● 이번에 좀비피씨가 된 컴들을 수리하면서 오토런 바이러스가 걸려 있는 것을 확인했다.
>>>
● 오늘날 각 개인이나 단체들이 pc 사용을 일반화하고
모든 중요한 개인이나 단체 업무를 pc를 통해서 처리한다.
그런데 바로 이런 내용이 해
커의 주된 해킹 관심 대상임은 주지의 사실이다.
이로 인한 해킹피해가
은행이면 은행,
카드업체면 카드업체,
각종 관공서의 업무면 업무
그리고 개인에게서도 재산상 피해를 유발시킬 가능성이 크다.
특히 좀비피씨로 기능하게 되는 경우
또 다른 해킹
예를 들어 디도스 공격등에 동원되고
그리고 해커가 좀비피씨를 이용한 다음에는
자신의 해킹 사실을 노출시키지 않게 할 목적으로
최후에 해킹에 이용한 해당 시스템을 파괴하고 떠나는 경우가 많아
여러 가지 피해를 만들어 내는 것으로 보인다.
● 이미 오래 전에 개인적으로 해킹피해를 경험하면서,
해커들이 이런 바이러스나 트로이 목마 같은 특별한 프로그램도 사용하지만,
특히 윈도우에 원래 내장된 원격지원 기능과
윈도의 정상적인 시스템 파일이나 프로그램을 이용해
결국 트로이 목마와 동일한 기능을 수행할 수 있음을 말한 적이 있다.
그런 현상은 어둠의 경로의 os의 경우로 시스템을 설치한 경우는 특히 심하다.
이런 os 사용자는 그 os를 설치한 컴퓨터가 자신이 소유자인 것으로 알고 사용하지만,
사실은 그런 os를 만들어 배포한 이가 소유자 권한을 취득한 상태이고
배포를 받아 설치한 os 시스템은 그 배포자의 소유 시스템과 마찬가지인 셈이 된다.
그래서 정당한 소유자가 자신의 또다른 컴을 원격조정 기능을 이용해 사용하듯,
곧바로 별도의 트로이 목마 프로그램 등을 침투시키지 않고도
트로이 목마와 같은 원격조정을 하면서 사용할 수 있는 것으로 보인다.
특히 이런 방법은 바이러스나 트로이 목마프로그램 퇴치 프로그램을 사용한다해도
검색되어 나오지 않으므로
일반 바이러스나 트로이 목마 프로그램보다 더 위험성이 크지 않나 개인적으로 생각한다.
처음 본인의 컴퓨터에 외부사용자의 침입 흔적이 발견되고,
거기에 대해 방어를 시작하자,
곧바로 집요한 해커의 시스템 파괴 시도가 연일 계속되어서,
시스템이 망가진 경험이 있다.
이것을 복구하기 위해서 붙이는 usb 하드까지 부팅시마다 다 망가져서
복구에 상당히 애를 먹은 경험이 있다.
그 자세한 해킹방법까지는 알 수 없지만 일단 복구를 한 후
해커가 어떤 식으로 해킹을 하고
해킹한 자료는 어떻게 이송받아 이용할 것인가를 추정하여
관련파일들을 검사해 본 적이 있다.
그러던 과정에
윈도우에서 원격조정이나 통신에 이용될 만한
프로그램 파일이나 시스템 파일들 가운데 일부는
아무리 삭제해도 다시 5초후 정도에는 되살아나는 현상을 발견했다.
오토런 바이러스가 걸렸을 때도 그런 유사증세가 나타나는데,
이런 윈도우 정상파일들도 그런 증세를 갖는 것을 확인하고
의구심이 생기기 시작했다.
이것들이 과연 윈도우 시스템에 없어서는 안될 중요한 파일들인가.
개인적으로 이들 파일들을 모두 사용불능상태로 만들어도
윈도우나 인터넷 이용에 하등 지장이 없음을 확인했다.
그럼에도 사용자가 사용을 원하지 않아 삭제하는 파일들이
지우면 5초후에는 반드시 살아나야만 하는 무슨 불가피한 사유가있는가?
개인적으로 이것들이 해킹에 직접 이용된다는 확증은 갖고 있지 않지만
앞과 같은 이유로 심히 의심되는 증세라고 본다.
