좀비 피씨가 되어 동시에 같이 부서진 컴퓨터 들을 수리 중
윈도우도 새로 깔고 하는데
usb를 떼었다 부쳤다 하는 과정에서
새로 깐 시스템에 autorun 바이러스가 걸렸다.
루트에
6imy1dy.exe
autorun.inf
파일이 생겼는데
수상해서 삭제하니 계속 부활한다.
이 파일은 참 수상하다.
무엇을 하는 프로그램인가 하고 클릭해보면
마치 explore 처럼 기능한다.. 폴더도 보여주고
ftp 기능까지 수행하는 듯 한데
인터넷에 검색을 해보니 마땅한 치료방법이 없고
google 로 검색하니
세이프모드로 들어가서 삭제하고
..등등 복잡하다.
귀찮기도 하고,
결국
지워도 지워도 되살아나는 이런 바이러스형 파일에 대한 고전적인 치료방법을 사용하기로 했다.
위 두 파일에 대한 보안탭을 열어서
사용권한자를 다 삭제해버리는 방안이다.
그러면 파일을 클릭해도 이제 파일이 전혀작동할 수 없게는 만들 수 있다.
바이러스라도 기능을 못하게 되는 것이다.
아마 바이러스 퇴치프로그램을 사용한다는 등 다른 치료방법이있겠지만,
일단 이 바이러스 프로그램과 파일들이작동 자체가 안되게 하는 방법은 된다.
-
그런데 부작용이 생겼다.
이렇게 이 파일들을작동 중지시키니,
' 내컴퓨터' 아이콘을클릭해 드라이브를 열어보려니
exploer기능에서 오작동이 일어난다.
오류창이 뜬다.
바이러스 걸린 각 드라이브를 권한이 없다면서 열어주지도 않거나,
exploer가 오류가 발생한다는 메세지가 나타난다.
바이러스가 그 전에 자신이 폴더도 열어주고 여러 기능을 대신 복합적으로 했었나 본데,
그것을 작동 중지시키니
이런 부작용이 생기나 보다.
그러나 토털커맨더로 열어보면 각 폴더나 파일들에별 이상이 없다.
오류창이 뜨는 경우는
일단 무시하고 오류창만 아래로 일단내려 놓고
각 드라이브와 폴더를 열어보면 파일들은 역시 다 정상작동한다.
그러나 오류창 메세지를 확인 클릭하면 화면을 물갈이한다.
전문적인 치료방법이 있겠지만,
일단, 임시방편으로
지워도 지워도 되살아나는 이런 바이러스성 파일들을
일단 무력화 하는데는
보안탭에서 사용권한자를다 없애는 것도 한 방법이라고 본다.
●
바이러스 퇴치 프로그램을 굳이 사용하지 않고
이런 방법을 사용하는 이유는
정상적인 프로그램인데
이런 식으로 트로이목마나 바이러스성으로 활동하는 것들이
상당히 많다고개인적으로 생각하기 때문이다.
앞 글에서도 말했듯,
정상 윈도우에포함된 원격지원 기능
그리고 정상 윈도우에포함된 통신에 사용되는 여러 프로그램과 시스템 파일들을 가지고
이들을 조합해 사용하면
결국 다른이가 트로이 목마 기능을 수행하여자신의 컴퓨터를 원격조정하면서
관찰하고 사용할 수 있게 된다.
그리고 이런 경우에는
바이러스 프로그램을 아무리 돌려도 나타나지 않는다.
그러나 해킹은 이루어진다. 이 점이 중요하다고 개인적으로 보는 것이다.
실례로 아웃룩 익스프레스 폴더c:\Program Files\Outlook Express\
안의 파일은
개인적으로 사용하지 않기에,
지워보려고 했지만 아무리 지워도 5초 후쯤에는 어김없이 다시 살아난다.
무언가 이상하다는 생각은 들기는 드는데,,
원격지원에 사용되는
다른 몇몇 시스템 dll 파일들도
공통적으로 이런 성격을 갖고 있다.
아니 사용할 생각도 없는 이런 파일들만
유독 지워도 지워도 다시 되살아나는 기능을 갖고
윈도에 장착되어 있어야 할 합리적인 이유가 무엇인가...
