관리 메뉴

컴치초탈 PC-DIY :: 컴퓨터블로그, 컴퓨터, 모니터, 노트북 수리 팁, 윈도우 운영체제 강좌

윈도우 보호파일로 위장한 악성바이러스. 본문

컴퓨터일반/바이러스 악성코드

윈도우 보호파일로 위장한 악성바이러스.

컴치초탈 2008.11.27 08:29
최근 인터넷 익스플로러의 시작 페이지를 3929.cn으로 변경하여 팝업 광고 등을 띄우고, 인터넷이 아주 느려지는 증상이 나타나고 있습니다.
오늘 AS 접수된 컴퓨터에서도 이와 같은 증상을 보이고 있었는데, 안철수 연구소에서 제공하는 전용 백신으로 검사를 해봤습니다.

혹시 같은 증상이 있는 분들은 전용백신을 써보세요. http://kr.ahnlab.com/dwVaccineView.ahn?num=79&cPage=1 

검사만 하고 치료를 하지 않은 상태에서 바이러스 일부를 폴더 하나에 모아 봤습니다.
그런데 분명 숨김 파일 보기 옵션까지 체크를 했는데도 인터넷 시작 페이지를 바꾸는 바이러스는 아직 보이지 않고 있습니다. 아래 것들도 바이러스는 맞지만 성격이 좀 다른 것들입니다.


인터넷 시작페이지를 변경하는 바이러스들은 이렇게 폴더 옵션에서 보호된 운영체제 파일 보기를 선택해야 비로소 모습을 나타냅니다. 영악한 것들이 운영체제 파일로 스스로를 보호하고 있었던 것입니다.


부팅시 필요한 시스템 파일과 나란히 b,exe c.exe m.exe 와 같은 이름으로 운영체제 보호 파일로 숨어 있습니다.
빨간색 네모는 바이러스, 파란색 네모는 시스템 부팅과 관련 된 파일입니다.


V3 전용백신으로 시스템을 검사하니 바이러스가 시스템 폴더, 사용자 폴더 가리지 않고 검색됩니다.


레지스트리에도 시작 페이지에 버젓이 등록돼 있습니다. 문제는 이 시작 페이지를 바꾸려 해도 변경할 수 없다는 메시지만 보이고 꿈쩍을 하지 않는다는 것입니다.
바이러스 백신으로 시스템 전체 검사하고 치료를 해도, 완전 정상으로 돌아 오지 않는 것 같습니다.




요즘 좀 바빠서 인터넷 접속을 거의 못했는데 어제 V3 Lite 버전이 공개 되었네요. 그래서 알약하고 V3 Lite를 동시에 사용해 봤습니다. 마침 바이러스도 몆 개 있고해서 바이러스만 대놓고 동시에 검사를 시켜봤습니다.
(killprocess.exe는 좀 애매하지만, 일단  두 프로그램 전부 바이러스로 분류하고 있어서 같이 포함되었습니다.)


그런데, 감염된 항목 수가 좀 틀립니다. 알약은 7, V3 Lite는 9. 자세히 보니 V3 Lite는 5uf9.exe 파일을 2번 연속 바이러스로 잡아냈고, 알약은 해당 파일을 바이러스로 분류하지 않았기 때문입니다.
2번 연속 잡은 것은 오류로 보이며,(adc님이 댓글로 알려주셔서 수정합니다. 제가 표시를 하면서도 발견을 못했습니다. 2번 연속 검색 된 것은 아래 표시된 것 처럼 파일 한 개에 바이러스가 두 가지 형태로 존재하기 때문입니다. ) 
알약이 해당 파일을 바이러스로 분류하지 않은 것은 좀 이상합니다.


