은폐된 악성파일 수집 및 삭제 방법(Gmer)

악성코드는 시스템에서 오랜기간 생존하기 위해 보안 제품에 탐지 및 제거되지 않으려 다양한 방법을 사용합니다. 이러한 방법중 루트킷(RootKit) 을 이용하여 파일을 은폐하는 방법이 있습니다.

[루트킷(RootKit)]

시스템의 루트(Root) 권한을 얻는 도구(Kit), 루트킷을 사용하여 파일을 은폐하거나 쉽게 삭제할 수 없도록 할 수 있습니다.

은폐된 파일을 윈도우의 작업 관리자 창과 같이 일반적인 방법으로 확인할 수 없기 때문에 안티-루트킷 툴(Anti-RootKit Tool)을 사용해야 합니다.

이 글에서는 안티-루트킷 툴 중에서 GMER를 사용하여 은폐된 파일을 수집하고 삭제하는 방법에 대해서 알아보겠습니다. 시작에 앞서, 아래의 주소에서 GMER Application을 다운로드 하실 수 있습니다.

[GMER 다운로드 안내]

* GMER 공식 홈페이지 : http://www.gmer.net

* GMER Application 다운로드 : http://www2.gmer.net/gmer.zip

GMER을 실행시켰을 때 은폐된 파일이 존재할 경우 아래와 같은 메세지박스가 출력됩니다. 그리고 은폐된 파일은 빨간색 글씨로 출력됩니다. 아래와 같은 메세지박스가 출력되면 "아니오"를 클릭하고 계속 진행하겠습니다.

우선 상기의 빨간색으로 표시된 은폐된 파일은 악성파일이므로 프로세스를 Kill 하겠습니다. 방법은 해당 파일에 우클릭을 한 후 "Kill process"를 클릭하시면 됩니다. 프로세스를 Kill한 후 ">>>" 탭을 클릭하면 다음 그림에서처럼 다른 탭들이 보여지게 됩니다.

 

[파일 수집]
"Files" 탭을 선택합니다. 그런 후 해당 파일이 존재하는 경로로 이동을 합니다.

파일을 수집하기 위해서는 오른쪽에 보이는 "Copy"를 클릭하셔서 임의의 경로에 저장을 하신 후 ZIP파일로 압축하셔서 [악성코드 신고센터 바로가기]로 보내주시면 됩니다.

[파일 삭제]
악성코드가 V3 엔진에 업데이트 되기 전에 치료를 원하실 경우, "Delete"를 클릭하여 삭제하시길 바랍니다.

글을 마치며...
주의하실 점은 은폐된 파일이라고 모두 악성파일이 아니라는 것입니다. 은폐된 파일을 Kill하고 Delete하시기 전에 꼭! 주위 전문가에게 정상 파일이 아닌지 확인해 보시기 바랍니다.