Autoruns를 이용한 악성코드 진단과 처리
- Autoruns 다운로드 페이지
http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
- Sysinternals 의 Autoruns
- Autoruns는 MS가 배포 하지만 실제는 윈도우 시스템 툴의 강자인 Sysinternals사의 작품입니다.
Autoruns외에 Process Explorer등이 유명 합니다.
- Autoruns는 쉽게말해서 윈도우가 실행 될때 실행되는 프로그램을 일목요연하게 보여주는 프로그램입니다.
윈도우 XP의 경우 루트킷같은것이 있어서 Autoruns만으로는 모든 분석을 할 수 없지만 윈도우7 부터는
Autoruns만 있어도 시스템에 이상한 녀석이 들어왔거나 하는것은 어지간 해서는 다 발견 가능합니다.
- 필자의 컴퓨터
- 필자의 컴퓨터는 윈도우 7의 64비트를 씁니다. 보안성도 좋고 게임 같은거 문제 없습니다.
- 쓸모 없는 프로그램, 출처가 불확실한 프로그램은 절대 설치 하지 않으며 방화벽과 백신을 구동해서
시스템을 보호합니다.
(예전에는 악성코드가 들어와도 발견과 처리 할 수 있기때문에 백신을 설치 하지 않은적도 있지만
요즘은 귀찮아서 그냥 설치 합니다)
- 기본 실행
1. 일단 autoruns를 실행 하면 바로 스켄에 들어갑니다. Esc를 눌러서 중지 합니다.
2. Option에 Filter Options에 들어가서
- Verify Code signatures
- Hide Microsoft entries
두가지를 체크 합니다
3. F5 를 눌러서 다시 스켄을 합니다.
4. Everything 페이지에서 무수히 많은 내용이 나올겁니다. 여기 있는 내용을 다 이해하면 초고수인것이고
하나 하나 페이지마다 돌아다니면서 이상한 점을 찾으면 됩니다.
친절하게 이상하다 싶은것은 진한핑크색으로 처리 되어 있으므로 그부분을 주로 보면 됩니다.
5. Publisher에 (Verified)라고 뜨는것은 MS서버에 물어봐서 정상적인 파일임이 확인된 파일입니다.
(Not verified) 라고 뜨는 파일이 알수 없는 위험도가 높은 파일이지만 회사에 따라서는 원가 절감을 위해서
MS인증을 받지 않고 배포 되는 경우도 있습니다. 무려 MS의 파일도 (Not verified)로 배포 된는 파일도 있죠
- Logon 페이지
- 윈도우 실행시 자동으로 실행되는 프로그램의 리스트를 보여줍니다. 여러가지 엄한 프로그램이 설치 되어 있다면
상당한 양의 리스트가 보일것이고 관리가 잘 되어 있다면 매우 적은 양만 보이게 됩니다.
- 필자의 화면을 보면 V3lite, 로지텍 드라이버, 애플관련 프로그램, ATI관련 프로그램등이 보입니다.
다 (Verified) 된 정상 파일 입니다.
- (Not verified)로 되어 있는 파일의 경우 SoundMax는 메인보드 내장 사운드 드라이버 입니다.
- CurseClient 관련 파일도 알수 없음이라고 되어 있지만 이것도 믿을만한곳에서 받은 정상 파일이죠
- 자신이 잘 모르겟다 싶은것이나 사용하지 않을것은 은 체크를 해제 해두면 됩니다.
필자의 경우 아버지 핸드폰 연결용으로 쓰는 LG 휴대폰의 연결관리 프로그램과 DivxUpdate를 체크 해제 했습니다.
- 일부 악성코드의 경우 대놓고 Logon 페이지에서 실행되는 경우도 있습니다.
(Not verified)이면서 알수 없는 파일의 경우 체크 해봐야 합니다.
- Internet Explorer 페이지
- IE에 붙어서 동작하는 BHO관련 프로그램의 리스트가 보여집니다.
- 툴바 프로그램이나 기타 IE에 붙어서 돌아가는 프로그램 등
- 이곳에 매우 많은 리스트가 있다면 IE가 막장으로 돌아가고 있다는 뜻입니다.
- 이곳에서 알수 없는 파일이 있다면 주로 에드웨어나 스파이웨어등이 주로 해당 됩니다.
- Service 페이지
- 윈도우에 서비스로 돌아가는 프로그램의 리스트 입니다. 역시 리스트가 많으면 윈도우에 깔린것이 많다는 뜻입니다.