해당 파일의 속성을 보면, 윈도우즈 자동 업데이트 관련 파일로 설명을 하고 있습니다.  한데, 그 아래 저작권이 마이크로소프트가 아닌 중국의 zhongsou(중국 포털 중수와 관련이 있는지는 모르겠습니다.)라는 곳에 있는 것으로 표기하고 있습니다. 이 파일의 언어도 역시 중국어입니다.
그리고 이 파일의 내부 이름은 wuauclt로 표시하고 있는데, 실제 wuauclt.exe 파일은 그림 하단에 보이는 것과 같이 윈도우즈 자동 업데이트와 관련된 파일입니다.
(짐작하건데, 5uf9 파일은 윈도우 복제품의 정품인증 크렉과 관련이 있지 않나 생각합니다. 아니면, wuauclt.exe 파일의 특성을 생각할 때 진짜 악성 바이러스일 가능성도 있겠습니다. 이 파일에 대해 잘 알고 계신 분이 있거나, 혹, 제 생각이 틀렸다면 댓글로 알려주시면 고맙겠습니다.)
그나저나 이글이 V3 Lite 리뷰도 아닌데 자꾸 알약과 비교를 하게 되서 좀 안됐지만, 어쨋든 검사 속도 만큼은 알약이 도저히 따라 가지 못하네요. 의심이 들 정도로 속도 차이가 나서 알약은 압축 파일은 검사하지 않고 검사 속도 최상. V3 Lite는 현재 실행 프로세스를 먼저 검사하고 압축 파일 검사 등 풀 옵션으로 돌려도 비교가 안 될 정도입니다.

비록, 검사 속도에서 알약이 부족한 모습을 보이기는 했지만, 사용자 입장에서 보면 알약이 정말 보약이 맞는 것 같습니다. 무료 백신을 맘대로 사용하게 해주더니 국산 백신의 자존심인 안철수연구소에서 진짜 V3같은 V3 Lite 무료 백신을 만들게 하였으니 말입니다.

알약과 V3 Lite는 서로가 갖는 나름대로의 장점과 단점이 있을 것이고, 앞으로도 그럴 것이라 생각합니다.
어떤 것이 좋고 어떤 것이 나쁜가를 따지는 것 보다, 알약과 V3 Lite가 앞으로 서로 선의의 경쟁을 하면서 더욱 좋은 바이러스 백신 프로그램으로 발전하길 바랍니다.





카테고리

블로그 전체 글 목록 (1812)
컴퓨터조립,윈도우설치 (647)
윈도우8 윈도우10 (122)
컴퓨터일반 (464)
생활경제 (578)



5 Comments
  • 구차니 2008.11.27 10:23 신고 도메인을 봐서는 중국이 맞는듯 합니다.
    인류의 적이 되어가는 중국을 보고 있노라면 답답하기만 합니다.
    www.3929.cn <- cn이 중국 도메인이니까요..

    학과 홈페이지도(아니 졸업생이 왜 이런걸 신경써야 하지 ㅠ.ㅠ)
    얼마전에 중국 해커에 의해서 경유지로 당해서 잡아 내고도 불안해서
    포맷하라고 애들을 닥달했는데 갈수록 높아지는 중국의 위협에 불안하기만 합니다.
  • 컴치초탈 2008.11.27 14:56 신고 구차니님 안녕하세요. 오늘은 비가 종일 주룩주룩 내리네요. ㅎㅎ 불량한데다 실력까지 좋으니 더 문제지요.
  • acd 2008.11.27 11:17 신고 같은파일을 두번잡은것은 오류가 아닙니다. 파일이름옆에 진단명을 보면 진단명이 다른것을 알수있습니다. 한 파일안에 바이러스가 2개 있을경우 2개로 카운팅 합니다.
  • 컴치초탈 2008.11.27 14:43 신고 아, 그러네요. ㅎㅎ 제가 뻘건색으로 표시를 하면서도 그것은 또 못 봤네요. 알려주셔서 감사합니다. 본문은 수정하겠습니다.
  • 하타 2008.11.27 20:46 신고 해당파일의 샘플파일을 찾을수가 없군요... 샘플파일이 있으면 몇가지 테스트를 해볼 수 있겠습니다만... (구글형님마저도 찾아내지 못하시니 이건 뭐...)

    그리고 파일의 설명이나 내부이름은 조작이 가능하고... 무엇보다 제 컴퓨터에서는 해당 파일이 검색되지 않는군요.

    제 생각에는 모종의 방법으로 위장시킨 파일이 아닌가 생각됩니다.

    레지스트리가 변경되지 않는것은 레지스트리의
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    경로의, Main 키의 사용권한을 강제로 변경하였을 것이라 추정됩니다.
    마우스 우버튼을 클릭하고, 사용권한을 선택한 뒤 모든 권한을 허용해주시면 수정이 가능하리라 생각합니다.

    위 방법으로 수정이 안되면 모종의 루트킷이 동작하고 있을 가능성도 있으니, 루트킷 탐지툴을 이용하여 한번 더 검사해보는것도 좋을겁니다.
댓글쓰기 폼