반응형
이 글에서는 외국계 가짜 백신이 설치되어서 dog고생하는 경우에 대한 일반적인 대처법을 써보려고 합니다 .
외국계 가짜 백신의 경우 일단 설치가 되면 위에 스샷을 올린 외국계 가짜 백신 Privacy Protection처럼
무시로 사용자의 화면에 뜨면서 있지도 않은 악성코드에 대한 경고들을 남발하면서 결제를 요구합니다 .
그런데 이게 프로그램 추가/제거(또는 프로그램 및 기능)에서 제거도 안 되고
국내외 유명 백신들의 실행도 방해를 하고
작업 관리자 및 레지스트리 편집기 등등 시스템 도구들도 실행이 안 되게 하고
심한 경우에는 어떠한 실행 파일의 실행도 허용을 않기 때문에
사용자는 어찌할 바를 모르게 되어 버립니다 .
포탈 지식 코너들에 올라오는 질문들을 보면
질문에서 최근에 언급되고 있는 가짜 백신들만 해도
| personal shield pro privacy protection security alert Security monitor 2012 Security Sphere 2012 security suite security tool System Defender total protect win 7 Security 2012 windows security XP Security 2012 xp total security |
위와 같이 많습니다 .
얼마나 많은 사용자들이 외국계 가짜 백신으로 고생을 하고 있는지 추론이 가능한데요 ...
그래서 이 글에서는 프로세스 정리를 통해 가짜 백신이 정복(?)한 시스템을
가짜 백신의 제거가 가능한 상태로 만드는 방법을 설명하고자 합니다 .
그런데 본문에 앞서 이러한 이야기를 잠시 해보고자 합니다 .
그 이야기는
프로세스를 관리함으로써 악성코드를 다스릴 수 있을 것인가 ?
하는 문제입니다 .
사용자들은 악성코드 감염 시
특히 백신들이 잡아내지 못하거나 백신들이 실행이 안 될 때
프로세스에 관심을 가지는 경우가 많습니다 .
그리고 의심스러운 프로세스들을 죽이고 어떠한 경우에는 제거를 하려고 하는데
과연 프로세스를 죽이거나 제거를 함으로써 악성코드가 제거될 수 있을까요 ?
우리가 프로세스 관리를 통해 악성코드를 없애려 한다면
가장 이상적인 상황은 윈도우의 기본 프로세스 ,
즉 마이크로소프트가 제공하는 운영체제 관련 프로세스들만 남기고 모두 죽이는 걸 겁니다 .
그런데 그렇게 윈도우 프로세스들만 남는다고 과연 악성코드는 활동을 못하게 되는 걸까요 ?
아쉽게도 대답은 아니오입니다 .
악성코드는 제삼사의 프로세스들뿐만이 아니라 마이크로소프트가 제공한 운영체제의
프로세스들에도 인젝션이 되고 , 그러한 악성코드들은 프로세스 수준에서 활동하는 악성코드들보다
더 치명적인 경우가 많습니다 .
이제 그 예를 몇 개 제시해 보면
가장 최근에 V3 Lite , 알약 , 네이버 백신을 무력화 시키는 행위를 한 악성코드의 경우
그 최종 목표는 정보를 유출할 파일을 시스템에 심는 것인데
그 역활을 하는 악성 ws2help.dll 파일은 정상 ws2help.dll 파일을 패치해 버리면서
iexplore.exe에 인젝션이 됩니다 .
즉 , 이러한 감염이 일어난 뒤에는 악성 프로세스를 죽이고 제거하고 하는 등등
이도의 말처럼 지랄하고 자빠져 봐야
패치된 파일을 백신이 잡아주지 않는 한
보통 사용자들은 자신이 키보드를 통해 입력하는 아이디 및 비밀번호를 계속적으로 유출하게 됩니다 .
iexplore.exe는 윈도우 프로세스니까요 !
또 과거에 발생했던 네이트온 악성코드 player.exe (play.exe) 같은 경우에는
감염 시 자신은 소멸하고 최종적으로는 svchost.exe에 자신이
생성한 파일을
윈도우 서비스로 등록을 해버립니다 .
