무플 무서워요
유익하셨나요? 아래의 RSS로 구독 하세요! 가젯으로 구독하시려면 클릭!
올블로그추천버튼 블로그코리아 구독버튼 블로그뉴스 구독버튼 믹시 구독버튼 한RSS 구독버튼 구글리더기 구독버튼 올포스트 구독버튼

▲ 좀비 PC 확인법에 대한 네이버 검색 결과
('스펀지 제로' 방영 이후 네티즌들이 좀비 PC에 대해 엄청난 관심을 가지게 됨)

안녕하세요? 구름팡팡입니다.
엊그제 좀비 PC에 관한 '스펀지 제로'의 방영 이후 네티즌들의 관심은 온통 '좀비 PC'이더군요.
내 PC도 누군가에 의해서 좀비가 되지 않았을까 걱정 되는 마음 십분 이해합니다.

하지만 이런 정보가 블로그나 카페 등을 통해 널리 퍼지면서 혹시라도 와전 되어서 
좀비 PC가 아님에도 불구하고 엉뚱한 대처 때문에 컴퓨터에 스스로 피해를 입혀서는 안되겠죠?
그럼 제대로 한 번 알아보도록 하겠습니다!

일단 검색 결과를 보시면 손쉬운 방법으로 netstat 명령을 이용하는 방법이 굉장히 널리 퍼져 있다는 사실을 알 수 있어요.
자, 그럼 한 번 해보자구요^^

▲ [시작]-[실행]에서 cmd를 입력합니다. 또는 'Windows키 + R'을 누르면 실행창이 바로 뜹니다.

▲ 프롬프트가 뜨면 netstat -b 라고 입력합니다. PC 사용환경에 따라 내용은 다르게 나옵니다.
여기서 주목하셔야 할 곳은 'Proto', 'Foreign Address', 'State' 부분입니다.

1. Proto 부분에서는 실행중인 프로그램 이름을 확인합니다.
▶ 만약 악성코드나 해킹툴 실행 프로그램이라고 최종적으로 의심되었을 때 삭제하기 위해서 입니다.
내가 실행한 적이 없는 프로그램 목록이 결과창에 표시된다면 바로 아래 내용들을 확인해보셔야 합니다.
악성코드가 실행한 프로그램이거나 해킹툴의 숙주 프로그램일 수 있기 때문입니다.

2. Foreign Address에서는 IP 뒷부분에 있는 포트 번호를 확인합니다.
▶ 해킹 툴이나 악성 코드가 주로 이용하는 포트인지 확인하기 위해서 입니다.
인터넷에서 확인 방법은 대부분 '8080 포트이면 좀비 PC이다'고 알려 주고 있습니다.
인터넷 포트가 80인 점을 이용, 의심을 덜 받기 위해 주로 악성코드나 해킹툴이 8080 포트를 쓰기 때문에 이렇게 의심을 하는 것입니다.
하지만 무조건 8080 포트라고 해서 악성코드라고 생각해서는 안 됩니다.

왜냐하면 8000번대 포트는 파일의 업/다운로드시 많이 사용하는 포트이고,
따라서 실제로 8080 포트를 사용하는 프로그램들이 있을 수 있기 때문입니다.

뿐만 아니라 악성코드 등이 5000번대, 9000번대 포트도 이용하기 때문입니다.
5000번대는 실제로 메신저 등이 많이 사용하는 포트이고 9000번대 포트는 아프리카 TV 같은 곳에서 채팅 할 때 이용한다고 합니다.
사진에서 보시면 네이트온이 5004번 포트를 이용하고 있다는 사실을 알 수 있습니다.

3. 그리고 마지막으로 State에서는 'SYN_SENT'라고 되어 있는지 확인합니다.
▶ 이는 내 PC의 정보를 외부로 보내고 있는 상태를 의미합니다.
따라서 파일을 전송중이거나 원격지원을 받고 있는 경우에도 상대방 PC에 내 PC의 정보를 보내는 것이기 때문에 'SYN_SENT'라고 표시됩니다.
또는 아프리카 TV, 팟플레이어 등을 통해 실시간 영상을 보고 있을 때에도 그렇습니다.
물론 이러한 경우는 좀비 PC인 경우가 아니겠지요? 반대로 정보를 받고 있을 때에는 SYN_RECEIVED라고 표시되는데,
사진의 맨 윗줄 보면 uTorrent.exe를 통해 정보를 받고 있음을 알 수 있습니다.

