본문 바로가기
유용한 팁들

백신에 안 잡히는 악성코드 잡아내는 법

by 글벌레 2009. 8. 20.
반응형

우리가 사용하는 어떠한 백신도 모든 악성코드들을 잡아내지는 못합니다.
그러다 보니 시스템은 감염이 확실한 거 같은데
백신은 그 갑갑함을 풀어 주지 못할 때가 있습니다.

그리고 또 한편으로는
시스템은 약간 수상하지만
백신으로 전체 시스템을 정밀 검사하는 것은 시간이 걸리는 작업이라 하기 귀찮을 때도 있습니다.

오늘은 위와 같은 경우들에  
짧은 시간 안에 악성코드의 감염 여부를 
간략히 가늠해 보는 방법을 알아보기로 합니다.

처음으로 알아볼 방법은 평소에 준비가 좀 필요합니다.

지금 현재 시스템이 정상이라면

아래 링크에서


https://learn.microsoft.com/ko-kr/sysinternals/downloads/autoruns



 
위 그림에서 보이는 빨간 네모 친 부분을 클릭해 Autoruns를 다운로드받습니다.

다운로드받은 파일을 임의의 폴더에 압축을 풀어놓습니다.

압축 풀은 파일들 중

autoruns.exe를 실행합니다 (이 파일만 압축을 풀어놓아도 됩니다).


이제 Autoruns가 실행이 되는데

Autoruns 메인 창에서 왼쪽 아래에


Scanning이라고 표시되는 동안은 기다립니다.

Autoruns가 시작점들을 불러오는데 시간이 약간 걸리기 때문인데 길어야 1분 정도면 스캐닝이 끝납니다.



이제 위 그림처럼 ready 상태가 되면


위 그림처럼 메뉴 줄에서

File>Save를 선택합니다.

그러면 아래와 같은 저장 창이 뜨는데 여기에서 적당한 파일명을 정하고

(저는 오늘 날짜로 파일 이름을 하였습니다. . 그렇게 하는 게 편리함이 존재하니까요 .....
읽어 가시면 어떤 이야기인지 아십니다 ^ ^*)

파일을 저장합니다.


이 파일은 현재 내 시스템의 시작점들의 정보를 저장하는 파일입니다.

이제  시스템을 쓰다 보니 어느 날 이상한 현상이 일어납니다.

영어로 시스템이 위함하다는 등.....
인터넷 익스플로러에 이상한 현상이 나타나는 등.......

이런 현실을 직면했을 때
이제 Autoruns를 실행해 봅니다.

악성코드들도 자신이 실행되기 위하여는 시작점이 있을 수 밖에 없기 때문입니다.

역시 ready상태가 되었을 때 이번에는 메뉴줄에서

File>Compare를 택하고


앞서 저장했던 파일을 열기를 합니다.

그리고 20초에서 30초 정도 기다립니다.


그러면 위 그림에서처럼 추가된 사항들은 초록색 줄로 표시해서 보여 줍니다.

Autoruns는 초보자가 사용하기에는 위험할 수도 있는 도구입니다.

(잘못 건드리면 시스템이 부팅 자체가 안 됩니다.)

그러나 위에서 설명한 방법으로 평소 준비를 좀 하였다가
비교한 경우 초록색 줄로 표시된 것은 원래 없어도
내 시스템이 잘 돌아가던 것들입니다.
그러므로 안심하고 그 줄 앞 네모에서 체크를 해제해도 됩니다.

그러므로 Autorun의 전체 화면을 스크롤해 봐서
초록색 줄로 표시된 모든 줄들 앞의 네모에서 체크를 해지해 버리고
이상한 현상이 사라졌나 봅니다.

사라졌다면 이번에는 하나씩 도로 체크를 해주면서

(체크 시마다 시스템 재부팅 필요할 수 있습니다.
그런 경우는 당연히 Autoruns를 또 다시 실행해 또 compare를 해주어야겠지요....)


어디에 체크를 했을 때 못된 놈이 나타나나 찾아보면 됩니다.

찾으면 그 줄 앞의 체크만 해지하고 나머지는 도로 해 주면 되겠지요 ......

(이후 해당 파일이 악성코드임이 확실해지면 삭제를 해줍니다.)

아니면 그래도 조금 더 안전한 방법으로 하겠다면

위 그림에서 오른쪽으로 눈길을 주시면
Image Path라고 보입니다 .

그 것이 파일의 경로이니
초록색으로 표시된 줄들의 파일을 아래 링크에서 소개하는
바이러스토탈 같은 곳에 보내어 악성코드를 찾아보는 것도 한 방법일 겁니다. 