그래서 원격조정과 원격 송수신과정에 이용될만한
이런 윈도우 시스템과 프로그램 파일 가운데
지워도 지워지지 않는 파일이나 폴더들은
모두 사용권한자를 제거하여 사용불능으로 만들어 두었다.
윈도우에 정상적으로 설치되는 폴더와 프로그램 가운데
이런 해킹에 동원된다고 보이는 폴더(파일들)
특히 파일들을 지워도 지워도 다시 되살아나 일단 의심을 갖게 하는 폴더들의 내용은 대강 다음이다.
\Program Files\Messenger\
\Program Files\MSN Gaming Zone\
\Program Files\NetMeeting\
\Program Files\Outlook Express\
\windows\system32\mstsc.exe <- 원격조정 해당 프로그램임.
이것들을 불능화시키고도 해킹이 완전히 소멸하지 않고
계속되는 징후가 보임으로, 이후에 더 세밀한 조사는 중단하고
더 이상 해커가 시스템만 파괴하지 않게 되기를 바라고 ( 더 이상 조사는 포기하고 )
본 업무로 돌아왔기에, 아마 그 외에도 더 있으리라 보지만
지금 기억나는 내용이 위와 같다.
- 이들이 아무리 지워도 5 초후면 다시 복구되므로,
무언가 이들을 5초마다 감시해서 원상복구하게 만드는 시스템이 있으리라 보지만,
그 확인은 하지 못했다.
여하튼 컴퓨터가 주인말을 안 듣고 삭제가 안돼서 좀 기분이 나쁘고 의심스럽다.
여하튼 그래서
더 이상 지우는 노력은 포기하고,,
해당 파일들을 지우지 않고 그대로 둔 상태에서
사용불능으로 만들기 위해
해당 폴더나 파일들의 속성 -보안탭을 클릭하여
사용권한자를 모두 삭제해서
사용불능 상태로 만들고 처리를 마친 적이 있다.
- 사용권한 자들을 모두 삭제해 사용불능으로 만드는 방법은 맨 아래 별도 참고 -
그 외에
자신이 자신의 다른 컴과 원격조정기능을사용하기를 원하지 않는 사람은
기본적으로 시스템 설치 후
내컴퓨터-우클릭-속성-원격 탭을 클릭해 원격조정기능을 해제시키는 것
그리고
내 컴퓨터 -우클릭- 관리 탭 클릭 -서비스 및응용프로그램 - 서비스 - remote registry 항목 - 우클릭 - 속성
- 시작유형 -> 사용안함
서비스상태 -> 중지로 설정을 바꾸는 것도 기본적으로 필요하다고 본다.
한편 참고로 다음 사항도 있다.
어둠의 경로의 os 설치 상태인 경우는
정상 os와 달리
제어판 - 사용자계정- 탭에서
관리자 계정을 새로 만들거나 변경시키거나 암호를 설정하거나 하면
이후 시스템 자체가 사용불능으로 바뀌는 현상도 나타난다.
주의할 사항이다.
원래 어둠의 경로 os는 관리자나 소유자권한자가
해당 os를 설치하는 이가 아니고
그 os 를 만들어 배포하는 이이기 때문에 나타나는 현상으로 짐작할 뿐이다.
사실 정상 os 인 경우에는
자신이 소유자나 관리자 권한자이고
다른 이의 침투를 방지하기 위해
부팅 로그인시 암호도 설정하는 것이 가능해야 하는데
어둠의 경로 os는 이런 시도를 하면
시스템 자체가 이후 사용불능상태로 바뀐다는 의미다.
그러니 상황이 이런 경우라면
이렇게 방어하려는 시도만은 자제할 필요가 있다고 본다.
>>>
참고로 이런 해커가 침투하여 활동하다
발각된후 해당 시스템을 파괴하려고 시도를 하는 경우,
일단 해당 시스템을 파괴하는데
그런 과정의 한 방법으로
그 시스템에 부착한 디스크 내용이나
그 시스템에 부착시키는 usb 드라이브의 내용들을 일정기간 못 열어 보고 사용못하게만드는 것으로 보인다.
심지어 부팅에 필요한 부팅 파일들만 일시간 사용불능상태로도 만들기도 하는 것으로 보인다.
이런 증상은 해당 시스템을 정상 고스트파일로 복구한 이후에도 계속 나타난다.
