해킹 당한 후 증상들 #1 을 보신 분이라면 작업관리자나 관리도구에 있는 서비스를 열고 열심히 자신의 컴퓨터를 보셨을겁니다. 그리고 많은 분들이 안심을 하셨으니라 봅니다. 하지만 꼭 그런것도 아닙니다. 실제로 그런 경우가 있냐고요? 있습니다.
예를 들면 다음과 같은 환경입니다.
의외로 별거 없이 깨끗하게 보이는 환경입니다. 특별히 눈에 띄는 프로그램도 없고 깨끗하게 보입니다. 그런데 정말 그럴까요? 혹시 예전의 글 2007/08/01 - [FAQ Topics/해킹/웜/바이러스] - 루트킷과 같이 숨겨진 파일을 찾는 방법은? 나 2007/07/30 - [FAQ Topics/해킹/웜/바이러스] - "IceSword" 소개 를 기억하시는 분이 있으신지 모르겠네요. IceSword를 이용하여 시스템을 잠시 봤습니다.
파일명은 괜찮은거 같은데, 파일이 있는 위치가 정말 이상합니다. $NtServicePackUninstall$\spuninst\com1 밑에 있는건 확실히 이상합니다. 분명 서비스팩이나 핫픽스가 설치된 백업 파일은 제거용으로만 사용될텐데 말이지요. 이렇게 이상하다고 생각하고 있을 때, IceSword의 다른 기능을 보았습니다.
처음에 봤던 작업관리자에는 기록이 안된 프로세스가 실행되었음이 남아 있네요. 그래서 실행 프로세스 쪽을 보았더니....
빨갛게 된 프로그램들 보이시죠? 실행이 되고 있다고 나옵니다. 하지만, 여전히 작업 관리자에서는 나오지 않습니다. 그래서 이 프로세스들을 모두 강제 종료시켜 봤습니다. 그랬더니 신기하게 작업 관리자에 안보이던 프로그램들이 등장했습니다.
이것이 바로 루트킷을 이용한 해킹툴을 심은 것이지요. 물론 이러한 것은 관리도구-서비스에서도 확인이 가능합니다.
해킹으로 의심이 된다면, 눈에 보이는 것만을 믿지 마십시오. 눈에 보이지 않는 해킹툴을 만드는 것도 충분히 가능합니다.
'윈도우 보안' 카테고리의 다른 글
| 간단한 웹서버 해킹 점검 방법 (0) | 2008/09/09 |
|---|---|
| ARP 스푸핑 관련 자료 (1) | 2008/08/25 |
| 해킹 당한 후 증상들 #3 (5) | 2008/08/07 |
| 해킹 당한 후 증상들 #2 (0) | 2008/08/06 |
| 해킹 당한 후 증상들 #1 (0) | 2008/08/06 |
| 해킹사고!...이젠 소스코드분석으로 예방 한다 (0) | 2008/07/22 |
댓글을 달아 주세요
이러한 부분은 부팅시 자동으로 실행되는 레지스트리에 정보가 남아 있습니다.
이상하다 싶으면 일단 자동실행레지스트리부터 보시는게 빠릅니다,
이번에 설명한 루트킷을 이용한 부분은 레지스트리에 등록되어 있더라도 레지스트리 항목에서 보이지 않습니다.
프루나에서 XP설치 파일을 받아서설치를 했는데
starcom
hotfix Star Tema
라고 되어있는데요. 바탕화면에 아이콘 형식의 Objectdock이 설치되어있더라구요.
또 새로운 프로그램 같은거 설치할 때 설치 CD를 넣어서 원본파일을 복원하라고 창이 계속뜨구요.
이거 바이러스나 해킹당하고 있는거 아니죠?
제가 안철수연구소에서 나온 '빛자루' 쓰고 있는데요. 이걸로 검사하면 위의 해킹툴이나 그런거 다 찾을 수 있나요?
정품이라면 MS에 문의해보시는게 좋을듯 하군요. 적어도 제 기억에 그런 패치는 제공되지 않거든요. 안철수것을 사용하신다면 원격지원을 받아보시는 것도 좋을 듯 합니다.
starcom hotfix star tema objectdock 같은것들은
변조된 xp .. 블랙에디션.스누피 윈도우즈 xp 와 같은 것으로 바이러스나 백도어 프로그램들은 아닙니다.