외국계 허위 (가짜) 백신에 대한 대처 - 수상한 프로세스 클리너 - Comodo KillSwitch

이 글에서는 외국계 가짜 백신이 설치되어서 dog고생하는 경우에 대한 일반적인 대처법을 써보려고 합니다 .

외국계 가짜 백신의 경우 일단 설치가 되면 위에 스샷을 올린 외국계 가짜 백신 Privacy Protection처럼
무시로 사용자의 화면에 뜨면서 있지도 않은 악성코드에 대한 경고들을 남발하면서 결제를 요구합니다 .

그런데 이게 프로그램 추가/제거(또는 프로그램 및 기능)에서 제거도 안 되고
국내외 유명 백신들의 실행도 방해를 하고
작업 관리자 및 레지스트리 편집기 등등 시스템 도구들도 실행이 안 되게 하고
심한 경우에는 어떠한 실행 파일의 실행도 허용을 않기 때문에
사용자는 어찌할 바를 모르게 되어 버립니다 .

포탈 지식 코너들에 올라오는 질문들을 보면
질문에서 최근에 언급되고 있는 가짜 백신들만 해도

personal shield pro privacy protection security alert Security monitor 2012 Security Sphere 2012 security suite security tool System Defender  total protect win 7 Security 2012 windows security XP Security 2012 xp total security

위와 같이 많습니다 .

얼마나 많은 사용자들이 외국계 가짜 백신으로 고생을 하고 있는지 추론이 가능한데요 ...

그래서 이 글에서는 프로세스 정리를 통해 가짜 백신이 정복(?)한 시스템을
가짜 백신의 제거가 가능한 상태로 만드는 방법을 설명하고자 합니다 .

그런데 본문에 앞서 이러한 이야기를 잠시 해보고자 합니다 .

그 이야기는

프로세스를 관리함으로써 악성코드를 다스릴 수 있을 것인가 ?
하는 문제입니다 .

사용자들은 악성코드 감염 시
특히 백신들이 잡아내지 못하거나 백신들이 실행이 안 될 때
프로세스에 관심을 가지는 경우가 많습니다 .

그리고 의심스러운 프로세스들을 죽이고 어떠한 경우에는 제거를 하려고 하는데
과연 프로세스를 죽이거나 제거를 함으로써 악성코드가 제거될 수 있을까요 ?

우리가 프로세스 관리를 통해 악성코드를 없애려 한다면 
가장 이상적인 상황은 윈도우의 기본 프로세스 ,
즉 마이크로소프트가 제공하는 운영체제 관련 프로세스들만 남기고 모두 죽이는 걸 겁니다 .

그런데 그렇게 윈도우 프로세스들만 남는다고 과연 악성코드는 활동을 못하게 되는 걸까요 ?
아쉽게도 대답은 아니오입니다 .

악성코드는 제삼사의 프로세스들뿐만이 아니라 마이크로소프트가 제공한 운영체제의
프로세스들에도 인젝션이 되고 , 그러한 악성코드들은 프로세스 수준에서 활동하는 악성코드들보다
더 치명적인 경우가 많습니다 .

이제 그 예를 몇 개 제시해 보면

가장 최근에 V3 Lite , 알약 , 네이버 백신을 무력화 시키는 행위를 한 악성코드의 경우
그 최종 목표는 정보를 유출할 파일을 시스템에 심는 것인데

                         그림 출처 - http://hummingbird.tistory.com/3392

그 역활을 하는 악성 ws2help.dll 파일은 정상 ws2help.dll 파일을 패치해 버리면서
iexplore.exe에 인젝션이 됩니다 .

즉 , 이러한 감염이 일어난 뒤에는 악성 프로세스를 죽이고 제거하고 하는 등등
이도의 말처럼 지랄하고 자빠져 봐야
패치된 파일을 백신이 잡아주지 않는 한
보통 사용자들은 자신이 키보드를 통해 입력하는 아이디 및 비밀번호를 계속적으로 유출하게 됩니다 .

iexplore.exe는 윈도우 프로세스니까요 !

