본문 바로가기

[☩ Security ☩]

Virus관련 이상 증상 BEST 5

오랜만에 안철수 연구소에서 초보분들이 읽으시면 좋은 만한 글을 퍼 왔습니다. ^^

바이러스, 특히 웜과 관련된 이상 증상은 크게 5가지로 볼 수 있습니다.

1. 인터넷 속도가 느려진다
웜은 감염된 컴퓨터에서 다른 PC로 자신을 옮기기기 위해서 인터넷을 사용합니다. 물론 아주 조금만 사용한다면 우리가 눈치 채지 못할 수 도 있지만, 웜은 가능하면 많이 자신을 위해서 대놓고 활동을 합니다. 따라서 인터넷 속도가 답답할 정도로 느려지고, 심지어는 웜 때문에 "페이지를 표시할 수 없습니다." 라는 친숙한(?) 에러 메시지 페이지를 볼 수도 있습니다.

2. 컴퓨터 속도가 느려진다
웜은 인터넷으로 자신의 파일을 계속 퍼뜨리려 하기 때문에 웜에 감염되면 컴퓨터 속도가 덩달아 느려지게 됩니다. 웜이 모든 자원을 사용하고 CPU를 100% 점유하고 있어서 정작 컴퓨터의 주인인 내가 메모장을 하나 띄우려면 몇 분씩 걸리고, 마우스는 슬로우모션으로 움직이게 됩니다.

3. 컴퓨터가 자꾸 꺼졌다 켜진다
컴퓨터가 자꾸 60초후 재부팅한다는 메시지를 띄우고 그 시간이 지나면 재부팅하는 것을 반복하는 경우가 있습니다. 이것은 외부에서 들어오는 웜 공격에 의해서 발생하는 현상이며, 일반적로 블래스터 웜(
Win32/Blaster.worm)이나 새서 웜(Win32/Sasser.worm) 때문에 발생하는 현상입니다. 하지만 이러한 경우는 아직 감염을 시도하는 상태라서 V3나 기타 백신프로그램으로 진단을 해도 웜은 발견되지 않습니다. 관련 윈도우 보안 패치를 설치해야 문제가 해결됩니다.


(1) [Remote Procedure Call(RPC)] 관련 메시지가 나올 때

이 창은 블래스터 웜(Win32/Blaster.worm)이 공격해 올 때 나타나는 창입니다. 이러한 창이 나타나며 컴퓨터가 계속 재부팅될 경우에는 자신의 윈도우 버전에 맞는 관련 보안 패치를 설치하면 문제를 해결할 수 있습니다.


Windows 2000(한글버전)


패치 파일 받기


Windows 2000 (영문버전)


패치 파일 받기


Windows XP (한글버전)


패치 파일 받기


Windows XP (영문버전)


패치 파일 받기


Windows NT 4.0 (한글버전)


패치 파일 받기


Windows NT 4.0 (영문버전)


패치 파일 받기


Windows NT Server 4.0 Terminal


Server Edition (영문버전)


패치 파일 받기


Windows Server 2003 (한글버전)


패치 파일 받기


Windows Server 2003 (영문버전)


패치 파일 받기

(2) [lsass.exe] 관련 메시지가 나올 때

이 창은 새서 웜(Win32/Sasser.worm)이 공격해 올 때 발생합니다.
아래의 표에서 자신의 윈도우 버전에 맞는 윈도우 보안 패치를 설치하면 문제를 해결할 수 있습니다.


Windows 2000 (한글버전)


패치 파일 받기


Windows 2000 (영문버전)


패치 파일 받기


Windows XP (한글버전)


패치 파일 받기


Windows XP (영문버전)


패치 파일 받기


Windows NT 4.0 (한글버전)


패치 파일 받기


Windows NT 4.0 (영문버전)


패치 파일 받기



Windows NT Server 4.0 Terminal


Server Edition (영문버전)


패치 파일 받기


Windows Server 2003 (한글버전)


패치 파일 받기


Windows Server 2003 (영문버전)


패치 파일 받기

4. 컴퓨터가 부팅이 되지 않는다
컴퓨터가 부팅이 안된다고 해서 웜의 탓으로만 돌릴 수는 없습니다. 하지만 아래와 같이 부팅이 안된다면 웜의 장난일 가능성이 높습니다.

Win2000 이나 WinXP에서 컴퓨터를 부팅하다보면 로그온 창 바로 직전에 저런 메시지 창이나 문구를 보게됩니다. 하지만 거기서 계속 멈추어 있고 로그인 창이 안나오는 경우가 있습니다. 그런데, 기다리다 치쳐서 Ctrl + Alt + Del 키를 눌러보았을 때 생뚱맞게 로그온 창이 나오는 경우가 있습니다

"어? 나왔네?"하고 로그온을 해보면 부팅이 됩니다. 무슨일이 있었을까요? 웜이 부팅을 방해했을 가능성이 높습니다. 웜의 경우 부팅이 될 때 자신이 함께 실행되도록 하는데, 그 실행되는 순간이 로그온 바로 직전입니다. 윈도우 부팅과정은 상당히 오묘하며 일련의 규칙에 따라 작동합니다. 이런 일련의 과정중에 무리하게 자신을 억지로 끼워넣는 웜 때문에 윈도우 부팅은 방해를 받을 수도 있습니다. 얼른 부팅이 되어야 하는데 웜은 자기도 실행되어 보겠다고 훼방을 놓아 버려서 이러한 경우가 발생합니다.

이런 경우에는 부팅이 되는대로 백신으로 검사를 해보아야 합니다.