일단 기본적으로 윈도우 자동시작 프로그램을 띄우는 경우도 있고 진자로 프로그램의 서비스가 설치 되는 경우도 있습니다.
- 웹하드의 클라우드 서비스가 주로 서비스에 등록 됩니다.
- 악성코드의 경우 서비스에 등록 되어 동작하는 경우도 있습니다. 이경우 회사이름을 위장 하는 경우도 많습니다.
(Not verified)의 경우 주의 해야 합니다.
- 필자의 화면을 보면 에플과 로지텍, N드라이브, V3관련 서비스가 있는것을 확인 가능하며
잉카의 nProtect관련 서비스는 죽여놨습니다.
- Drivers 페이지
- 임시로 혹은 영구적으로 윈도우에서 돌아가는 서비스 드라이버파일리스트를 보입니다.
- 임시로 사용하고 삭제 되는 임시 드라이버들도 리스트에 등록 되므로 (file not found) 관련 오류가 있을 수 있습니다.
악성코드가 루트킷등으로 숨어서 안보일 가능성도 있긴 하지만 그런 가능성은 낮습니다.
- 역시나 악성코드일 가능성이 있으므로 (Not verified)로 되어 있는 파일은 주의 해야 합니다
- Boot Execute, Image Hijacks, Appinit (매우 중요!)
- 이부분은 정상적인 윈도우라면 비어있는것이 정상입니다.
어떠한 파일이 등록되어 있다면 높은 확율로 악성코드입니다.
특히나 WOW나 디아블로등의 해킹에 사용되는 악성코드는 Appinit에 주로 붙어서 동작합니다.
Appinit에 Himym.dll 파일이 붙어있다면 악성코드 100%
- 악성 코드 발견시의 대처
- 일단 해당 부분을 체크 해제 해서 재부팅 합니다. 그리고 다시 Autoruns를 실행 해서 계속 체크 해제 상태인지
확인 합니다. 다시 체크가 되어 있다면 다른 악성코드가 다시 등록한것이기 때문에 악성코드가 1개 이상일수
있습니다.
- 악성코드 체크 해제 후 재부팅을 했다면 해당 부분을 오른쪽 클릭해서 [Jump to Folder]를 선택하면 탐색기로 해당
폴더를 엽니다. 그리고 파일을 압축 해둔 다음 삭제 합니다.
- 그냥 지우는것은 비추천 합니다. 잘못 판단 했다면 다시 살려야 하니까요
안전한 게이밍과 웹서핑을 위한 보안 전문가의 조언
** 이건 절대 하지 마라
1. Windows XP 쓰지 마라
- XP 나온지 10년된 OS이고 커널 자체도 구형, 그리고 너무 많이 분석 되어 있어서
너무 쉽고 다양하게 뚫릴 가능성이 많으며 한번 뚫리면 루트킷에 기타 등등
다양한 해킹 상황을 만날수 있다.
- 그냥 XP는 쓰지 말것 윈도우 7 추천, 운영할 자신 있다면 64비트로 추천
2. IE 쓰지 마라, 특히 6,7,8
- IE9는 조금은 봐줄만 하지만 그 밑으로는 쓰지 말라고 하고 싶음.
- 특히나 IE에서 넣는 비밀번호는... 보안성이 매우 떨어짐
- 구글 크롬을 주로 추천합니다. (몇몇나라는 이미 크롬의 점유율이 IE를 넘어섰음)
3. 가상 키보드 쓰지 마라
- 마우스로 클릭해서 키보드 넣으니 안정적일것 같지만 정반대임
그냥 후킹되서 비밀번호 다 불어버린다. 보안 가상 키보드 아닌 이상 절대 가상키보드 쓰지 말것
4. 방화벽 없이 인터넷 하지 말것
- 인터넷 공유기가 기초적인 방화벽기능을 함, 1대만 쓰더라도 공유기를 쓰는것을 추천
- 설정 복잡하고 다양한 기능의 방화벽까지 바라지는 않더라도 최소한 윈도우 방화벽 정도는 켜놔야 됨
- 추천하는 일반인 세팅은 공유기 환경 + 윈도우 방화벽 OR 설정이 쉬운 방화벽 계열
- 그리고 인터넷 공유기 DMZ 설정은 절대 하지 말것
5. 백신 같은거 믿지 마라
- 딴나라에서 잘나간다고 내가 가는 사이트가 해킹된거 검출해준다는 보장은 없다.