바이러스토탈 관련 글들 -
2010/10/09 - [유용한 팁들] - virustotal (바이러스토탈)
2010/01/17 - [프로그램 리뷰] - VirusTotal Uploader 2.0

악성코드를 찾았으면 안전 모드에서 찾은 악성코드 파일을 삭제해 주면 됩니다.
물론 Autoruns에서 체크만 해제해 주어도 해당 파일이 삭제될 확률이 큽니다.

위에 설명한 내용의 경우는
미리 현재의 시작점을 저장해 놓은 경우에만 사용 가능하다는 약점이 있습니다.

그런데


위 그림처럼

Internet Explorer

탭을 누르게 되면 설치된 브라우저 도우미(BHO)와 툴바를 볼 수 있습니다.

요즘 많은 악성코드들은 인터넷 익스플로러에 라이브러리 형태로 인젝션됩니다.

그 말 뜻은 위 그림에서 보여준 Internet Explorer 탭에서 해당 악성코드 흔적이 보인다는
소리입니다.

그런 의심이 드는 경우도 역시 Image Path를 보고 파일을 바이러스토탈에 보내어
검사 결과를 볼 수도 있습니다.

또한 여기서 원치않는 툴바나 브라우저 도우미(BHO)를 비활성화 할 수도 있습니다.

원치않는 툴바나 BHO를 비활성화 시키고자 하는 경우는
위 그림처럼 빛자루 툴바 앞의 체크를 해지한 것처럼
각 항목 하나하나마다 체크를 해지한 후 인터넷 익스프로러를 다시 실행해 봅니다. 

원치 않는 툴바나 브라우저 도우미(BHO)가 뜨지 않는다면 성공한 것입니다.

원치 않는 툴바나 브라우저 도우미(BHO)가 계속 뜨는 경우는 체크 해지 했던 것에 다시 체크후
또 다른 항목에 대하여 위 과정을 실행합니다. 

그러나 이때

체크를 없애서 비활성화에 성공했을 때
그 줄과 같은 publisher로 표시되어 있는 것은 다 체크 해지 해야 할 수 있습니다.

물론 이 때 해당 줄의 파일 경로를 보고 파일을 지워도 되겠지만
그냥 체크만 해지한 경우는
해당 툴바나 BHO의 CLSID가 설치된 것으로 남기 때문에
따로 Kill Bit 설정같은 것을 하지 않아도
재설치가 안된다는 편리함이 있습니다.

참조 글 - 2009/03/25 - [유용한 팁들] - Kill Bit - ActiveX 설치 차단

아니면 Internet Explorer 탭에서 보이는 모든 항목들에서 체크를 해지 후
하나씩 도로 체크해 가면서 찾아도 됩니다.

Internet Explorer 탭에서 모든 체크를 해지한다는 것은
현재 활성화되어 있는 인터넷 익스플로러의 모든 추가 기능들을 끈다는 것이지
시스템을 부팅 안 되게 한다거나 하는 영향을 줄 일은 없기 때문입니다.

이제 하나만 더 짚고 갑니다.

가끔은 작업 관리자에서 높은 프로세스 점유율 보이는 파일이 있는데,
사용자들이 그 파일 경로를 몰라서 쩔쩔맬 때가 있습니다.

사실 해당 프로세스를 일단 끄고 시작>검색에서 해당 파일을 찾아보면 되는데
그걸 하지 못해서요.......

이런 경우라면

https://learn.microsoft.com/ko-kr/sysinternals/downloads/process-explorer

위 링크에서 페이지 맨 하단으로 가서


Run Process Explorer를 클릭합니다.

아래 그림과 같은 창이 뜬다면 실행을 누릅니다.


실행된 프로세스 익스플로러 창에서

예를 들어 mspaint (그림판 입니다.)가 이상하게 점유율이 높은 파일이라고 가정하면
더블 클릭함으로써 작업 관리자에서는 볼 수 없던 경로를 볼 수 있습니다.


이제 해당 파일을(프로세스를) 일단 끄고
경로를 알았으니 다시 위에 언급했던 바이러스토탈 같은 사이트 이용이 가능할 것입니다.

악성코드라고 판단이 되면
안전 모드로 부팅을 해서 삭제하면 됩니다.

혹시 안전 모드에서도 삭제 불가한 파일들이 출현하는 경우는 아래 드리는 링크의 예전 제 글을 참조하시기 바랍니다 .

2009/04/13 - [프로그램 리뷰/파일 강제 삭제 도구들] - OpenedFilesView

 이 글과 관련된 추가 정보를 보시려면 아래 글도 읽어보시기 바랍니다.
 2010/08/07 - [유용한 팁들] - 부팅 시 뜨는 다양한 오류 창들에 대한 대처법
반응형

댓글