twext.exe

다음과 같은 문의를 받았습니다.

답변을 드리면,

제가 악성 파일들을 분석해 보자고 마음먹고,
분석해 보기 시작한 후
100개 이상의 악성 코드를 실행해 본 것 같은데

twext.exe는 다른 악성 파일에 의하여 생성되는 파일로 보입니다.

여기서 조금만 첨언하면
저의 분석은
악성 파일 성질이 무엇이냐
그 것이 어떤 일을 하느냐 이런데 초점을 맞춘 것은 아니고
악성 파일이 존재할 때 시스템 변화를 기록하여
제거에 초점을 맞춘 것들입니다.

그럼에도 불구하고
답변을 드릴 수 없는 이유는,
.reg파일을 등록해 드릴 수 없는 이유는
위 굵은 빨간 글씨 부분과 같은 이유때문입니다..........

이와 거의 똑같은 경우가 다운로더 역할을 하는 악성 코드가
라이브러리(.dll) 수준의 파일들을 다운로드해서
여기 저기 인젝션 하는 경우일 것입니다.

관련 글 보기 2009/02/17 - [Malwares 분석] - YahooDLL.dll (다운로더에 의하여 다운되는 악성 파일의 예)

다른 파일에 의하여 생성되는 파일이 계속 생기는 것,  
다운로더에 의하여 지속적으로 파일이 다운로드 되는 경우,

이러한 때는 이러한 일을 벌이는 그 본체에 해당하는
악성코드를 알아야 합니다.

저는 실제로 감염을 통해서 악성코드가 시스템에 뿌려진 적은 없고,
제가 일부러 악성코드 파일을 다운로드 받아 실행해 분석하므로
확실하게 말씀드릴 수는 없지만

제 개인적인 생각으로는 본체에 해당하는 악성코드의 실행 기록은
레지스트리
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
에 남을 것 같지만
(주의 !!! 위 키를 제거하란 소리가 아닙니다 !!!! 주의 !!!) ,

이 역시나 그저 일상적으로 컴퓨터를 사용하시는 분들께서
찾아볼 문제는 아니라고 느껴지는바,

제가 드리는 제목에 해당하는
악성 파일들

(이것들은 대개 본체라고 명한 것들일 것입니다 .)

과
그에 따른 생성 파일의 정보를 시스템에서 찾을 수 있는 경우가 아니라면 ,

백신을 통하여 검사/치료하는 것이 가장 손쉬운 방법일 것입니다.

그렇다고 이 백신, 저 백신 무분별하게 설치하는 것은
그 것만으로도 시스템에 손상을 주므로
권장할 수는 없고요........

현재 시스템에 설치되어 있는
백신을 이용해서
모든 파일 검사 옵션으로
안전모드와 정상모드에서 검사해 보시고

안되면 현재 쓰시고 있는 백신 회사로 제거 불가 파일을 신고하시기 바랍니다 .

첨언하면 아래 링크 글의 백신같은 경우는 시스템에 영향을 주지 않는 무설치형이므로
현재 시스템에 설치된 백신외의 보조 백신으로써 사용가능합니다 .

2022.06.28 - [유용한 팁들] - V3 Lite 또는 알약이 실행되지 않을 때 (Trend Micro HouseCall - 하우스콜, 무설치형 무료 백신)

V3 Lite 또는 알약이 실행되지 않을 때 (Trend Micro HouseCall - 하우스콜, 무설치형 무료 백신)

 

신고하라고 말씀드린 이유는

예를 들어 현재 안철수 연구소같은 경우는
신고후 평균 1시간 이내 신고된 파일의 분석을 끝내고
평균 24시간 이내 해당 파일에 대하여 치료 가능한 엔진을
배포합니다. 

다른 백신 회사들의 경우도 대응 속도가 더 빠르다든가
느리다든가 차이가 날지는 몰라도
대략 소비자의 신고에

치료 가능한 엔진을 다음번 엔진에 반영해
업데이트 배포하기 때문입니다........

아래는 참고로 붙여 넣는 마이크로소프트의 기술문서입니다.

마이크로소트 기술 문서 중에서 Windows XP의 안전 모드 부팅 옵션에 대한 설명

문의를 주신 분에게 큰 도움을 드리지 못하는 점 죄송합니다.