다른 usb pe 시스템으로 해당 시스템을임시 부팅해서 해당 디스크 내용을 살펴보면
이미지파일들이 정상 복사되어 정상 복구된 것으로 보이는데
부팅에 필요한 파일들만 사라져 보이지 않는다.
해커가 어떻게 그런 작동을 시키는 것인지 그 자세한 해킹방법까지는 몰라도
그런 증세가 일정기간 나타난다.
그런데해킹되지 않은 ( lan과 분리된 ) 다른 정상 컴의 시스템에 부착시켜 보면
그런 해당 드라이브 내용들이 모두 정상상태로 작동함을 확인할 수 있었다.
또 부팅에 필요한 파일들도 정상상태로 있음을 확인하였다.
그러나 좀비피씨로 활동했던 시스템에 부착시키면 사용되지 못한다.
그러나 또 해킹된 시스템도
전원플러그를 아예 빼놓고 일정시간 경과후 재부착시키면
또 정상 확인되고 작동되는 것도 볼 수 있었다.
그래서 추정하건대 아마 일정기간만 저장되었다가
일정기간 후에 저장기록이 소멸되는 ram 등에
해킹툴을 삽입시켜 놓지 않았나, 추정만 해보지만,
자세한 사정은 알 길은 없다. (해커에게 직접 어떻게 했는지 문의해볼 수도 없고~~~)
특히 복구된 이후 비슷한 증세가 반복하기도 하는데,
이런 경우 시스템 사용 중 puremem 프로그램을 사용해
메모리에 상주한 것들을 일단 모두 삭제하고
재부팅하면 그런 증상이 일단 사라지는 것을 볼 수 있었다.
>>>
이번에 수리한 좀비피씨에 침투한 오토런 바이러스도
그런 기능을 조금 선보이는 것으로 보인다.
● 이번에 시스템이 망가진 좀비피씨들에 걸렸던 것으로 보이는 오토런 바이러스
즉, autorun.inf+ 6imy1dy.exe + 등의 오토런 바이러스도
비슷한 증세를 보인다.
우선 6imy1dy.exe파일을 실행해보면
이 파일이 마치 윈도우 explorer 와 같은 기능을 해서
파일 열어보기기능도 수행한다.
또 google을 검색해 확인해보니
심지어 ftp 기능도 하는 것으로 보고되어 있다.
그리고 이 바이러스가 걸린 상태에서
내컴퓨터 - 도구- 폴더옵션 에서
숨김 시스템파일 보기등을 설정해도 이들 파일은 나타나 보이지 않는다.
- 다만 토탈커맨더에서 환경설정-옵션-화면-숨김 시스템 파일 보기를 체크하고 확인하면
이들 파일들을 모두 살펴볼 수 있다.
또 이 파일들을 불능화하면,
이후 내컴퓨터에서 해당 드라이브를 이후 열어 볼 수 없게 되거나,
'내컴퓨터'를 실행시 에러를 발생시킨다.
- 다만 무시하고 에러창을 내려 놓고 실행하면 이상이 없다.-
- 또 다른 파일매니저 프로그램 예를 들어 위 토탈커맨더로 실행하면 정상적으로 작동한다.-
● 망가진 좀비피씨들을 복구하고 수리후
위 오토런 바이러스가 걸린 경로가 의심스러워
연구실내 컴들과 다른 usb 드라이브들도 확인해보았는데
다행히 이것들은 이상이 없었다.
아마 이번에 파괴된 컴들에서부터 이들 오토런 바이러스가 걸리기 시작했던 것으로 막연히 추정해본다.
오토론 바이러스에 대해서는 이미 그 증세를말했는데,
드라이브 룻트에 숨김 시스템 속성 파일로 autorun.inf 파일이 있고
이것이 연결시 실행되면서 다른 파일을 실행시켜 트로이 목마나 바이러스 기능을 한다.
또 시스템 폴더에 파일을 숨겨 놓고 이것을 다시 스타트업(초기실행) 설정 레지스트리에 등록한다.
그리고 이들이 서로 연계하여 autorun.inf에서 실행하기로 되어 있는 파일을 삭제하면
끝없이 이것을 되살려 내서 삭제가 매우 곤란하다.
