 멀리 있는 파일 등은

멀리 있는 원격조종자가다시 어떻게 취득해 가져 갈 것인가...

당시에 의문이었다.

그래서 가능성을 찾아서

여러 원격 통신관련 dll 이나 프로그램을

하나하나 삭제해보거나 지켜보면서 테스트해보았는데

그러는 가운데

아주 이상한 현상을 발견하였다.

아무리 지워도 지워도

다시 한 5초후 정도면 되살아나는 시스템 이나 프로그램 들이

윈도우에는 몇몇이 있다는 것을 알아낸 것이다.

처음 이런 성질을 갖는 파일은

오래전에 usb 매체에 잘 걸리는autorun 바이러스에서 처음 발견했는데

이 바이러스 파일들을 발견하고나서 아무리 지우고 또 지워도

몇 초후면 다시 되살아나는 뱀파이어 불사신과 같은 특성을 갖는 것이었다.

바이러스 퇴치 프로그램을 사용해서 간신히 퇴치하기는 했었지만,

그런데

윈도우 안에도 그런 파일들이 몇몇 있다는 사실을 알아낸 것이다.

처음 해킹을 당했을 때,

외부 원격조종자가 이용할 만한

프로그램들로 메신저나 아웃룩 익스프레스 텔넷 등

통신관련 프로그램이나 시스템 파일들을 의심하고 하나씩 테스트 해보았다.

이들 파일들은 원래 본인이사용하지 않는 파일들이기때문에

삭제하고 지켜봤는데

아무리 삭제하고 또 삭제해도

한 5초후에 폴더를 다시 열어보면

어김없이되살아나 있는 것이다.

^^

윈도우에 꼭 필요한중요한 시스템 파일이라고 해도

그렇게까지 지우고 또 지우는데도

절대 안 지워져야 할 어떤 운명적인 임무라도 있는 것처럼~~~

사실 처음부터 안 지워지는 파일도 있다.

시스템에서 사용하거나 보호하는 파일들이 그렇다.

그래서 시스템에 매우 중요한 파일들은왠만해서는 지울 수 없게 되어 있는 경우도 있다.

그러나 지워지기는 쉽게 잘 지워지는데

한 5초후면 어김없이 살아나서

결코 지울 수 없게 되어 있는 파일이 몇몇 있다는 것이신기하지 않은가..( 나만 그런가??) ..

^^

여러분도 심심하면 테스트삼아서,

c:\Program Files\Outlook Express\ 폴더안의 파일을

열심히 지워보기 바란다...

그 외에도 곳곳에 이런 류의 성질을 갖는

통신과 관련된

시스템 파일 프로그램 dll 파일들이 많이 있다.

알아내려고 해서 알아낸 것은 아니고,

해커에 방어를 하려고

어떤 것들이

시스템 안에서 작동하는가

열심히 컴퓨터 프로세서를 지겨보며 작업하다가,

이상한 것들이 움직이는 것을 확인하게 되면

그것을 추적하다 보면

공교롭게 이런 파일들이 이런 특성을 갖고 행동하는 것을

알게 된 것 뿐이다.

사실 이것도 퇴치하는 방안이 있긴 하다.

도무지 지워지지 않는다. .

그러니까 옛날autorun 바이러스 퇴치하듯, 퇴치하는 것인데

이 지워도 지워지지 않는 autorun 바이러스 퇴치 프로그램 가운데

어느 하나는

이 바이러스가 위치하는 곳에 미리 양호한 파일을 넣고

그 파일을 쓰기 금지하도록 만드는 퇴치 방법이 한때 있었다.

=> 그래서 이를 모방해서,,해본다..

양호한 가짜 파일을 준비해두고 지우고자 하는 파일과 같은 이름으로 만들고 일단 덮어 씌운다.

-> 잘 안 통한다..그래도 다시 원 파일로 귀신처럼 복구해낸다..^^

그래서 지운후 곧바로 그 폴더를 쓰기 금지 속성 보안탭으로 바꾸는 방법을 사용해본다.

권한자를 전부 없앤 폴더로 만드는 것도 한 방법..

일단 이 작업을 할 때는 삭제후 그 파일이 다시 되살아나기 5 초안에 이 작업을 마치도록 하면

그 작업이 성공하기는 한다..(그러나 막상 해보면 힘들다..보안탭이 뭔지 모르는 분은 그냥 포기..)

물론 이들 파일이 이런 특성을 갖는다고 해서

이들 파일이 정말 해킹에 사용되는 파일인지

아니면 윈도우제작자들이 특별히 이들 파일은 중요하다고 보고 본래 제작시부터 이렇게 장치를 한 것인지.

등은 알 길이 없다.

그보다 중요한 것은 이런 성질을 갖는 파일이

시스템 안에 상당히 된다는 점, - 원격조종 송수신에 관여한다고 의심되는 시스템 파일들 가운데 많다..-

그리고 다 찾아내 잡아도

해커의 조종이 없어지는 것이 아님을 확인했다는 점,,,

^^ 그래서 전문가가 아닌 본인과 같은 경우

나중에는 지쳐서 이제 그러려니 포기하게 된다는 점..

그렇다.

outlook express 같은 프로그램은 본인 입장에서는

거의 쓰지 않기 때문에

하나 지우거나

없애도 된다고 보고 테스트해 본 것 뿐이고, ,

하나하나 다 해도

그 뒤에도 해커의 집요한 파괴 공격은 계속되므로

요즘은

그냥 왠만하면 동거하는 체제로 살고 있다..

요즘은 단지내 시스템을 파괴하지만 못하게~~하고

계속 같이 동거하고 있는 상태로 살고 있는 것이다.

해킹을 하던지 말던지

자료를 빼가던지 말던지

나 이용하는데

속도만 잘 나오고

인터넷만 되면 되었지...

이게 요즘 컴 사용의 최고 목표로 삼고

열심히 사는 중~~~

이런 목적으로 다른 분의피씨도 하나 복구를 해드리고

기념으로 글도 올려보는데,,

그다지 만족스럽지는 못하다..

그래도 적당히 잘 되니,

이 상태로 시스템을 굳혀서

~~보호를 해줘야 되겠어요,,

기념으로 고스트 백업도 하나 해드렸으면 하고,,

아니면 적당히

deep freeze 프로그램 등을 써서

피씨방처럼부팅하면 계속 지금 이 정도상태로 계속 복구되도록,,

해 놓고 마칠까 합니다.

좀비피씨어도 좋으니까

나중에 부수지는 말고 갔으면 좋겠어요