또 과거에 발생했던 네이트온 악성코드 player.exe (play.exe) 같은 경우에는

                              그림 출처 - http://hummingbird.tistory.com/3394

감염 시 자신은 소멸하고 최종적으로는 svchost.exe에 자신이
생성한 파일을
윈도우 서비스로 등록을 해버립니다 .

이 경우에도
악성 파일이 서비스 항목으로 등록이 된 뒤에는
악성 프로세스를 죽이고 제거하고 하는 등등
이도의 말처럼 지랄하고 자빠져 봐야
svchost.exe에 인젝션된 파일을 백신들이 잡아주지 않는 한
보통 사용자들은 자신이 키보드를 통해 입력하는 아이디 및 비밀번호를 계속적으로 유출하게 됩니다 .

svchost.exe는 윈도우 프로세스니까요 !

또 하나의 예를 보면 역시 오래전에 발생했던 네이트온 악성코드인데요 .

               그림 출처 - 2010/03/28 - [Malwares 분석] - image.rar - 네이트온 악성코드

위 그림에서 보시는 것처럼 Baidog.dat라는 후킹 툴이 모든 프로세스들에 인젝션 된 것이
확인이 가능합니다 .

마이크로소프트의 윈도우 프로세스들을 포함해서요 !

이 경우에도
악성 파일이 윈도우 프로세스들로 인젝션이 된 뒤에는
악성 프로세스를 죽이고 제거하고 하는 등등
이도의 말처럼 지랄하고 자빠져 봐야
Baidog.dat를 백신들이 잡아주지 않는 한
보통 사용자들은 자신이 키보드를 통해 입력하는 아이디 및 비밀번호를 계속적으로 유출하게 됩니다 .

즉 , 프로세스를 죽이거나 제거하는 것만으로 악성코드 문제는 해결이 불가능하고
프로세스의 하위 수준에서 이루어진 감염이
실행되고 있는 악성 프로세스들보다 더 무섭다는 것입니다 . 

그러므로 제가 지금 비록 프로세스를 중지시키는 방법에 대하여 글을 쓰고는 있으나
악성 프로세스를 중지시키는 것은 감염 파일들을 찾아 제거하기 위한 수단일뿐
그 이상도 그 이하도 아니란 것은 명심을 해야 합니다 .
즉 , 프로세스를 죽인다는 것은 과정의 일부일뿐이지 전체가 아니고 최종 해결책도 아니란 겁니다 .

악성 프로세스들을 죽인다는 것이 최종 해결책은 아니지만
윈도우 프로세스들만이 남는 것이 문제 해결을 위한 단초가 될 수 있다고 여겨진다면
사용자들은 어떠한 조치를 하지 않고도 손쉽게 윈도우를 그러한 상태로 만들 수가 있는데요 .

그건 바로 안전 모드로 부팅을 하는 겁니다 .
안전 모드는 진단을 위한 특별한 부팅 옵션으로 윈도우가 구동하기 위하여 필요로 하는
최소한의 장치 및 서비스만 로드하는 모드로써
안전 모드로 부팅을 하게 되면 악성코드에 속하는 프로세스는 물론
제삼사(third party)의 프로세스들도 실행이 안 되게 됩니다 .
그러다 보니 안전 모드에서는 소리도 안 나고 , 백신의 실시간 감시도 작동을 안 합니다 .

더하여 안전 모드에서는 윈도우 프로세스로 인젝션된 악성 라이브러리들도
관련 핸들들이 작동을 안 함으로써 로딩이 되지 않습니다 .

어떠한 문제 해결을 위하여 이보다 완벽한 , 이상적인 상태가 있을까요 ?
그렇기 때문에 사용자들이 프로세스에 관심을 가지는 것은 큰 의미가 없기도 한 겁니다 .