이 경우에도
악성 파일이 서비스 항목으로 등록이 된 뒤에는
악성 프로세스를 죽이고 제거하고 하는 등등
이도의 말처럼 지랄하고 자빠져 봐야
svchost.exe에 인젝션된 파일을 백신들이 잡아주지 않는 한
보통 사용자들은 자신이 키보드를 통해 입력하는 아이디 및 비밀번호를 계속적으로 유출하게 됩니다 .
svchost.exe는 윈도우 프로세스니까요 !
또 하나의 예를 보면 역시 오래전에 발생했던 네이트온 악성코드인데요 .
위 그림에서 보시는 것처럼 Baidog.dat라는 후킹 툴이 모든 프로세스들에 인젝션 된 것이
확인이 가능합니다 .
마이크로소프트의 윈도우 프로세스들을 포함해서요 !
이 경우에도
악성 파일이 윈도우 프로세스들로 인젝션이 된 뒤에는
악성 프로세스를 죽이고 제거하고 하는 등등
이도의 말처럼 지랄하고 자빠져 봐야
Baidog.dat를 백신들이 잡아주지 않는 한
보통 사용자들은 자신이 키보드를 통해 입력하는 아이디 및 비밀번호를 계속적으로 유출하게 됩니다 .
즉 , 프로세스를 죽이거나 제거하는 것만으로 악성코드 문제는 해결이 불가능하고
프로세스의 하위 수준에서 이루어진 감염이
실행되고 있는 악성 프로세스들보다 더 무섭다는 것입니다 .
그러므로 제가 지금 비록 프로세스를 중지시키는 방법에 대하여 글을 쓰고는 있으나
악성 프로세스를 중지시키는 것은 감염 파일들을 찾아 제거하기 위한 수단일뿐
그 이상도 그 이하도 아니란 것은 명심을 해야 합니다 .
즉 , 프로세스를 죽인다는 것은 과정의 일부일뿐이지 전체가 아니고 최종 해결책도 아니란 겁니다 .
악성 프로세스들을 죽인다는 것이 최종 해결책은 아니지만
윈도우 프로세스들만이 남는 것이 문제 해결을 위한 단초가 될 수 있다고 여겨진다면
사용자들은 어떠한 조치를 하지 않고도 손쉽게 윈도우를 그러한 상태로 만들 수가 있는데요 .
그건 바로 안전 모드로 부팅을 하는 겁니다 .
안전 모드는 진단을 위한 특별한 부팅 옵션으로 윈도우가 구동하기 위하여 필요로 하는
최소한의 장치 및 서비스만 로드하는 모드로써
안전 모드로 부팅을 하게 되면 악성코드에 속하는 프로세스는 물론
제삼사(third party)의 프로세스들도 실행이 안 되게 됩니다 .
그러다 보니 안전 모드에서는 소리도 안 나고 , 백신의 실시간 감시도 작동을 안 합니다 .
더하여 안전 모드에서는 윈도우 프로세스로 인젝션된 악성 라이브러리들도
관련 핸들들이 작동을 안 함으로써 로딩이 되지 않습니다 .
어떠한 문제 해결을 위하여 이보다 완벽한 , 이상적인 상태가 있을까요 ?
그렇기 때문에 사용자들이 프로세스에 관심을 가지는 것은 큰 의미가 없기도 한 겁니다 .
이러한 점을 언급해 놓으면서 이제 본문을 시작합니다 .
시스템에 악성코드가 감염이 되어서
또는 다른 이유로 백신들도 , 해결을 위한 윈도우 도구들도 실행이 안 될 때
사용자들이 가장 먼저 할 일은 안전모드로는 부팅이 되는지를 살펴보는 것입니다 .
그 이유는 위에 설명을 했죠 ?
안전 모드로 부팅만 된다면 일단은 시스템에 설치된 백신을 이용해서
윗글에서 설명한 대로 검사를 해보는 것입니다 .
외국계 허위 백신의 경우에도 이에 준하는데요 .
그런데 제가 왜 일곱 줄 위에서는 시스템에 악성코드가 감염이 되어서라고 표현을 했을까요 ?
그 이유는 아쉽게도 백신들의 경우에는 가짜 백신을 진단하지 않는 경우가 많습니다 .
