Autoruns 사용법! – Series (3)

안녕하세요~~~

 

5월입니다~ 5월은 그 숫자만으로 밝고 푸른 느낌을 주지 않나요 ^^?

여의도 공원은 사람들로 북적대고 간간히 촬영하시는 연예인님들도 보입니다.

얼마 전에는 이 시대의 대표 꽃남이죠? 이민호군을 봤습니다. 참……잘생겼더군요!

이렇게 아름다운 5월! 상큼하게 Autoruns를 통한 악성코드 대응법에 대하여 알아보겠습니다!

이전에 이미 Series(1), (2) 를 통해 기능 설명은 해드렸고요, 오늘은 최종회입니다!

 

그럼, 상콤하게 출발~!

 

가장 먼저, 악성코드를 동작 시켜 그 상태를 Autoruns를 통해 확인해 보도록 하겠습니다.

오늘 시연에 사용될 악성코드는 BHO 관련 악성코드로 V3에서는 아래의 진단명으로 진단하고 있습니다.

 

 

 

Autoruns Serires (1)에서 말씀드린바와 같이 BHO의 정보는 Explorer와 Internet Explorer에서 확인할 수 있습니다. 그럼 직접 해당 엔트리를 통해 해 확인해 보죠!

 

 

위의 그림에서 가장 먼저 눈에 들어오는 부분 “Not Verified(전자서명 없음)” 부분입니다. 그 다음으로 Image Path를 보면 해당 경로에 상당히 의심스러운 파일명의 파일이 보입니다.

 

Internet Explorer 엔트리를 통해 좀 더 알아볼까요?

 

 

Explorer에서 확인한 동일한 파일이 보이는 군요.

좀 더 자세한 정보를 확인하기 위하여 Process Explorer와 연동하여 보겠습니다

 

 

Command Line을 보면 Autoruns에서 확인한 녀석이 rundll32.exe를 통해 동작중임이 확인됩니다.

해당 프로세스의 등록정보를 보시죠.

 

 

Rundll32.exe 는 윈도우에서 사용하는 정상적인 실행 파일이지만 많은 수의 악성코드에서 이 이름을 사용하거나 비슷한 이름으로 가장하여 이용하고 있으므로 주의가 요구됩니다.

 

 

이제 Autoruns를 이용하여 악성코드를 제거해 보겠습니다.

앞서 말씀드리바와 같이 Autoruns의 Delete 기능으로 해당 값을 삭제 할 수 있습니다!

 

먼저, 현재 프로세스가 실행 중이므로 Process Explorer에서 해당 프로세스를 kill 해줍니다.

 

다음으로 Autouns의 Explorer에 등록되어있는 의심파일을 Delete 해줍니다.

  

 

 

Internet Explorer에 등록된 의심파일 역시 Delete 해줍니다.

 

 

 

이렇게 하면 해당 악성코드에 대한 레지스트리 값을 모두 삭제하였으므로 행여나 쓰레기 값이 남아있더라도 정상적으로 동작하지 못 할 것입니다.

V3로 검사하여 악성코드에 대한 정보가 남아있는지 확인해 보는 것을 끝으로 이 글을 마치도록 하겠습니다.

 

 

 

마치며……

 

5월에 첫 번째 글! 상콤 하셨나요^^?

지금까지 Series(1), (2), (3) 를 통해 다소 길게 진행했던 것 같은데요. 여기서 한 가지 말씀 드리고 싶은 건 이 세상에 완벽하고 강력한 tool은 없다는 것입니다. 평소 자신이 설치한 파일에 관심을 갖고, 모르는 파일이나 설치하지 않은 파일의 유무를 확인하며, 윈도우 및 백신 등에서 제공하는 최신의 업데이트를 꾸준히 받아 항상 최신의 버전을 유지하는 습관이야 말고 변화하는 악성코드에 대처하는 가장 강력한 tool일 것입니다!

이런 면에서 여러분 모두 진정한 슈퍼 유저가 되길 바라며 이상 글을 마치도록 하겠습니다~!

감사합니다. ^_^