이러한 점을 언급해 놓으면서 이제 본문을 시작합니다 .

시스템에 악성코드가 감염이 되어서
또는 다른 이유로 백신들도 , 해결을 위한 윈도우 도구들도 실행이 안 될 때
사용자들이 가장 먼저 할 일은 안전모드로는 부팅이 되는지를 살펴보는 것입니다 .

그 이유는 위에 설명을 했죠 ?

안전 모드로 부팅만 된다면 일단은 시스템에 설치된 백신을 이용해서
추천 박스 內 글 제목을 누르시면 윗글이 새 탭 또는 새 창으로 뜹니다 . 
윗글에서 설명한 대로 검사를 해보는 것입니다 .
외국계 허위 백신의 경우에도 이에 준하는데요 .
그런데 제가 왜 일곱 줄 위에서는 시스템에 악성코드가 감염이 되어서라고 표현을 했을까요 ?
그 이유는 아쉽게도 백신들의 경우에는 가짜 백신을 진단하지 않는 경우가 많습니다 .

진단하지 않는 이유는
외국계 가짜 백신들(돈만 먹는 국내 짜가 백신들 포함)의 경우
이것들이 사용자들을 X나게 괴롭히긴 해도
요즈음 악성코들이 하는 정보 유출 같은 짓은 하지를 않는데 있는 거 같습니다 .

그러니까 
결제 좀 하지 ? 결제 안 할래 ? 좀 결제 해봐 ! 
이렇게 사용자들을 괴롭히면서도 
실제적으로 시스템에서 무엇인가 빼가지는 않음으로써
악성코드로 분류하기 애매모호한 상태가 되어서
백신들이 이를 진단 시 오히려 진단한 백신이 가짜 백신의 영업을 방해하는 묘한 법적 상태가 될 수
있는 게 문제로 보입니다 .

그러니까 쉽게 말해서 .......
백신 흉내를 내는 말도 안 되는 것들에 대한 자동 연장 결제로 속 터져 본 분들은
속이 터져도 어찌할 도리가 없었다는 점을 생각해 보면

허위 백신들에 대한 진단은 같은 맥락에 있다고 보면 쉽게 이해를 하실 거 같습니다 .
즉 , 국내든 외국이든 가짜 백신들을 추방하려면 법적인 선결 과제들이 있어 보이는데요 .

그런데 이러한 허위 백신들만 전문적으로 진단하는 도구가 있으니
추천 박스 內 글 제목을 클릭하시면 윗글이 새 탭 또는 새 창으로 뜹니다 .
그건 바로 위 추천 박스 內 글에서 소개한 Malwarebytes' Anti-Malware입니다 .
그러므로 안전 모드로 부팅만 된다면
안전 모드로 부팅을 해서 Malwarebytes' Anti-Malware를 위에 링크한
삭제 안 되는 악성코드를 삭제하는 방법에 따라 사용해 보는 것은
외국계 가짜 백신들을 없애는데 상당히 효과적인 방법일 수 있습니다 .

그런데 문제는 안전 모드로 부팅이 안 되는 경우입니다 .

Malwarebytes' Anti-Malware는 안전 모드로 부팅도 안 되면서 
Malwarebytes' Anti-Malware가 실행도 안 되는 경우를 대비해서 
rkill.com이라는 파일을 제공하나 
Malwarebytes' Anti-Malware가 실행 안 되는 경우에는
rkill.com도 통하지 않는 경우가 많아 보입니다 .

그럼 rkill.com도 통하지 않는 경우에는 어떻게 할까 ?

Comodo KillSwitch

Comodo Killswitch는 Comodo Cleaning Essentials에 포함된 도구입니다 .
 
