Jerry's BLOG

최근 특정 온라인 게임의 계정 정보를 탈취할 목적으로 제작된 스파이웨어 중 단순히 스파이웨어 파일만 제거시 윈도우가 사용 불능 상태에 빠지는 녀석이 있어 주의가 필요하다.

최고의 진단율을 자랑하는 Kaspersky Lab의 KAV의 경우 아래 [그림1]과 같이 해당 스파이웨어를 Trojan-PSW.Win32.Wow.dm 으로 진단한다.



해당 스파이웨어는 API를 후킹(hooking)해서 PC의 속도가 상당히 저하된다.

또한 윈도우의 기본 쉘(Shell) 정보를 스파이웨어로 변경해서 사용자가 프로그램을 실행 할때마다 재감염 및 실행이 되는 구조이다.

그리고 위의 목록에서 알 수 있듯, 각종 시스템 관련 파일명으로 스파이웨어 파일을 복사한다.

실제 윈도우에서 동일한 파일명이 있을경우 EXE보단 COM 확장자가를 가진 실행 파일의 우선 순위가 더 높아 COM이 동작 하는것을 알 수 있다. 즉, 레지스트리를 수정하기 위해 regedit를 실행 했을 경우 레지스트리 에디터가 아닌, 스파이웨어가 동작하는 것이다.

실제 스파이웨어가 동작중일 경우 [그림2]과 같이 프로세스 목록에 동작하는 것을 확인할 수 있다.


실제로 KAV에서 치료한 이후 실행 프로그램을 실행하면 [그림 3], [그림 4]와 같은 경고창만 뜨는 것을 확인할 수 있다.



또한 윈도우 부팅시 Explorer.exe가 1.com을 실행하게 링크되어 있어 [그림 5]와 같은 에러 메세지 또한 나타난다.


이렇게 되면 윈도우의 실행 파일을 제대로 실행 할 수가 없다.

이땐 다음과 같은 임시 복구 방법을 사용하면 가능하다.

1. 탐색기를 실행한다.
- 탐색기를 실행 하는 방법에는 여러가지가 있으나 가장 손쉬운 방법은 Windows키(키보드 하단의 윈도우 로그 마크의 키)를 누른 상태에서 E를 누르면 된다. [Windows Key + E]
- 또는 [시작->내컴퓨터]를 누르면 내 컴퓨터가 실행이 된다.

2. 콘솔(console) 창을 실행 시킨다. (Windows XP 기준 - 다른 OS는 시험 못 해봤네용~ 죄송 ㅠ.ㅠ)
- 1번에서 실행된 프로그램의 주소창에서 다음을 입력하고 엔터를 누른다.
  c:\windows\system32\command.com

3. 레지스트리 에디터를 실행한다.
- 2번에서 실행된 콘솔(console)창에서 다음을 입력하고 엔터를 입력한다.
  regedit
만약 실행되지 않는다면 다음의 경로로 이동한 다음 실행한다.
  C:\Windows
이동 방법은 CD\windows 를 입력하면 된다.
또는 간단하게 C:\Windows\Regedit 를 입력해도 된다.

4. 실행 파일의 쉘(Shell) 링크(link)를 변경한다.
다음의 키를 따라가보면 실행파일(exe)의 링크가 [그림 6]과 같이 변경 되어 있는것을 확인할 수 있다.
HKEY_CLASSES_ROOT\.exe
(변조된 기본값) - winfiles


이 부분을 [그림 7]과 같이 본래 기본값인 exefile 로 변경해 준다.


또한 만약 하나 이상의 드라이브를 사용한다면 각각의 드라이브에 [그림 7]과 같은 파일이 있는것을 확인할 수 있다.


이 파일은 내컴퓨터에서 해당 드라이브를 클릭하면 자동으로 실행되는 기능을 수행하므로 각별한 주의가 필요하다.
특히 autorun.inf는 숨김 속성으로 되어 있어 이 속성을 제거해야만 파일을 삭제 할 수 있다.
속성 제거 방법은 다음과 같다.

해당 파일이 있는 폴더로 이동한 다음에 다음과 같은 명령어를 입력한다.

attrib -s -h -r autorun.inf

이렇게 하고 아래의 명령을 수행하면 정상적으로 스파이웨어 파일을 삭제할 수 있다.
del autorun.inf
del pagefile.pif

다른 Anti Virus 프로그램도 유사할 것으로 생각된다.
따라서 각별한 주의가 필요하다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.