- 이것은 앞에 말한 윈도우 정상 프로그램이나 시스템 파일들 가운데에서도 이와 비슷한 증세를 보여
결국 이들이 해킹 도구로 이용되는 것으로 의심하게 되는 이유이기도 하다 -
결국 응급처리 차원에서 해당 파일들을 모두 찾아 사용권한자를 모두 삭제해
사실상 파일사용을 불능하게 만들고 처리를 마쳤다.
폴더나 파일의 보안탭을 열러 사용자 권한을 변경하고
삭제하는 등의방법에 대해서는
다른 글에서 썼기 때문에 해당 부분을 복사해 넣고 마친다.
참고로 위와 같은 autorun 바이러스가 안 걸린 상태에서
미리 예방하려면 정상적인 파일을 autorun.inf 파일로 만들고
이것을 각 드라이브에 복사해 넣고
해당 파일들의 사용권한 자를 모두 삭제해서
불능상태로 만들어 두는 것도 한 방법이라고 본다.
이후에 오토런 바이러스가 침투한다해도
해당 파일을 삭제하거나 덮어씌우기 하지 못하게 된다.
그러니 목적을 달성하지 못하게 된다고 보기 때문이다.
그러나 해커가 나중에는 이제 사용권한 내용도 또 변경시키면서까지 침투시킬 지도 모르겠죵
우선 그 때까지는 방편이 될 듯함.
● 그간 좀비피씨 복구하면서 비슷한 관련글을 많이 올렸다.
일목요연하게 잘 체계적으로 정리되어 있지는 않지만
그래도 일반 pc 사용자들에게 도움이 되기를 ~~~~
--- 참고 ---- http://blog.paran.com/story007/46092869
● 폴더나 파일의 보안탭을 열어
사용자 권한을 변경하고 삭제하는 등의 방법을
초보자들은 모르는 경우가 대단히 많다.
그래서 다시 아래에 조금 자세히 소개하기로 한다.
간단히 말하면,
폴더나 파일을 마우스 우클릭해서 속성탭을 클릭하고,
보안탭을 클릭한 다음 사용권한 있는 이들을 모두 삭제하는 방법이다.
만일 속성탭을 클릭할 때
보안탭이 안 나타나는 경우에는
먼저 다음과 같이 해야 한다.
내컴퓨터를 클릭후 익스플러어에서
- 도구-폴더옵션-보기-모든 사용자에게 동일한 폴더공유권한을 지정을 체크 해제해야 한다.
이 때 이들 바이러스 파일들이
숨김 시스템 파일들로 속성을 위장해 놓기 때문에
- 보호된 운영체제 파일숨기기도 체크해제해야 하고
숨김 파일 및 폴더표시는 체크해야 한다.
그런데 참고로 이미 시스템에 바이러스가 걸린 상태에서는
이렇게 설정을 바꾸어도 해당파일이 안 보인다.
- 어떻게 했는지는 몰라도 뻔히 있는지 아는 그 바이러스 파일들이 안 나타난다. ( 재미있어용)
결국 이런 경우에는
토털커맨더에 의존해서
토털커맨더에서 환경설정- 옵션- 화면 - 화면표시 부분에서숨김파일보기로 설정하고
들여다 보아야 보인다.
이렇게 하면 또 다 보인다. ( 설명하다보니 정말 어렵다.)
그리고 위와 같이 한 상태에서
해당 파일에서 우클릭- 속성- 보안 탭을 열고,
고급을 누르고 - 사용권한에서
부모개체가 가진 사용권한을 자식개체에 적용 부분- 을 체크해제 하고,
기존 사용자를 복사한다.
그리고 이 상태에서 나타나는 사용권한자들을
모두 삭제한 후 적용버튼을 누른다.
이렇게 하면 일단,
해당 파일은 -- 모든 사용자가 이후 사용하지 못하는 불능파일이 된다.
해커나 바이러스 조종프로그램도
일단 그 파일이나 폴더는 사용불가가 되리라고 본다.
즉 시스템 어디에선가 해당 파일을 사용하여
바이러스 기능을 실행시키려 해도
실행하지 못하게 된다.
다만,
명백한 바이러스 파일들인 경우
어디까지나 임시적인 방법이고
좀더 완벽하게 퇴치시키려면
바이러스 퇴치 프로그램을 작동시켜 처리해야 한다고 본다.
///