Comodo Cleaning Essentials 홈페이지 -
http://www.comodo.com/business-security/network-protection/cleaning_essentials.php

라이선스 - Freeware
지원하는 운영체제 - Windows XP , Windows Vista , Windows 7
                          - 32비트 , 64비트 모두 지원

위 홈페이지를 방문하면 FREE DOWNLOAD라는 빨간 버튼이 보이는데 그걸 클릭하면
아래와 같은 페이지로 이동을 하는데 여기서 32비트/ 64비트를선택하고 다운로드 버튼을 누르면
다운로드가 시작이 됩니다 . 

 
우선 말씀을 드릴 것은 이 글에서는 KillSwitch의 주요 부분만 언급을 하기로 하고
KillSwitch의 세세한 부분과 
  
Comodo Cleaning Essentials에 포함된 검사 도구에 대하여는
차후에 발행될 글에서 자세히 다루겠다는 겁니다 .
(차후 발행 글은 아무리 늦어도 열흘 안에는 발행할 겁니다 .)

이 글은 KillSwitch와 Malwarebytes' Anti-Malware의 조합으로
외국계 가짜 백신을 없애는 것이 主 토픽이니까요 .

위 다운로드 페이지에서 다운로드 받은 압축 파일을 열면

위 그림과 같은데
KillSwitch의 실행 파일은 KillSwitch.exe입니다 .

해당 파일을 더블 클릭하면
압축이 풀리면서 실행이 되는데

우선은 최종 사용자 라이선스 동의 창이 뜨니 그 창에서 Accept를 클릭합니다 .

KillSwitch는 실행이 되기시작하면서 현재 시스템의 프로세스들이 안전한 것인지
아닌지를 분석하기 시작합니다 .

만약 KillSwitch가 평가한 결과가 뭔가 석연치 않다고 느껴질 때는
제가 이전 글 2010/01/17 - [프로그램 리뷰] - VirusTotal Uploader 2.0에서 소개한 
바이러스토탈 업로더를 활용해서 프로세스의 악성 여부를 판단하면 됩니다 .

이제 수상한 프로세스를 찾았다면
해당 프로세스를

택한 후에 마우스 우버튼을 누르면
뜨는 문맥 메뉴에서

Force Terminate를 택해서
해당 프로세스를 죽여 버립니다 .

또는 Delete를 통해 삭제를 해버려도
좋을 것으로 보입니다 .

만약 삭제 불가 시에는
일단 죽이고 삭제를 해야 하는데

해당 프로세스의 경로는 바로 옆에 보이는
Properties... 또는 Jump to Folder를
통해 알 수 있습니다 .


위에서 언급하기를
그럼 rkill.com도 통하지 않는 경우에는 어떻게 할까 ?라고 했는데요 .
rkill.com이 하는 일이 바로 허위 백신과 관련된 프로세스를 죽이는 겁니다 .
안전 모드로 부팅도 안 되고 정상 모드에서 Malwarebytes' Anti-Malware가 제대로 작동되지 않을 때
허위 백신들의 프로세스들을 죽임으로써
Malwarebytes' Anti-Malware의 검사/치료가 가능하게 하는 것인데요 .

그런데 rkill.com이 제대로 작동하지 않을 때
rkill.com이 할 일을 사용자가 KillSwitch를 통해서 직접 해줌으로써
허위 백신을 제거하는데 있어서 Malwarebytes' Anti-Malware를 100% 활용하게 될 겁니다 .

그리고 KillSwitch에는 상당히 유용한 도구가 포함이 되어 있는데요 .

그건 Tools>Quick Repair...를 통해 볼 수 있는 것들입니다 .

만약 이 도구로 안전 모드로 부팅 안 되는 문제가 고쳐질 수 있다면
사용자는 안전 모드가 안 되어서 하는 수고를 덜 수 있을 겁니다 .

참고로 위 그림에서 호스트 파일이 Changed로 되어 있는 것은 제가 건드렸기 때문인데요 ...
호스트 파일을 손댄 적이 없는데 Changed로 되어 있다면 이는 수정이 되어야 할 사항입니다 .