진단하지 않는 이유는
외국계 가짜 백신들(돈만 먹는 국내 짜가 백신들 포함)의 경우
이것들이 사용자들을 X나게 괴롭히긴 해도
요즈음 악성코들이 하는 정보 유출 같은 짓은 하지를 않는데 있는 거 같습니다 .
그러니까
결제 좀 하지 ? 결제 안 할래 ? 좀 결제 해봐 !
이렇게 사용자들을 괴롭히면서도
실제적으로 시스템에서 무엇인가 빼가지는 않음으로써
악성코드로 분류하기 애매모호한 상태가 되어서
백신들이 이를 진단 시 오히려 진단한 백신이 가짜 백신의 영업을 방해하는 묘한 법적 상태가 될 수
있는 게 문제로 보입니다 .
그러니까 쉽게 말해서 .......
백신 흉내를 내는 말도 안 되는 것들에 대한 자동 연장 결제로 속 터져 본 분들은
속이 터져도 어찌할 도리가 없었다는 점을 생각해 보면
허위 백신들에 대한 진단은 같은 맥락에 있다고 보면 쉽게 이해를 하실 거 같습니다 .
즉 , 국내든 외국이든 가짜 백신들을 추방하려면 법적인 선결 과제들이 있어 보이는데요 .
그런데 이러한 허위 백신들만 전문적으로 진단하는 도구가 있으니
그건 바로 위 추천 박스 內 글에서 소개한 Malwarebytes' Anti-Malware입니다 .
그러므로 안전 모드로 부팅만 된다면
안전 모드로 부팅을 해서 Malwarebytes' Anti-Malware를 위에 링크한
삭제 안 되는 악성코드를 삭제하는 방법에 따라 사용해 보는 것은
외국계 가짜 백신들을 없애는데 상당히 효과적인 방법일 수 있습니다 .
그런데 문제는 안전 모드로 부팅이 안 되는 경우입니다 .
Malwarebytes' Anti-Malware는 안전 모드로 부팅도 안 되면서
Malwarebytes' Anti-Malware가 실행도 안 되는 경우를 대비해서
rkill.com이라는 파일을 제공하나
Malwarebytes' Anti-Malware가 실행 안 되는 경우에는
rkill.com도 통하지 않는 경우가 많아 보입니다 .
그럼 rkill.com도 통하지 않는 경우에는 어떻게 할까 ?
| Comodo KillSwitch |
Comodo Killswitch는 Comodo Cleaning Essentials에 포함된 도구입니다 .
Comodo Cleaning Essentials 홈페이지 -
http://www.comodo.com/business-security/network-protection/cleaning_essentials.php
라이선스 - Freeware
지원하는 운영체제 - Windows XP , Windows Vista , Windows 7
- 32비트 , 64비트 모두 지원
위 홈페이지를 방문하면 FREE DOWNLOAD라는 빨간 버튼이 보이는데 그걸 클릭하면
아래와 같은 페이지로 이동을 하는데 여기서 32비트/ 64비트를선택하고 다운로드 버튼을 누르면
다운로드가 시작이 됩니다 .
우선 말씀을 드릴 것은 이 글에서는 KillSwitch의 주요 부분만 언급을 하기로 하고
KillSwitch의 세세한 부분과
Comodo Cleaning Essentials에 포함된 검사 도구에 대하여는
차후에 발행될 글에서 자세히 다루겠다는 겁니다 .
(차후 발행 글은 아무리 늦어도 열흘 안에는 발행할 겁니다 .)
이 글은 KillSwitch와 Malwarebytes' Anti-Malware의 조합으로
외국계 가짜 백신을 없애는 것이 主 토픽이니까요 .
위 다운로드 페이지에서 다운로드 받은 압축 파일을 열면
위 그림과 같은데
KillSwitch의 실행 파일은 KillSwitch.exe입니다 .
해당 파일을 더블 클릭하면
압축이 풀리면서 실행이 되는데
우선은 최종 사용자 라이선스 동의 창이 뜨니 그 창에서 Accept를 클릭합니다 .
