오늘 지독한 녀석을 만나서 하루를 날려버렸습니다. --;
pdg(주로 중국에서 쓰는 것으로 알고 있음)라는 문서파일관련 유틸을 찾던 중에 테스트 겸 파일을 하나 열었습니다.
그런데..
갑자기 AVG백신이 두,세 차례정도 경고를 보내 오는 것입니다. 물론 급한 것은 치료했겠지만.. 아무래도 감이 왔습니다.
그래서 검사를 했더니... 아주 수두룩하게 걸렸더랍니다. 원래 좀 찝집한 파일은 검사하고 여는데도, 이것은 미리 검사한 것이 쓸모가 없더군요. 그래서 2, 3시간의 검사 끝에 치료를 했는데, 이게 웬걸?
혹시나 해서 사용해 본 익스플로어의 초기 사이트가 육칠??.cn 사이트로 연결이 되어 있었습니다.
속으로, '아! 또, ? 같은 사이트가 걸렸군'하고 레지스터리를 점검하고 손을 봤습니다. 해결이 되었나 싶어는데, 재부팅을 하니.. 또 그대로입니다.
허허. 아주 독종에게 걸린 것을 체감했습니다. 하지만 저도 만만치 않아서 길고긴 해결이 시작됩니다.
---------------- 이하 내용 중에 건질 것은 하나 밖에 없습니다. 컴퓨터에 관심있는 분만.. ----------------
각종 소프트웨어로 검사해도 이것은 잡히지도 않았습니다.
하는 수 없이 구글 신공 시작...
되지도 않는 영어와 전공인 중국어를 살려 열심히 검색 해 보니 /windows/system32/driver 에 있는 특정 sys 파일을 삭제해야 한다고 합니다.
어?? 드라이버 파일?
'요놈은 특이하게 드라이버 파일을 이용하여 이런 짓을 하는 구나'하는 새로운 사실을 알았습니다. 보통 이런 녀석들은 실행파일을 꼭꼭 숨겨 놓는데, 이놈은 드라이버 파일의 맹점???(잘 모르겠습니다만..)을 이용한 것 같습니다.
그런데 그 글에 있는 드라이버 파일을 아무리 뒤저봐도 안 나오는 것이었습니다. 이것이 아닌가 하는 생각이 들었습니다. 그런데 다른 해결책도 sys파일을 삭제하는 것인데, 이름이 틀립니다. 하지만 제게는 없습니다.
깨달았습니다. 이놈은 컴퓨터마다 임의의 드라이버 파일을 생성하고, 그것을 부팅시에 로드하며, 일반적인 하드웨어는 관심도 없고 데이터자료를 변형시키며, 삭제까지 힘들게 해 놓은 독종 중에 독종이었던 것입니다. 정말, 67XX.cn 사이트의 서버를 폭파시켜 버리고 싶다는 생각이 들었습니다.
순간 포기할까 하는 생각도 들었는데, 네 시간 넘도록 이 일을 하고 있던 것이 아까워서 끝을 보기로 했습니다. --;
그런데 해답은 뜻 밖에도 간단했습니다.
이 놈은 드라이버 파일이기 때문에 컴퓨터의 장치관리자에서 발견할 수 있었다는 것입니다.
장치관리자에서 '숨김장치표시'를 선택하고 '비 플러그 앤 플레이 드라이버'를 뒤져보니 문제의 그 놈이 나왔습니다. 역시 이름은 지 멋데로 써져 있고, 제작자도 없습니다. procexp라는 프로그램으로 살펴보니 파일위치와 레지스터리의 위치가 나왔습니다. 파일이 보호되고 있어서 unlocker라는 프로그램으로 삭제를 했습니다.
그리고 다시 그 사이트에 안가기 위해 레지스터리에서 모든 육칠XX.cn을 삭제하고 재부팅을 하였습니다.
그랬더니 해결이 되었습니다.
상당히 특이한 경우라서 올려봅니다. 혹시 여러분들 중에서도 이런 독종을 만나면 이런 경로도 된 것이 아닌가 한번 생각해 보시기 바랍니다. ^^
---------------- 특이사항 --------------
1. 초기 감염시에는 마치 윈도우즈 업데이트 하는 것 같은 모습을 종료시에 보여줍니다. (전 자동 업데이트 사용하지 않습니다.)
2. 매번 재부팅 후 프로세스에 iexplorer라는 것이 있었습니다. 그러나 인터넷 익스플로어가 떠 있지 않고요. 이것을 죽이고 인터넷 익스플로어를 시작하면 초기 페이지가 변경되지 않았습니다. 즉, 부팅이 될 때마다 특정 ??을 계속 로드하고 있었던 것이죠.
확실하게 하기 위해 마이크로소프트에서 제공하는 유틸 autoruns을 실행하여 살펴봤더니 각종 ??웨어들이 등록시켜 놓은 것과 치료하고 남은 찌꺼기들이 있었습니다. 이런 것 걸리고 나면 autoruns로 찌꺼기 청소도 한 번 해 주는 것이 좋을 것 같습니다.
pdg(주로 중국에서 쓰는 것으로 알고 있음)라는 문서파일관련 유틸을 찾던 중에 테스트 겸 파일을 하나 열었습니다.
그런데..
갑자기 AVG백신이 두,세 차례정도 경고를 보내 오는 것입니다. 물론 급한 것은 치료했겠지만.. 아무래도 감이 왔습니다.
그래서 검사를 했더니... 아주 수두룩하게 걸렸더랍니다. 원래 좀 찝집한 파일은 검사하고 여는데도, 이것은 미리 검사한 것이 쓸모가 없더군요. 그래서 2, 3시간의 검사 끝에 치료를 했는데, 이게 웬걸?
혹시나 해서 사용해 본 익스플로어의 초기 사이트가 육칠??.cn 사이트로 연결이 되어 있었습니다.
속으로, '아! 또, ? 같은 사이트가 걸렸군'하고 레지스터리를 점검하고 손을 봤습니다. 해결이 되었나 싶어는데, 재부팅을 하니.. 또 그대로입니다.
허허. 아주 독종에게 걸린 것을 체감했습니다. 하지만 저도 만만치 않아서 길고긴 해결이 시작됩니다.
---------------- 이하 내용 중에 건질 것은 하나 밖에 없습니다. 컴퓨터에 관심있는 분만.. ----------------
각종 소프트웨어로 검사해도 이것은 잡히지도 않았습니다.
하는 수 없이 구글 신공 시작...
되지도 않는 영어와 전공인 중국어를 살려 열심히 검색 해 보니 /windows/system32/driver 에 있는 특정 sys 파일을 삭제해야 한다고 합니다.
어?? 드라이버 파일?
'요놈은 특이하게 드라이버 파일을 이용하여 이런 짓을 하는 구나'하는 새로운 사실을 알았습니다. 보통 이런 녀석들은 실행파일을 꼭꼭 숨겨 놓는데, 이놈은 드라이버 파일의 맹점???(잘 모르겠습니다만..)을 이용한 것 같습니다.
그런데 그 글에 있는 드라이버 파일을 아무리 뒤저봐도 안 나오는 것이었습니다. 이것이 아닌가 하는 생각이 들었습니다. 그런데 다른 해결책도 sys파일을 삭제하는 것인데, 이름이 틀립니다. 하지만 제게는 없습니다.
깨달았습니다. 이놈은 컴퓨터마다 임의의 드라이버 파일을 생성하고, 그것을 부팅시에 로드하며, 일반적인 하드웨어는 관심도 없고 데이터자료를 변형시키며, 삭제까지 힘들게 해 놓은 독종 중에 독종이었던 것입니다. 정말, 67XX.cn 사이트의 서버를 폭파시켜 버리고 싶다는 생각이 들었습니다.
순간 포기할까 하는 생각도 들었는데, 네 시간 넘도록 이 일을 하고 있던 것이 아까워서 끝을 보기로 했습니다. --;
그런데 해답은 뜻 밖에도 간단했습니다.
이 놈은 드라이버 파일이기 때문에 컴퓨터의 장치관리자에서 발견할 수 있었다는 것입니다.
장치관리자에서 '숨김장치표시'를 선택하고 '비 플러그 앤 플레이 드라이버'를 뒤져보니 문제의 그 놈이 나왔습니다. 역시 이름은 지 멋데로 써져 있고, 제작자도 없습니다. procexp라는 프로그램으로 살펴보니 파일위치와 레지스터리의 위치가 나왔습니다. 파일이 보호되고 있어서 unlocker라는 프로그램으로 삭제를 했습니다.
그리고 다시 그 사이트에 안가기 위해 레지스터리에서 모든 육칠XX.cn을 삭제하고 재부팅을 하였습니다.
그랬더니 해결이 되었습니다.
상당히 특이한 경우라서 올려봅니다. 혹시 여러분들 중에서도 이런 독종을 만나면 이런 경로도 된 것이 아닌가 한번 생각해 보시기 바랍니다. ^^
---------------- 특이사항 --------------
1. 초기 감염시에는 마치 윈도우즈 업데이트 하는 것 같은 모습을 종료시에 보여줍니다. (전 자동 업데이트 사용하지 않습니다.)
2. 매번 재부팅 후 프로세스에 iexplorer라는 것이 있었습니다. 그러나 인터넷 익스플로어가 떠 있지 않고요. 이것을 죽이고 인터넷 익스플로어를 시작하면 초기 페이지가 변경되지 않았습니다. 즉, 부팅이 될 때마다 특정 ??을 계속 로드하고 있었던 것이죠.
확실하게 하기 위해 마이크로소프트에서 제공하는 유틸 autoruns을 실행하여 살펴봤더니 각종 ??웨어들이 등록시켜 놓은 것과 치료하고 남은 찌꺼기들이 있었습니다. 이런 것 걸리고 나면 autoruns로 찌꺼기 청소도 한 번 해 주는 것이 좋을 것 같습니다.
recent comments