이렇게 Quick Repair는 정상적인 시스템 설정에서 벗어난 것들을 Changed라고 표시를 하면서
수정할수 있는 기능을 제공합니다 .
수정하는 방법은 그냥 Repair 버튼만 누르면 됩니다 .

참고로 언급하면
시스템의 정상 설정에 부합하는 항목들은 선택하는 것이 불가능하게 비활성화되어 있습니다 .

글이 두서가 좀 없었는데요 .

글을 마치기 전에 정리를 합니다 .

1 .

외국계 가짜 백신을 제거하는 가장 좋은 방법은 정상 모드에서든 안전 모드에서든
시스템 복원만 된다면 시스템 복원을 하는 것이다 .

2 .

시스템 복원이 불가능하다면
Malwarebytes' Anti-Malware를 이용해 검사/치료를 하는데
만약 Malwarebytes' Anti-Malware가 실행이 안 된다면
안전 모드에서
Malwarebytes' Anti-Malware를 이용해 검사/치료를 한다 .

만약 KillSwitch의 repair를 통해서까지도 안전 모드가 안 된다면 
rkill.com과 KillSwitch의 조력을 받아서 가짜 백신 관련 프로세들을 죽여서
Malwarebytes' Anti-Malware를 실행시키도록 한다 .

참조 - Malwarebytes' Anti-Malware가 설치가 안 되는 경우에도
          rkill.com과 KillSwitch의 조력을 받아서 가짜 백신 관련 프로세들을 죽여서
          Malwarebytes' Anti-Malware가 설치가 되도록 한다 .

3 .

만약 Malwarebytes' Anti-Malware가 진단/치료하지 못하는 허위 백신이라면
KillSwitch를 통해 허위 백신과 관련된 것으로 추론되는 프로세스들을 Delete한다 .

프로세스들이 삭제 되어 부팅 시 오류가 나타나는 경우에는
아래의 이전 글을 참조하면 오류 해결이 가능하다 .
2010/08/07 - [유용한 팁들] - 부팅 시 뜨는 다양한 오류 창들에 대한 대처법

4 . 참고

혹시 시스템 복원 방법을 모른다면

시스템 복원 방법 -

XP : http://support.microsoft.com/kb/306084/ko
비스타 : http://support.microsoft.com/kb/961793/ko
윈도우 7 : http://windows.microsoft.com/ko-KR/windows7/products/features/system-restore

그런데 시스템 복원은 악성 코드 감염을 유발할 수도 있으니
시스템 복원 후에는 꼭 백신으로 전체 시스템 정밀 검사를 하여야 한다 .

그 이유는 아래 글에 설명이 되어 있다 .
2011/10/27 - [보안경고 & et cetra] - 윈도우즈 시스템 복원(System Restore)이 수상하다

이 글이 유익했다면 아래 손꾸락 모양의 추천 버튼을 꾹꾹 눌러 주시기 바랍니다 .
추천에는 다음 로그인은 필요 없습니다 .
그러나 이왕에 추천해 주실려면 다음에 로그인 후에 추천을 해주시면 더 좋은데요 .....
다음에 로그인 추천은 다음에 로그인 하고 이 글에서 추천을 한다고 되는 게 아니고요 .
아래 손꾸락 모양 버튼 오른쪽으로 구독이라고 보이실 터인데 그 구독을 눌러서 다음에 로그인 후에
글벌레를 구독하시면 이 글의 제목이 My View란 탭에서 보일 겁니다 .
그 글 제목을 클릭해 뜨는 창에서 추천해 주시기 바랍니다 ^ ^*

추천은 제 글이 유익했다고 보내 주시는 메시지이고
그런 메시지는 글벌레가 글을 계속 발행할 수 있는 힘의 근원이 되어 줄 겁니다 ^ ^*