이들은 특히윈도우에 포함된 정상파일들이므로
바이러스 검사시에는 바이러스나 트로이 목마프로그램들이라고 검사되어
나오지 않는다.
개인적으로 원격지원 기능을 사용하지 않고
이들이 결국해킹에 사용되는 파일들로 보여 의심스러우므로
지워버리고 싶은데
왠지 지워지지 않고 어김없이 되살아나니.
더욱 수상하고 수상한 것이다. ^^
심지어 다른 파일을 같은이름으로 만들어
덮어 씌우기해봐도
정확히 알아내서 다시 되살려낸다...
결국 사용자가 사용하기를 원치 않아도
시스템에서는 매 5초 단위로
계속 그 파일의 변화여부를감시하고
정상으로 만들어 둬야 할 무슨 필연적인 이유가 있다.
그런데 그 이유가
사용자와 관계없는 그 무엇이다.
그렇게 해야할 이유가 무엇인가가,,,의문으로 남는 것이다.
사용자가원치않는
원격지원과 관련된 기능들이 그렇게 시스템에 필수적으로
필요한 이유가 무엇인가...
-->
결국 이런 경우는
정상 파일과 정상 시스템 파일들이
광범위하게
트로이목마 기능과 해킹에 이용되고 있다는 의심을 가능하게 한다.
그런 파일들이 너무 많아서 일일이 나열할 수 없는 사정은
이미 오래전에 적어 놓았다.
하나 찾아서 막고 또 시스템 상황을 지켜보면
또 나타나고 또 발견하고 또 막고 ,,,,,계속 그런다는 의미다.
너무 질려서 포기하게 만든다.
그러나 여하튼 최선을 다해 방어하려면
자신이 사용하지 않는 이런 파일들이
활동하는 것이발견되는데,
삭제하려고 해도 아무리 해도 삭제되지 않으면,
사용자는
그대로 파일을 두고
해당 파일이나 폴더에 대한 보안탭을 이용해
사용자권한을 다 지워버리면
일단은 삭제와 동일한 효과를 본다고 생각한다.
--
이런 시스템 파일들이 상당히 많다
기억이 나면 다 적어드리겠는데
-- 그것보다는 찾아내는 일반적인 방법이란,,
process나
일정한 프로그램이 작동시 어떤 dll 파일들을 함께 사용하는 가 등을
감지해내는 프로그램을 사용하여
시스템 상황 변동시마다 지켜보는 원칙적인 방안이 있다.
즉 초기 실행시 어떤 프로그램들이 작동하는가..를
감시하면서
이후 어떤프로그램을 실행하거나,
원격프로그램들을 직접 실행해보면서,
어떤 프로그램과 어떤 시스템 파일들이 사용되는가의 변화를
살펴보면 알 수 있다.
특히 바이러스성 프로그램은
초기 실행시부터 실행되게 만드는 경우가 많으므로
startup 프로그램 들을 관리하는 프로그램이나
모니터하는 프로그램을 기본적으로 설치하고
관찰하는 것도 기본적인 방어방법이다.
( 참고
startup-check.exe
StartupMonitor.msi )
그러나
자신이 정상적인 정당한 권한자이고
자신의 컴퓨터를 또 외부에 하나 갖고 있고,
이것을 정상적으로 원격조정해서 사용하고자 할 때는
어떻게 정상적인 방법을 사용하게 되는가,,
이 과정을 생각해보면 그에 동원되는 방법과 기능들이
전부 해킹에 응용될 수 있다고 본다.
결국 노골적인 바이러스타 트로이 목마보다도
위 '정상적인' 방법들이 더 위험한 바이러스나트로이 목마가 될 수 있다고 본다.
또 역으로 이런 해킹에 대비하려면,
그런 정상적인 과정의 일부를실행이 안 되게해야되는데,
여기에 동원되는 프로그램이나 시스템 dll 파일들이 삭제가 안된다는
공통점을 갖고 있다.
삭제하면 다시 부활하고
( 사람들도 그러면 좋을까요??-- 불사신--뱀파이어--)
이런 때 위 방법을 사용하여 보안탭의 사용자권한을 다 삭제하고 처리하면
임시 방편이 된다는 의미다.
●폴더나 파일의 보안탭을 열러 사용자 권한을 변경하고 삭제하는 등의방법을
초보자들은 모르는 경우가 대단히 많다.
