윈도우 시작 메뉴가 투명하게 보이는 현상
일반적인 사용자들은 이런 상황을 만나면 당황하게 되며 컴퓨터를 제대로 사용할 수 없어, 급기야 포멧(format)까지 이어진다.
[그림 1] 투명해진 하위 메뉴들
하지만 이런 현상의 원인은 현재 까지는 스파이웨어(Spyware)에 의한 것으로 그 원인만 제거하면 다시 정상적으로 컴퓨터를 사용할 수 있게 된다.
주로 이런 스파이웨어는 Internet Explorer의 MS06-014 취약점(exploit)이 패치되지 않아서 발생한다. 즉, 중국 해커들이 국내 불특정 사이트를 해킹하고, MS06-014 취약점을 사용하여 스파이웨어를 다운로드 받아서 설치하는(Win-Downloader/PWS.KorGame)을 실행하는 코드를 삽입해 놓는다. 그리고 일반 사용자들중 MS06-014 취약점 패치가 되어 있지 않은 사용자가 해당 페이지를 방문만 하면 자동으로 스파이웨어가 설치된다. 따라서 예방을 위해서는 패치가 나올때마다 즉시 적용시켜 주는것이 바람직하다.
그럼, 정작 이렇게 메뉴가 투명하게 되었을 경우에는 어떻게 해야 하는가?
1. 윈도우 레지스트리를 확인하여 해당 스파이웨어를 실행시키는 부분이 있는지 확인
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 이란 항목을 살펴보면 (그림 2)와 같은 "winabc"라는 항목을 확인할 수 있다.
[그림 2] 스파이웨어가 윈도우 시작시 함께 실행되도록 등록
현재까지 분석된 정보에 의하면 파일명은 랜덤이지만, 레지스트리키는 "winabc"로 동일하다.
따라가보면 임시 디렉토리에 ddh5.dll이란 것을 확인할 수 있다.
2. 레지스트리키 삭제
위의 "winabc"키를 삭제하면 스파이웨어는 더이상 실행되지 않는다.
3. 파일 삭제
실제 스파이웨어가 동작중일때는 파일을 삭제 하려고 해도 (그림 3)처럼 삭제 되지 않는다.
[그림 3] 파일 삭제시 실행중이므로 거부됨
따라서 실행중이 아닐 경우에만 제거가 된다.
따라서 현재 해당 스파이웨어가 실행중인 프로세스를 모두 찾아서 종료를 시켜야 한다. 하지만 다른 프로세스에 인젝션(injection)되어서 동작하므로, 일일이 찾기가 힘들다.
이때 유용한 프로그램이 Sysinternals에서 제공하는 Process Explorer이다.
실행 후, 메뉴에서 [Find] -> [Find Handle or DLL]을 선택하고, 1번에서 찾은 파일명을 입력하고, [search]버튼을 누른다. 여기에 나타난 항목을 클릭한 후, 프로세스를 모두 종료시키면 해당 파일을 쉽게 제거할 수 있다.
[그림 4] Process Explorer을 통해 찾은 인젝션된 DLL
하지만 이 방법은 일반적인 사용자들이 따라하기에는 조금은 난이도가 있습니다. 또한 이 스파이웨어를 다운로드 받아서 설치하는 다운로더(Win-Downloader/PWS.KorGame)을 제거하지 않으면 재부팅 후 다시 재감염이 된다.
따라서 이런 증상을 가진 사용자라면 전문적인 Anti Virus / Anti Spyware 제품을 사용하는 것이 좋다.
참고로, 이런 중국발 게임 계정 유출 스파이웨어는 국내 제품의 진단율이 매우 높습니다. 당연한 말이겠지만 전 AhnLab의 SpyZero를 추천해 드립니다^^
따라서 이런 증상을 가진 사용자라면 전문적인 Anti Virus / Anti Spyware 제품을 사용하는 것이 좋다.
참고로, 이런 중국발 게임 계정 유출 스파이웨어는 국내 제품의 진단율이 매우 높습니다. 당연한 말이겠지만 전 AhnLab의 SpyZero를 추천해 드립니다^^
(0) 
(0)
