Rustock 조치 가이드 (2)

3. 증상 발생 시 조치방법 II : 수동조치
-----------------------------------------------------------------

제품에서 진단되는 않는 경우, 아래 과정으로 수작업 조치를 통해 해결해야 한다.

1) GMER Download : http://www.gmer.net/gmer.zip 에서 툴을 다운로드 받으신 후, 임의의 폴더에 압축을 해제하여 gmer.exe를 실행한다.

2) GMER 실행 시 은폐형 파일이 존재할 경우 아래와 같이 메시지가 출력되며, hidden으로 표시된 항목을 찾는다. Rustock 의심파일의 특징은 Hidden이면서 파일명이 숫자로 시작하며 영문/숫자 조합으로 생성된다.

3) 여기서는 System32\drivers\7f0ed690.sys 이며, Rustock의 경우 정상모드에서 삭제가 되지 않기 때문에 안전모드(네트워크 지원)로 부팅하여 조치해야 한다.

* 안전모드 부팅 방법은  [안전 모드부팅 후 치료하기]글을 참조해 주시기 바랍니다.

4) 시스템을 안전모드(네트워크 지원)로 부팅한 후, GMER을 실행하여 등록한 서비스를 삭제한다.

5) 서비스 삭제 후 GMER의 [Files]탭을 선택하여 의심 파일이 위치하는 경로로 이동하여 해당 파일을 선택하여 [Kill] 한 다음, 수집을 위해 임의의 위치로 [Copy] 한 후, 파일을 [Delete]를 선택하여 삭제하고 재부팅하여 증상을 확인한다.