악성코드가 내 컴퓨터에 한 짓은 ? - Anubis

(2022년 12월 메모) 이 글은 유효하지 않게 되어서 본문 안의 모든 링크들은 제거되었습니다.

관련 글 보기 - 2010/05/31 - [Lecture/Computer] - Wepawet (alpha)

오늘은
실수로 내 컴퓨터에서 어떤 악성코드 파일을 실행했는데, 백신이 이를 진단하지 못할 때
대응하는 방법에 대하여 알아봅니다.

                    그림 출처 - 울지않는벌새 님 블로그 ( https://hummingbird.tistory.com/ )

예를 들어 네이트온 메신저에서 관심이 가는 링크를 받고 클릭을 해서 파일을 다운로드 후에
실행을 했더니, 다운로드 받은 파일이 사라져 버리는 황당한 경험을 한 사용자들이 많을 겁니다.
이 경우는 다운로드한 원본 파일이 악성코드들을 시스템에 심으며 사라진 경우인데
원본 파일이 사라져 버림으로써 많은 사용자들이 당황을 했을 겁니다.

이럴 때 링크는 계속 메신저나 이메일 등에 남아 있고, 또 여타의 경우에도 다시 다운로드가 가능할 겁니다.
그러므로 파일을 다시 한 번 다운로드받는데, 이번에는 실행은 하지 말고 임의의 위치에 저장만 합니다.

그리고 아래 링크를 방문합니다.

링크가 더는 유효하지 않아 삭제 (2022년 12월 메모).

그러면 아래 그림과 같은 페이지가 뜰 것인데, 아래 그림에서 빨간 박스 친 부분에서 임의의 위치에 저장한
다운로드받은 파일을 브라우징해서 그 경로를 정해 주고, 녹색 박스 친 부분에서 왼쪽의 알파벳을 보고
그대로 적어 준 후에,

맨 아래 보이는 Submit for Analysis를 클릭합니다.
(단, 이때 보내는  파일들은 윈도우에서 실행이 되는 파일들을 보내야 분석이 됩니다.)

그러면 아래와 같은 메시지가 뜨는데

여기서 보이는 링크를 복사해 두는 것도 좋습니다.
혹 분석이 오래 걸릴 경우 나중에 이 링크를 방문하면 분석 결과 페이지가 뜨니까요.

이 메시지가 지나가면
아래처럼 분석 진행 상태 화면이 보이는데

거기서 분석 완료까지 남은 시간이 황당하게 뜨는데요. 실제로는 그렇게 오래 걸리지 않습니다.
분석이 끝나면 아래와 같은 화면이 뜨는데,

위 그림에서 녹색 네모 친 부분을 보면, 파일을 업로드하고 나서 분석 시작 시점까지는 6분이 채 걸리지
않았음이 보입니다. 일단 분석이 시작되면 아무리 길어도 몇 분 안에 분석이 끝나는데,
제가 올린 파일은 사실 악성코드도 아니고 예전에 이미 anubis에서 분석한 파일이라서 4초만에 이전의
검사 결과를 출력한 겁니다(파란 네모).

어쨌든 결과가 출력이 되면 원하는 형식으로 그 결과를 보는 것이 가능합니다(빨간 네모).
저는 여기서 Text를 눌러 보았습니다 .

아래는 분석에서 볼 수 있는 결과의 일부를 예제로 만들어 올려 본 것입니다.
(아래 결과는 위에서 올린 파일에 대한 결과가 아니고, 제가 예전에 네이트온 악성코드 샘플을 anubis에
보낸 결과와 anubis에서 샘플로 제시한 결과를 설명을 위하여 편집한 것입니다.)

결과에서 일반적인 사용자들이 집중적으로 신경을 써야할 부분은 아래 같은 부분들입니다. [=============================================================================]     2.b) sitemap.ex.exe - File Activities [=============================================================================] [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]     Files Created: 실행된 파일에 의하여 생성된 파일을 뜻합니다. [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]         File Name: [ C:\WINDOWS\system32\ V3lght.dll ]         File Name: [ C:\WINDOWS\system32\ m_user.dll ] [=============================================================================]     2.c) ApiTest.exe - Windows Service Activities [=============================================================================] [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]     Created Services: 실행된 파일에 의하여 생성된 서비스 항목을 뜻합니다. [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]         Name              Type             Path TestsTestService  SERVICE_AUTO_START  C:\insidetm\ TestService.exe [=============================================================================]     4.c) services.exe - Process Activities [=============================================================================] [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]     Processes Created: 실행된 파일이 만든 프로세스를 뜻합니다. [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]         Executable  Command Line                  C:\insidetm\ TestService.exe

위의 결과 예제에서 빨간 글자들로 표시한 예들은 시스템에 없던 것들이 생성된 것이므로 제거 대상들입니다.
이것들은 시스템을 안전 모드로 부팅해서 삭제하는 것이 가능합니다.
삭제 후 정상 모드로 부팅하면 삭제된 악성코드 파일들 때문에 에러 메시지가 뜰 겁니다.
에러 메시지가 뜨는 경우에는 아래 링크 글을 참조해서 
부팅시 뜨는 다양한 오류 창들에 대한 대처법
Autoruns에서 File not found라고 표시된 시작점들 앞의 체크를 해제하면 에러 문제는 해결됩니다.