출처: 안철수 연구소
원문: http://www.coconut.co.kr/04news/secu/0712/htm/seculetter03.html
쩝~ 그림이 깨지네요. 위 원문 링크 이용하세요~~
|
|
|
2007/12/07(금)
(주)안랩코코넛 전략마케팅실 기술기획 / 주임 유상준 |
|
최근 발견되는 악성코드들을 보면 수많은 변종들과 실행파일압축 기법, 파일 및 프로세스 은폐 기능 등 다양한 기법들을 적용하여 안티 바이러스
제품에 의한 악성코드 진단 및 치료를 더욱 더 어렵도록 하고 있다. 실제로 운영 중인 시스템의 사용자가 악성코드 감염으로 이상 징후를 느끼고
있으나 안티 바이러스 제품이 정상적으로 작동하지 않는 경우가 적지 않다. 따라서 이번 호에서는 이러한 경우 사용자가 수동으로 점검 할 수 있는
방안 중 악성코드로 의심되는 프로세스 또는 파일을 VirusTotal Uploader를 이용하여 악성코드 여부를 식별하고 실제 악성코드일 경우
정보 수집을 통해 사용자가 직접 수동으로 제거할 수 있는 방법에 대해 알아보고자 한다.
Virus Total Service
현재 국내 주요 포털 등에서 인터넷을 통해 무료로 제공하고 있는 특정 벤더의 안티 바이러스 엔진을 이용하여 악성코드를 진단할 경우 모든
악성코드 식별에는 한계가 있다. Virus Total, VirScan, Jotti's Malware Scan 은 한번에 여러 벤더의 안티
바이러스 엔진을 이용하여 악성코드에 대한 진단 결과를 알려 준다.
Virus Total(http://www.virustotal.com/)은
사용자가 직접 바이러스, 웜, 트로이 목마로 의심되는 파일을 전송하여 다양한 안티 바이러스 엔진을 통해 진단하는 무료 서비스이다. Virus
Total은 사용자가 악성코드로 의심되는 파일을 업로드 할 수 있는 세 가지 방법을 다음과 같이 제공한다.
(1)
직접 사이트 방문 후 업로드 기능을 이용
(2) 이 메일에 첨부하여 업로드 하는 방법
(3) 사이트 방문 없이 VirusTotal
Uploader를 통해 시스템으로부터 업로드 하는 방법
여기선 VirusTotal Uploader를 통해 업로드 할 것이므로 아래 URL 에서 해당 VirusTotal Uploader를 다운받아
설치하도록 한다.
>사용
도구
-
VirusTotal Uploader
(http://www.virustotal.com/vtsetup.exe)
-
IceSword v1.22
(http://www.antirootkit.com/software/IceSword.htm)
또한 레지스트리 및 DLL, Hidden 프로세스 등을 확인하기 위한 도구로 IceSword v1.22를 사용 할 것이므로 해당 진단
도구가 없다면 위 URL에서 다운 받도록 한다. IceSword v1.22는 설치 없이 바로 사용이 가능하며, VirusTotal
Uploader는 간단히 설치가 가능하므로 별도로 설명하지는 않는다.
VirusTotal Uploader를 이용한 악성코드 식별 및
제거
VirusTotal Uploader는 악성코드 감염이 의심되는 상황에서 시스템에 안티 바이러스 제품이 설치되지 않았거나 설치된 안티
바이러스 제품이 정상적으로 작동하지 않을 경우 악성코드를 식별하는데 매우 유용하게 사용될 수 있다. 아래 [그림 1]은 시스템의
C:\Program Files\ 내에 사용자가 설치하거나 생성한 적이 없는 폴더 및 실행 파일이 존재하고 있고 악성코드로 의심되는 해당 파일을
VirusTotal Uploader를 이용하여 전송하는 과정이다. |
 |
| [그림 1] 악성코드로 의심되는 파일을 Virus Total
Uploader를 이용하여 전송 |
|
전송 후 [그림 2]의 진단 결과를 살펴 보면 다양한 안티 바이러스 제품에서 업로드 된 파일을 악성코드로 진단하고 있으며, 안철수연구소
V3 엔진의 진단명은 Win-AppCare/Searchtwo.32678 라는 것을 알 수 있다. |
 |
| [그림 2] Virus Total 진단 결과 |
|
해당 악성코드에 대한 진단명을 알았으므로 [그림 3], [그림 4]에서와 같이 안철수연구소 홈페이지를 방문하여 악성코드에 대한 분석 정보를
수집할 수 있다. |
 |
| [그림 3] 악성코드 정보 수집 1 |
 |
| [그림 4] 악성코드 정보 수집 2 |
|
[그림 5]는 이렇게 수집된 정보를 토대로 IceSword v1.22 프로그램을 사용하여 윈도우 시작 시 자동 실행되지 않도록 등록된
레지스트리 키 값을 삭제하는 과정을 보여주고 있다. |
 |
| [그림 5] 윈도우 시작 시 자동 실행되도록 레지스트리에
등록된 키 삭제 |
|
마찬가지로 [그림 6]에서 보는 바와 같이 프로세스에 대한 정보를 조회한 결과 특정 프로세스에 해당 악성코드가 함께 실행되고 있다는 것을
보여주고 있다. 악성코드가 프로세스와 함께 실행되는 경우에는 정상적으로 제거가 안되므로 안전모드로 부팅하여 삭제하도록 한다.
|
 |
| [그림 6] 프로세스 조회 |
|
이렇듯 시스템이 악성코드로부터 감염이 확실해진다면 악성코드를 제거하기 위해 안티 바이러스 업체로부터 수집한 분석 정보를 토대로 차례차례
모두 제거해 나가면 된다. 여기까지 VirusTotal 진단 서비스를 이용하여 악성코드 여부를 판별하고 삭제하는 방법을 알아보았으며, 악성코드가
감염이 의심되는 상황에서 여러분이 설치한 안티 바이러스 제품이 정상적으로 작동하지 않는다면 위에서 소개한 팁을 활용하여 악성코드를 제거하는데
조금이나마 도움이 되었으면 한다. |
- 끝 - |