이런 사항들을 모두 확인한 결과 악성코드 등으로 의심이 된다면 해당 프로그램이 어디서 실행되는지 찾아서 바로 삭제해 주시면 되겠습니다.
[시작]-[검색](또는 단축키인 'Windows키 + F')으로 들어가셔서 해당 프로그램 이름을 검색하셔서 삭제하면 되겠죠?

(+) 그런데 잠깐! 악성코드로 의심되는 프로그램을 검색해서 삭제하기 전에 알아두세요.
윈도우에는 기본적으로 실행되는 필수 프로세스가 있습니다.

alg.exe / lsass.exe / smss.exe / svchost.exe

등이 바로 그것인데요. 여러분이 악성코드 제작자라면 어떻게 해야 악성코드가 실행중이라는 사실을 사용자에게 숨길 수 있을까요?
그들은 아마도 이런 방법을 이용할 것입니다. 윈도우 필수 프로세스와 동일한 이름 또는 비슷한 이름으로 만들어 실행하는 것이지요.
그래서 이들은 ctrl + alt + del 키를 눌러 작업관리자를 통해 프로세스 창을 확인했을 때에도 쉽게 보이지 않는 것입니다.

일례로 제가 군대에 있었을 때 사단 전산실에서 나눠준 보안 프로그램을 예로 들 수 있습니다.
군사자료의 보안을 위해 PC에 USB를 꽂으면 이 USB가 등록되어 있는 것인지 아닌 것인지를 판단하기 위해 해당 USB의 정보를
사단 전산실에 보냅니다. 그래야 인가되지 않은 USB를 사용하는 것을 막아 군사보안을 유지할 수 있다는 논리이지요.
그래서 이 프로그램은 윈도우 시작시 같이 시작하며 컴퓨터를 끄기 전까지 언제나 실행 중입니다.
그리고 강제로 종료하더라도 이를 감지하여 바로 다시 실행시키기까지 합니다.

예를 들어 보안프로그램 이름이 a.exe라면 ctrl + alt + del키를 눌러 작업관리자를 실행시켰을 때 a.exe가 보이고
이를 강제로 종료할 수 있습니다. 하지만 또 다른 프로그램이 a.exe가 강제로 종료 되었는지를 감시하고, 만약 강제로 종료 되면
바로 다시 a.exe를 실행시키는 역할을 하는 거죠. 그래서 이 감시 프로그램이 굉장히 중요한 역할을 하는데 이 프로그램의 이름이
svchost.exe와 아주 흡사한 scvhost.exe였습니다.

특히 svchost.exe의 경우에는 사용자 PC 환경에 따라서 실행 중인 프로그램 개수가 다릅니다. 그러니 당연히 언뜻 보면 잘 모르겠죠?
하지만 scvhost.exe를 강제로 종료시키고 나서 a.exe를 종료시키면 다시 보안 프로그램이 실행되지 않기 때문에 인가되지 않은 USB도
마음대로 사용할 수 있었습니다.

아무튼!
어느 것이 윈도우 기본 프로세스인지 잘 모르고 지워버렸을 경우, 윈도우에 심각한 오류를 일으킬 수 있기 때문에 조심해야 합니다.
예를 들어 smss.exe를 찾아서 삭제했다면 무한 로그오프를 경험하실 수 있을 겁니다.
컴퓨터를 켜고 윈도우에 진입했을 때 로그오프가 되어 버리고, 로그오프 된 후에 컴퓨터를 껐다 켜서 다시 윈도우로 진입해도 로그오프가 됩니다.

그러니 확인을 반드시 해야겠지요?
제가 전에 알려드린 적이 있지만 모르시는 분들을 위하여 링크하도록 하겠습니다.
http://psychopompus.tistory.com/entry/작업관리자의-프로세스에-이상한-프로그램이-생겼어요 

위의 게시글을 보시면 윈도우 프로세스를 검색하실 수 있습니다.
악성코드인지 윈도우 기본 프로세스인지 잘 모르겠다면 반드시 위 사이트에서 검색한 후 설명을 잘 보시고 삭제하시기 바랍니다.

이 블로그의 공식 주소는 http://theHermes.kr 입니다.

|