PC를 사용하다보면 가끔 인터넷 등의 네트워크 속도가 현저히 느려지는 경험을 누구나 해보았을 것이다. 이러한 경우 하드웨어 성능상의 문제, 혹은 PC상에서 정상 프로그램에 의해 CPU 점유율이 상승하여 느려질수 있거나 악성코드에 의해 자신의 PC에서 사용자 몰래 지속적인 트래픽을 유발시킴으로 그러한 증상이 발생하는 경우도 있을 수 있다.

이러한 경우 물론 윈도우에서 제공하는 커맨드라인 명령 창(cmd)에서 특정 명령어(netstat)를 입력하여 확인할 수 있으나, 이것 또한 일반 사용자들이 이용하기에는 불편한 점이 있는것이 사실이다. 이번 시간에는 이와 같은 상황이 발생할 시 유용하게 사용할 수 있는 Tool에 대해 알아보는 시간을 갖도록 하겠다.

◆ PC가 느려졌다..인터넷이 왜이러지..? 네트워크 상태를 점검해 보자!

TCPView

 - TCP와 UDP등 사용자 PC의 일련의 네트워크 상태를 간단한 UI를 통해 제공.
 - 다운로드 URL : http://technet.microsoft.com/ko-kr/sysinternals/bb897437(en-us).aspx


- 간단한 UI 설명.(적색박스의 왼쪽 아이콘부터)

 1) 저장.
 2) Local Adress, Remote Address를 IP 또는 호스트 이름으로 설정.
 3) 현재 연결된 정보만 출력.
 4) 새로고침.


- 간단한 UI 설명.(적색박스의 왼쪽 메뉴부터)

  1) Process : 현재 실행중인 프로세스
  2) Protocol : 프로토콜 표시(TCP, UDP)
  3) Local Address : 로컬 PC의 IP 주소 또는 호스트 이름과 포트번호
  4) Remote Address : 원격 PC의 IP 주소 또는 호스트 이름과 포트번호
  5) State : 연결상태 표시
   - CLOSE_WAIT : 연결 종료 대기 상태
   - CLOSED : 연결 종료 상태
   - ESTABLISHED : 연결중인 상태
   - SYN_RECEIVED : 연결 요청 수신 상태
   - SYN_SEND : 연결 요청 발신 상태  
   - FIN_WAIT_1 : 소켓과 연결이 종료중인 상태
   - FIN_WAIT_2 : 원격지로 인한 연결 종료 발신 대기 상태
   - LISTEN : 포트를 열고 원격지로 부터 연결 발신 대기 상태.
   - LAST_ACK : 연결 종료 후 최종확인 대기 상태
   - TIMED_WAIT : 연결 종료 후 원격지의 수신 보장을 위한 대기 상태
   - 연결 목록 색인
     1. 초록색 : 정상연결
     2. 빨강색 : 연결이 끊기거나 종료
     3. 노란색 : 연결이 바뀌었을 때



위 그림 처럼 악성코드에 감염되면 추가적인 악성코드의 다운로드등을 위해 지속적인 패킷을 발생시키는 경우가 많다. TCPView는 PC의 네트워크 현황을 UI을 통해 실시간으로 정보제공을 해주기때문에 악성코드 감염 의심상황에서 쉽게 네트워크 트래픽 체크가 가능하다.

위와 같이 Internet Explorer를 통한 지속적인 트래픽이 발생한다면 특정 파일로 인하여 악의적인 BHO동작을 의심해볼 수 있으므로 백신 및 상기에서 설명한 Tool등으로 PC에대한 확인작업이 필요하다.


확인결과 해당 트래픽을 유발시키는 Internet Explorer는 사용자 몰래 BHO로 동작중인 상태였으며, TCPView에서 확인이 가능한 해당 항목에 대해 마우스 우 클릭을 통해 Process를 종료 할 수 있다. 

그러나  단지 Process에 대한 종료 작업만 진행된 상태이므로 Process Explorer, Autoruns등의 Tool을 이용하여 실행되어 있는 다른 악성코드에 대한 Process나 BHO등으로 등록되어 있는 라이브러리 모듈과 같은 레지스트리 등록값을 확인하여 삭제 및 동작정지 작업을 진행하면 완전하게 차단이 가능하다.

이번 시간은 위와 같이 TCPView의 활용법에 대해 알아보았으며, 악성코드 감염 시 이전 시간에 설명한 다른 Tool들과 함께 사용한다면 악성코드로 부터 PC를 더욱더 안전하게 지키는데 효율적으로 활용 할 수 있을 것이다.


<※ 도구 활용편 추가 보기>

[Process Explorer 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #1 : http://erteam.nprotect.com/11
[Autoruns 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #2 : http://erteam.nprotect.com/12
[Gmer 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #5 : http://erteam.nprotect.com/15

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect