지난 주 토요일 밤, 왠지 의심쩍지만 그냥 하늘의 운명에 맡기고 어둠의 경로를 통해 받은 파일 하나를 실행했습니다. 프로그램이 실행되며 COMMAND 창이 나타나며 왠지 불길한 기운이 감돌더군요.. 아차! 이상한 낌새를 느끼고 바로 프로세스를 종료하고 파일을 삭제했지만 이미 일은 저질러지고 말았습니다.

그때부터 왠지 찜찜한 기분에 바로 Daum의 보안넷에서 안철수연구소가 제공하는 백신 프로그램을 유료 결제해서 시스템을 검사했습니다. 역시나 이상한 스파이웨어 몇개가 잡히더군요. 안도의 한숨을 내쉬고 바로 치료에 들어갔죠.

사용자 삽입 이미지

하지만, 왠지 느낌이 이상하더군요. 그래서, 빛자루를 다운로드 받아 다시 스파이웨어 검출을 해보았습니다. 역시나 스파이웨어가 또 검출되더군요.(그나저나 같은 회사의 소프트웨어인데 두 프로그램에서 검출되는 내역이 왜 다른지.. 쩝..) 바로 치료에 들어가서 요놈들을 모두 잡아냈지만 마음 한 켠에서는 "이게 끝이 아니야.."라는 불신이 싹터오르더군요.

그렇게 토요일 밤을 꼬박 샜습니다. 일요일 아침 가뿐한 마음에 인터넷 서핑을 하는데 요상하게 특정 일부 사이트만 연결이 안되는 것입니다. 이게 뭔가 잘못되었구나 하는 생각이 팍 스쳐가더군요. 이후 윈도우 시스템 메시지가 뜨면서 시스템이 바이러스가 걸렸으니 무료로 백신 프로그램을 다운로드 받으라는 친절한 메시지와 함께 특정 사이트에 연결해서 무료 다운로드를 하라는 백신 프로그램 안내 창이 뜨더군요.

난생 처음 윈도우의 친절한 메시지를 받으며 뭔가 확실히 잘못되었구나 싶은 생각이 들더군요. 바로 스파이웨어가 한 짓이죠.

사용자 삽입 이미지

그때부터 레지스트리를 뒤지고, msconfig를 통해 시작 프로그램 내역을 살펴보니 역시나 요상한 파일이 등록되어 있더군요. 특정 DLL 파일이 자동 실행되도록 된 것입니다. 해당 파일을 system 폴더에서 찾아보았지만 존재치 않는 파일이더군요. 꼭꼭 숨겨두어서 도무지 이 파일 자체를 찾을 수가 없습니다.

바로 레지스트리에서 해당 키값을 삭제했습니다. 하지만 어김없이 2초 후면 다시 살아 나더군요. 끈질긴 생명력... 구글에서 검색조차 되지 않는 파일이었습니다. 당연히 스파이웨어 치료 프로그램도 요놈을 삭제해도 또 나타나고...

그래서, 실헹 중인 프로세스를 이잡듯이 뒤져서 문제된 DLL 파일을 찾아서 KILL하고, DLL의 이름을 변경해주었습니다. 대부분의 모든 실행 파일에 문제의 DLL이 함께 로드되어 있더군요.

사용자 삽입 이미지

그래서.. 결론은? 네.. 윈도우 다시 설치했습니다. T.T
차라리, 처음부터 윈도우를 다시 설치했으면 맘 고생은 안했을텐데. 속도도 빨라지고 아주 좋네요.

1년에 한 두 번은 윈도우 다시 설치할 각오로 살아야겠습니다.
Posted by oojoo

댓글을 달아 주세요

  1. 저도 윈도우 설치한 지 슬슬 반년이 되어가는데 말입니다, 다음 달에는 밀어버리든지 해야겠네요 ^^

    2008.08.14 10:07 [ ADDR : EDIT/ DEL : REPLY ]
    • ^^ 반나절은 고생하시겠군요.
      아예 이번 기회에 윈도우 설치 및 필수 프로그램들 모두 설치한 후에 고스트로 백업을 해두세요. 저도 모두 완벽하게 세팅 이후에 하드디스크 소리가 왠지 의심쩍어서(고장날 듯.. ^^) 고스트로 백업을 해두었습니다.

      간만에 고스트 사용하려니 여러가지 번거로운 점들이 많더군요. 아래 페이지 참고..

      http://severe1004.tistory.com/search/고스트

      2008.08.14 12:22 [ ADDR : EDIT/ DEL ]
  2. 알 수 없는 사용자

    정말 질긴 녀석이 침투했군요.
    이걸 만든 사람이 더 대단한것 같습니다. 왜 만들었는지

    2008.08.14 10:39 [ ADDR : EDIT/ DEL : REPLY ]
    • 엄청 고생했습니다.

      감염 이후 증상이... 자꾸 윈도우 메시지가 뜨면서 특정 사이트로의 연결을 유도하고, 해당 사이트에서 회원 가입하도록 하는 것으로 보아..

      해당 사이트에서의 디스플레이 광고 or Affiliate 모델의 광고 or 개인 정보 획득이 목적이지 않나 싶어요~

      2008.08.14 12:23 [ ADDR : EDIT/ DEL ]
  3. 가상 머신에서 실행해 보세요~
    xp설치하고 거기서 어둠에 세계 프로그램 돌리고 윈도우는 저장시점으로 다시 돌리고요.
    ^^ 귀찮은 면이 있지만 나름 유용할때도 많습니다.

    2008.08.14 13:04 신고 [ ADDR : EDIT/ DEL : REPLY ]
  4. 제 집에 있는 컴퓨터도 슬슬 다시 밀어야 할 때가 되지 말입죠.. -.-;

    2008.08.14 15:18 신고 [ ADDR : EDIT/ DEL : REPLY ]
  5. 우분투로 오세요ㅎ

    2008.08.14 16:24 [ ADDR : EDIT/ DEL : REPLY ]
  6. 저도 최근에 미국의 직장에서 애를 먹은 스파이웨어에 관한 글을 하나
    썼습니다. 요즘 스파이웨어 아주 똑똑하더군요. 다른분들에게도 좋은
    글일 것 같아 트랙백 하나 걸고 갑니다. ^^

    2008.08.23 00:48 신고 [ ADDR : EDIT/ DEL : REPLY ]