감염 파일 수동 대응

악성파일 감염에 의해 인터넷 시작페이지가 www.114116.info 주소로 변경 시 수동 대처법

인터넷 시작페이지를 사용자 본인이 본적도 사용하지도 않는 주소로 변경해 버리는 악성파일이 있다. 주요 포털사이트 등을 통해 직/간접적으로 이러한 악성파일로 인해 피해를 입고 있는 많은 사용자들의 경험담(?)을 접해보았을 것이다. 이번 글에서는 이와 같은 인터넷 시작페이지 변조 악성파일에 감염되었을 경우 어떤방법을 통해 대처를 해야하는지 알아보는 시간을 가져보도록 하겠다.


◆ 내 PC가 말을 안들어..정상이 아닌가??



자, 위 그림을 보면 필자의 인터넷 시작페이지가 빈 페이지인 "about:blank" 에서 알 수 없는 특정 사이트로 바뀌어 있다. 다행히 해당 사이트는 현재 차단이 되어있다. 보통 이렇게 갑작스레 인터넷 시작페이지가 변경되는 원인은 악성파일 감염에 의한 경우가 상당수다.

그럼 이제 지난 글에서 설명한 악성파일 감염 시 수동치료에 도움이 될 수 있는 간단한 도구들을 사용하여 본인의 PC를 직접 점검하여보자.

[Process Explorer 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #1 : http://erteam.tistory.com/11

이런..위 그림의 적색박스를 보면 무언가 수상한...폴더모양의 프로세스가 실행되어있다. 일단 Description 등의 부분이 누락되어있다. 의심부터하고 다음단계로 넘어가 이번에는 레지스트리 정보를 계속 살펴보자.

[Autoruns 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #2 : http://erteam.tistory.com/12


역시 적색박스와 같이 알 수 없는 폴더모양의 파일들이 윈도우 시작 시 함께 실행될 수 있도록 레지스트리에 등록되어있다. 또한, 파일과 경로를 보니, Process Explorer에서 확인했던 프로세스와 같으며 Description 등의 정보가 누락되어있다. 즉, 해당파일이 악성파일이며 인터넷 시작페이지를 변경하는 등의 증상을 유발한다고 추정 할 수 있다. 이제 해당 프로세스를 종료하고 레지스트리 값을 떼어내어야 한다.


위 그림을 보면 프로세스 하나를 종료하면 다른 프로세스를 살려주는 상생구조로 이루어져 있다. 가지가지 하는 놈들이니 프로세스와 레지스트리 모두 한꺼번에 종료해야겠다.

레지스트리 부분에서는 Logon 텝 말고는 별다른 점이 발견되지 않았다. 위 그림과 같이 악성파일의 프로세스와 등록된 레지스트리 값을 모두 종료 및 삭제한 후 해당 경로에 존재하는 악성파일 또한 삭제한다.이로써 해당 악성파일에 의한 추가적인 동작을 완전히 막았다. 다만, 최초 문제가 되었던 인터넷 시작페이지 변조 부분은 여전히 고쳐지지 않고 있다.

물론 악성파일이 모두 제거된 상태이므로 "인터넷 옵션"의 "홈페이지" 부분을 원하는 URL로 변경하여 주면 더이상 문제는 없겠으나, 악성파일에 감염 시 인터넷 시작페이지 변경 부분의 레지스트리 값이 생성 및 변조가 이루어져 있을 가능성이 있으므로 깔끔하게 체크하고 마무리하도록 하자.

※ 인터넷 설정과 관련된 주요 레지스트리 경로

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\
- HKEY_CURRENTL_USER\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\
- HKEY_CURRENTL_USER\SOFTWARE\Microsoft\Internet Explorer\Main\


위에서 설명한 레지스트리 경로를 살펴보면 상기의 그림과 같이 특정 사이트가 인터넷 시작페이지로 등록되어있다. 이렇게 일일이 찾는 방법이 귀찮다면, 레지스트리 편집기의 "편집" -> "찾기"(Ctrl+F) 기능을 이용하여 알고있는 특정 사이트의 값을 입력하여 자동으로 모두 찾아 삭제하면 된다.

nProtect Anti-Virus 제품군에서는 이와같이 알려진 인터넷 시작페이지를 변경하는 악성코드에 대한 진단/치료기능을 제공하고 있다.

사용자들이 인터넷을 사용하면서 본인도 모르게 갖가지 알 수 없는 파일들에 대해 다운로드를 하거나 혹은 실수로 다운로드된 파일들을 실행하여 이와같이 원치않는 증상을 불러올 수 있다. 그러한 경우 이번글에서 설명한 것과 같이 간단한 툴을 사용하여 스스로 대처가 가능하니 참고가 되었으면 한다. 다만, 이러한 사태가 발생하지 않도록 인터넷 사용 시 수상한 메일은 절대 열어보지 않고 첨부된 파일 또한 다운로드를 하지 말아야 하며 백신을 항상 최신엔진 및 패턴 버전으로 유지하여 이러한 악성파일의 유입을 사전에 차단하는것이 바람직하다.

댓글

댓글쓰기