5. 실행이 안되는 프로그램이 있다
이 부분은 웜의 종류에 따라서 일어날 수도 있고 일어나지 않을 수도 있습니다.

하지만 이러한 현상이 발생한다면 웜감염을 의심해 볼 수 있습니다.

(1) 레지스트리 편집기가 실행 안되는 현상
프로그램이 설치될 때, 기본적인 설정 정보들이 저장되는 장소를
레지스트리(등기소;registry)라고 합니다.

레지스트리(registry)란? "난 이런 프로그램이야" 라든가, "난 어떻게 실행해줘", 또는 "컴퓨터가 켜질 때 나를 좀 실행해줘" 같은 프로그램의 설치정보나, 요구사항들이 적혀있는 공간입니다.

이런 레지스트리를 우리가 직접 편집할 때 사용하는 프로그램이 바로 레지스트리 편집기입니다. 레지스트리 편집기는 [시작] -[실행] 창에 "regedit"를 입력하여 실행할 수 있습니다.

실행하면 아래와 같은 창이 나오는 것이 정상입니다.

주의! 레지스트리에는 우리가 사용하는 윈도우나 프로그램의 중요한 정보가 모두 담겨 있습니다.

함부로 수정하거나 삭제할 경우 큰 문제가 발생할 수도 있으니 조심하세요. 웜은 보통 레지스트리의 한부분을 수정하여 컴퓨터가 켜질 때마다 자신을 실행하도록 만듭니다.

컴퓨터를 다시 켰다고 실행안되는 웜은 아무런 의미가 없으니까요. 컴퓨터 고수들은 직접 레지스트리 편집기를 실행하여 이러한 부분을 지우기도 합니다. 웜 제작자들은 컴퓨터 고수들이 이렇게 레지스트리 편집기에서 직접 수정하는 것을 막기 위해서 레지스트리 편집기를 실행하지 못하도록 방해하는 기능을 웜에 넣어 놓는 경우도 있습니다. 이런 웜에 감염되면 레지스트리 편집기가 실행되지 않는 일이 벌어집니다.

(2) 복사/붙여넣기가 안되는 현상
문서나 파일을 작성하면서 복사/붙여넣기 기능을 많이 사용합니다. 하지만 아무리 붙여넣기를 해도 문장이 붙여 넣어지지 않는다던가, 파일이 복사되지 않는다면  이것도 웜감염을 의심해 볼 수 있습니다. 윈도우의 중요한 프로세스중에는 RPC DCOM이라는 프로세스가 있습니다. RPC DCOM의 역할중에는 복사 명령을 받았을 때 그 정보를 특정한 공간에 저장해두고, 붙여넣기 명령을 받았을 때 저장해두었던 정보를 꺼내주는 기능이 있습니다. 그런데 웜 중에서는 RPC DCOM를 마비시키는 현상을 가지고 있는 종류가 있습니다. 이러한 웜에 감염되었을 때에는 RPC DCOM이 마비되어 정상적으로 동작하지 않으므로, 복사/붙여넣기 기능이 잘 되지 않는 경우가 생깁니다. 중급유저들은 이런 복사/붙여넣기를 단축키인 Ctrl+C/Ctrl+V 키로 사용하곤 하는데 이러한 증상이 발생하면 키보드에 문제가 있어서 Ctrl 키가 안눌러지나 하고 애꿎은 키보드를 탓하기도 합니다. 하지만 이러한 현상이 발생하면 첫 번째로 웜감염을 의심해보기 바랍니다.

(3) 작업관리자 창이 열리지 않는 현상
내컴퓨터에 어떠한 프로그램이 실행중인가를 보는 창이 작업관리자 창입니다. 작업관리자창에서는 각 프로세스의 CPU사용량, 실행시간등의 구체적인 정보를 확인할 수 있습니다. 따라서 웜이 실행중에 있다면 작업관리자창에서 보이며, 컴퓨터 고수는 의심이 드는 프로세스를 종료할 수도 있습니다. 따라서 웜 제작자들은 작업관리자 창이 뜨지 않도록 방해하는 웜을 제작하곤 합니다. 작업관리자 창은 트레이에서 마우스오른쪽 버튼을 눌러 [작업관리자]를 선택하면 나타납니다.

아래와 같은 창이 열리지 않는다면 윔감염을 의심해 볼 수 있습니다.

만약 위에 나왔던 증상이 발생한다면 어떻게 해야할까요? 재부팅이 되는 경우를 빼고는 반드시 백신프로그램으로 바이러스 검사를 해보아야합니다. 컴퓨터가 느려서 도저히 백신으로 검사를 할 수가 없을 때에는 컴퓨터 뒤에 있는 랜선을 뽑아 놓고 검사해보면 됩니다. 랜선이 뽑혀 있을 때에는 웜이 인터넷 사용을 못하게 되서 컴퓨터 속도가 다시 정상으로 돌아옵니다. 웜은 점차 지능적으로 진화하고 있습니다. 스스로 살아남기위해서 우리들을 속이고 괴롭히는 것을 서슴치 않고 자행하고 있습니다. 모르면 당할 수밖에 없습니다. 우리가 조금만 더 현명해진다면 웜도 설 곳이 없을 것입니다.

'[☩ Security ☩]' 카테고리의 다른 글

CISSP 소개 및 시험자료  (2) 2008.05.04
CISA 소개 및 시험자료  (3) 2008.05.04
Hacker와 Cracker 차이  (11) 2008.04.30
싸이월드 방문자 추적기 사건사고  (15) 2008.04.27
노트북 도난방지 & 추적 프로그램  (14) 2008.04.22