KillSwitch는 실행이 되기시작하면서 현재 시스템의 프로세스들이 안전한 것인지
아닌지를 분석하기 시작합니다 .
만약 KillSwitch가 평가한 결과가 뭔가 석연치 않다고 느껴질 때는
제가 이전 글 2010/01/17 - [프로그램 리뷰] - VirusTotal Uploader 2.0에서 소개한
바이러스토탈 업로더를 활용해서 프로세스의 악성 여부를 판단하면 됩니다 .
이제 수상한 프로세스를 찾았다면
해당 프로세스를
택한 후에 마우스 우버튼을 누르면
뜨는 문맥 메뉴에서
Force Terminate를 택해서
해당 프로세스를 죽여 버립니다 .
또는 Delete를 통해 삭제를 해버려도
좋을 것으로 보입니다 .
만약 삭제 불가 시에는
일단 죽이고 삭제를 해야 하는데
해당 프로세스의 경로는 바로 옆에 보이는
Properties... 또는 Jump to Folder를
통해 알 수 있습니다 .
위에서 언급하기를
그럼 rkill.com도 통하지 않는 경우에는 어떻게 할까 ?라고 했는데요 .
rkill.com이 하는 일이 바로 허위 백신과 관련된 프로세스를 죽이는 겁니다 .
안전 모드로 부팅도 안 되고 정상 모드에서 Malwarebytes' Anti-Malware가 제대로 작동되지 않을 때
허위 백신들의 프로세스들을 죽임으로써
Malwarebytes' Anti-Malware의 검사/치료가 가능하게 하는 것인데요 .
그런데 rkill.com이 제대로 작동하지 않을 때
rkill.com이 할 일을 사용자가 KillSwitch를 통해서 직접 해줌으로써
허위 백신을 제거하는데 있어서 Malwarebytes' Anti-Malware를 100% 활용하게 될 겁니다 .
그리고 KillSwitch에는 상당히 유용한 도구가 포함이 되어 있는데요 .
그건 Tools>Quick Repair...를 통해 볼 수 있는 것들입니다 .
만약 이 도구로 안전 모드로 부팅 안 되는 문제가 고쳐질 수 있다면
사용자는 안전 모드가 안 되어서 하는 수고를 덜 수 있을 겁니다 .
참고로 위 그림에서 호스트 파일이 Changed로 되어 있는 것은 제가 건드렸기 때문인데요 ...
호스트 파일을 손댄 적이 없는데 Changed로 되어 있다면 이는 수정이 되어야 할 사항입니다 .
이렇게 Quick Repair는 정상적인 시스템 설정에서 벗어난 것들을 Changed라고 표시를 하면서
수정할수 있는 기능을 제공합니다 .
수정하는 방법은 그냥 Repair 버튼만 누르면 됩니다 .
참고로 언급하면
시스템의 정상 설정에 부합하는 항목들은 선택하는 것이 불가능하게 비활성화되어 있습니다 .
글이 두서가 좀 없었는데요 .
글을 마치기 전에 정리를 합니다 .
1 .
외국계 가짜 백신을 제거하는 가장 좋은 방법은 정상 모드에서든 안전 모드에서든
시스템 복원만 된다면 시스템 복원을 하는 것이다 .
2 .
시스템 복원이 불가능하다면
Malwarebytes' Anti-Malware를 이용해 검사/치료를 하는데
만약 Malwarebytes' Anti-Malware가 실행이 안 된다면
안전 모드에서
Malwarebytes' Anti-Malware를 이용해 검사/치료를 한다 .
만약 KillSwitch의 repair를 통해서까지도 안전 모드가 안 된다면
rkill.com과 KillSwitch의 조력을 받아서 가짜 백신 관련 프로세들을 죽여서
Malwarebytes' Anti-Malware를 실행시키도록 한다 .
참조 - Malwarebytes' Anti-Malware가 설치가 안 되는 경우에도
rkill.com과 KillSwitch의 조력을 받아서 가짜 백신 관련 프로세들을 죽여서
Malwarebytes' Anti-Malware가 설치가 되도록 한다 .
3 .
만약 Malwarebytes' Anti-Malware가 진단/치료하지 못하는 허위 백신이라면
KillSwitch를 통해 허위 백신과 관련된 것으로 추론되는 프로세스들을 Delete한다 .