악성코드는 점점 더 지역화되어 가고 있기 때문에 유명 한거 쓴다고 해도 믿을수 없다. 복불복임
- 또한 한번 감염 되면 백신을 무력화 시키고 자신이 동작하는 AV-KILLER 계열 악성코드가 많으므로
자신이 사용하는 백신의 실시간 감시가 꺼졌거나 업데이트가 동작하지 않는다면 높은 확율로 악성코드에
감염된것이다. 재설치 해도 업데이트/실시간 감시가 동작하지 않는다면 100%
6. 알수 없는 소스에서 얻은 실행 파일은 실행 하지 않는다.
- 개인이 만든 유틸리티 다운로드 후 설치
- 키잰, 크랙
- 불법 다운 게임
- 위의것들이 난 이것을 해드립니다 하는 기능외에 추가적인 동작을 하거나 스파이웨어를 심거나
할 수 있음.
- 유명한 유틸리티고 공식 배포처가 아닌곳에서 다운 받았다면 악성코드와 함께 재 패키징 되어 있을수 있음
- 키잰과 크랙이 해당 기능만 하고 곱게 사라져 준다는 보장이 있나?
7. 웹서핑은 안전한 브라우저로
- IE로 브라우징 할 경우 사이트 감염을 확인 가능한 추가 프로그램을 설치 (사이트 가드 같은것)
- 크롬이나 파이어폭스등은 들어가기 전에 감염된 사이트 경고를 하니까 일반적으로 추천함
- 유명한 커뮤니티 사이트, 신문사이트 이런것 매우 잘 털림.
특히 상주인력이 적고 대응이 느린 주말에 잘 털림
8. 중국산과 관련된 프로그램
- 과거 QQ메신저등 중국과 관련된 프로그램은 많은 취약점과 해킹으로 사용자를 위협했었음
- 중국산 S/W의 경우 취약점도 많으며 취약점을 찾아서 공격하려는 중국 해커의 표적이 되기 때문에
사용을 최소화 한다.
9. 동일한 패스워드로 인터넷과 게임을 병행 하면 안됨
- 인터넷 로그인용 ID/PASS, 게임용 ID/PASS, 은행용 ID/PASS 3벌을 완전히 다르게 해서 사용하는것이 안전하다
개인정보 털려 나갔다고 뉴스에 뜨는건 그야말로 이미 털린거 입막을거 막고 숨길려고 하다가 들통난거라
실제로는 어마어마하게 해킹되어 퍼졌다고 할 수 있다. 문제는 자신이 털린지도 모르는 사이트도 널렸다는거
그러므로 인터넷 로그인용 패스워드는 버리는 카드로 써야됨 게임과 동일하게 하면 게임까지 털리게 됨
10. 백신을 2개 깔면 안됨
- 백신을 2개 까는건 절대 안되는 행동임, 특히 XP급의 OS에서 백신 2개 설치 하면 무슨일이 있을지 장담할수
없으며 설치된 백신이 정상 동작 한다고 보장 되지도 않음
- 실시간 감시만 끄면 되는거 아냐 하는 생각 하지도 말것 절대 1PC 1백신 유지
- 비슷한걸로 방화벽도 2개 깔면 안됨
** 이건 좀 해주자
1. 업데이트는 꼼꼼히 챙겨서 한다
- 윈도우 업데이트, 플레시 업데이트 S/W 업데이트등의 대부분의 보안 업데이트일 가능성이 크다.
업데이트는 최대한 나오자 마자 해주는게 좋다.
(물론 진짜 안정적인 컴퓨팅은 나오고 안정적이라는것 확인 후 업데이트 하는것)
2. 최소한의 해킹 방어에 대한 공부를 한다.
- AUTORUNS 같은 MS가 제공 하는 시스템 분석툴을 조금만 볼 줄 알아도 자신의 상태를 파악 할 수 있다.
- 어떤 사이트가 잘 털리고 어떤 소프트를 썼을때 문제가 있는지의 정보를 본다.
- 네이버등에 보면 보안이나 악성코드 관련 까페가 많으므로 가입해서 정보만 읽어봐도 트렌드를 알 수 있음
ps.
- 많은 분들이 해킹관련 고생하는것 같아서 급하게 급조했습니다. 오타등이 있을수 있습니다. (필자도 겜해야 해서...)
최근 덧글