그래서 다시 아래에 조금 자세히 소개하기로 한다.
간단히 말하면,
폴더나 파일을 마우스 우클릭해서 속성탭을 클릭하고,
보안탭을 클릭한 다음 사용권한 있는 이들을 모두 삭제하는 방법이다.
만일 속성탭을 클릭할 때보안탭이 안 나타나는 경우에는
먼저 다음과 같이 해야 한다.
내컴퓨터를 클릭후 익스플러어에서
- 도구-폴더옵션-보기-모슨 사용자에게 동일한 폴더공유권한을 지정을 체크 해제해야 한다..
이 때 이들 바이러스 파일들이 숨김 시스템 파일들로 속성을 위장해 놓기 때문에
- 보호된 운영체제파일숨기기도 체크해제해야 하고
숨김 파일 및 폴더표시는 체크해야 한다.
그런데 참고로 이미 시스템에 바이러스가 걸린 상태에서는이렇게 설정을 바꾸어도
해당파일이 안 보인다.- 어떻게 했는지는 몰라도
뻔히 있는지 아는 그 바이러스 파일들이 안 나타난다..( 재미있어용,,)
결국 이런 경우에는
토털커맨더에 의존해서 토털커맨더에서 환경설정- 옵션- 화면 - 화면표시 부분에서숨김파일보기로 설정하고
들여다 보아야 보인다..이렇게 하면 또 다 보인다. ( 설명하다보니 정말 어렵다.. )
그리고 위와 같이 한 상태에서
해당 파일에서 우클릭- 속성- 보안 탭을 열고,
고급을 누르고 - 사용권한에서
부모개체가 가진 사용권한을 자식개체에 적용 부분- 을 체크해제 하고,
기존 사용자를 복사한다.
그리고 이 상태에서
나타나는 사용권한자들을
모두 삭제한 후적용버튼을 누른다.
이렇게 하면 일단,
해당 파일은 -- 모든 사용자가 이후 사용하지 못하는 불능파일이 된다.
해커나 바이러스 조종프로그램도 일단 그 파일이나 폴더는 사용불가가 되리라고 본다.
즉 시스템 어디에선가 해당 파일을 사용하여 바이러스 기능을 실행시키려 해도
실행하지 못하게 된다.
다만,
명백한 바이러스 파일들인 경우
어디까지나 임시적인 방법이고
좀더 완벽하게 퇴치시키려면
바이러스 퇴치 프로그램을 작동시켜 보시길...~
***
참고로
autorun 바이러스와 같은 경우는
usb 매체등을 통해 잘 감염이 된다.
어떻게 치료해서 삭제하더라도
여기 저기 옮겨다니며 사용하다가
또 걸리기도 쉽다.
이런 경우는 차라리
기존 바이러스 파일을 그냥 두고
위와 같이 불능화시키는 것도 한 대처 방법임~~
***
아주 한가하면
일일이 화면캡처해서 방법을 올려드리고 싶지만,
설명한 대로 잘 해보세용..
참고로 위 6imy1dy.exe 파일은
실험을 위해서 클릭해보면
우선
c:\WINDOWS\system32\ 폴더안에
risabc.exe
risabc0.dll
을 생성시킨다.
삭제하면
risabc1.dll ..이런식으로 자꾸 생성하는 듯,,
그리고
risabc.exe 파일이
6imy1dy.exe 파일과 같은 파일이다.
아마 없어지면 이 파일로 복사해 넣는 듯하다.
그리고
윈도우 레지스트리에
Hcku 에 run 항목에
C:\WINDOWS\system32\risabc.exe 을
부팅시 자동으로 실행하도록 startup프로그램으로 등록시킨다..
이 프로그램이 또 각 드라이브에
6imy1dy.exe 를 복사해 넣고 ..관리하는 듯,,
여하튼,,이것은 명백한 바이러스 트로이 목마기능을 하는 프로그램인데
이것하나가 문제가 아니고
전체 윈도우 각곳에서 가지가지 방법으로
정상프로그램 시스템 파일들을 조합하여
해킹을 시도하는 경우가 더 큰 문제라고 본다..
바이러스 다 퇴치하고 안심하고 작업하는 순간들에 끼어들어
다시 해킹하는 것이니,,^^
>>>