프로세스들이 삭제 되어 부팅 시 오류가 나타나는 경우에는
아래의 이전 글을 참조하면 오류 해결이 가능하다 .
2010/08/07 - [유용한 팁들] - 부팅 시 뜨는 다양한 오류 창들에 대한 대처법
4 . 참고
혹시 시스템 복원 방법을 모른다면
시스템 복원 방법 -
XP : http://support.microsoft.com/kb/306084/ko
비스타 : http://support.microsoft.com/kb/961793/ko
윈도우 7 : http://windows.microsoft.com/ko-KR/windows7/products/features/system-restore
그런데 시스템 복원은 악성 코드 감염을 유발할 수도 있으니
시스템 복원 후에는 꼭 백신으로 전체 시스템 정밀 검사를 하여야 한다 .
그 이유는 아래 글에 설명이 되어 있다 .
2011/10/27 - [보안경고 & et cetra] - 윈도우즈 시스템 복원(System Restore)이 수상하다
이 글이 유익했다면 아래 손꾸락 모양의 추천 버튼을 꾹꾹 눌러 주시기 바랍니다 .
추천에는 다음 로그인은 필요 없습니다 .
그러나 이왕에 추천해 주실려면 다음에 로그인 후에 추천을 해주시면 더 좋은데요 .....
다음에 로그인 추천은 다음에 로그인 하고 이 글에서 추천을 한다고 되는 게 아니고요 .
아래 손꾸락 모양 버튼 오른쪽으로 구독이라고 보이실 터인데 그 구독을 눌러서 다음에 로그인 후에
글벌레를 구독하시면 이 글의 제목이 My View란 탭에서 보일 겁니다 .
그 글 제목을 클릭해 뜨는 창에서 추천해 주시기 바랍니다 ^ ^*
추천은 제 글이 유익했다고 보내 주시는 메시지이고
그런 메시지는 글벌레가 글을 계속 발행할 수 있는 힘의 근원이 되어 줄 겁니다 ^ ^*
추천에는 다음 로그인은 필요 없습니다 .
그러나 이왕에 추천해 주실려면 다음에 로그인 후에 추천을 해주시면 더 좋은데요 .....
다음에 로그인 추천은 다음에 로그인 하고 이 글에서 추천을 한다고 되는 게 아니고요 .
아래 손꾸락 모양 버튼 오른쪽으로 구독이라고 보이실 터인데 그 구독을 눌러서 다음에 로그인 후에
글벌레를 구독하시면 이 글의 제목이 My View란 탭에서 보일 겁니다 .
그 글 제목을 클릭해 뜨는 창에서 추천해 주시기 바랍니다 ^ ^*
추천은 제 글이 유익했다고 보내 주시는 메시지이고
그런 메시지는 글벌레가 글을 계속 발행할 수 있는 힘의 근원이 되어 줄 겁니다 ^ ^*
반응형
'introduce 프로그램' 카테고리의 다른 글
| MBR 변형 악성코드에 대한 대처 (Fix MBR) - MiniTool Partition Wizard Home Edition (45) | 2012.12.29 |
|---|---|
| Windows File Analyzer 그리고 Rifiuti v1.0 - 휴지통 삭제 로그 보기 (1) | 2012.01.09 |
| 다음 클리너 ( DAUM 클리너 ) 알차게 우려먹기 (10) | 2011.10.23 |
| 파이어폭스 4 정식 버전 (Firefox 4 RTM) 살짝 엿보기 (0) | 2011.03.22 |
| USB 메모리 스틱 보안 영역 (비밀번호) 설정 공짜로 하기 - TrueCrypt (11) | 2011.03.09 |
| 작곡 및 악보 작성 (MIDI(미디)에서 악보 얻기) - MuseScore(뮤즈스코어) (4) | 2011.03.01 |
| CD, DVD 굽기 및 CD 복구 ( CDBurnerXP ) (10) | 2011.02.28 |
| 샌드박스 ( 샌드박시 ) 내의 변동 사항을 관찰하기 ( SandboxDiff ) (9) | 2011.02.04 |
댓글