Ice Sword로 악성 코드를 제거해봅시다! ( nissan.exe sapun.exe KILZAVI )

FreeSoftware 2010.01.08 15:41
  • 안녕하세요 ~ 좋은 글 잘 봤습니다
    얼마전에 IE8을 열지도 않았는데 재부팅 후 저절로 유해 사이트로 연결되는 현상이 있었습니다
    백신(Antiver)도 가동중이고, 악성코드(Comodo & Spybot) 실시간 잡이도 가동중이였는데 어떻게 된건지 계속 열리더라구요

    여기저기 둘러보다가 V3안철수 Q&A에서 소개해주신 Ice Sword로 제거하는 걸 가르쳐주어가지고 해결했습니다

    그런데 경황이 없어서 잘 몰랐었는데.. 자세히 설명해주셔서 다음에 이런 상황이 벌어지면 당황하지 않을꺼 같네요 ~
    그럼 즐거운 한 주 보내세용 ~!

    Playing 2010.01.25 17:03 신고
    • 소중한 댓글 감사드립니다. 칭찬 감사드립니다. 좋은 하루 되세요. ^^

      youngjr 2010.01.28 10:29 신고 DEL
  • 시스템 파일 보이기 해도 보이고, 7-zip 으로도 열리네요;
    치료 방법 좋은 자료 감사합니다 ~

    하하 2010.02.11 23:34 신고
    • 예, 댓글 감사합니다. 제가 정확한 환경 설정을 일일이 기억하지 못해서 본문에 오류가 있을 수 있습니다. 좋은 하루 되세요~

      youngjr 2010.02.12 00:03 신고 DEL
크리에이티브 커먼즈 라이선스
Creative Commons License
USB 드라이브 만큼 편리한 이동형 저장장치는 없을 것 같습니다. PC에 꼽기만 하면 드라이브처럼 쓸 수 있는 정말 편리한 장치이지요. 요즘엔 2GB, 4GB 정도는 무슨 행사 기념품으로 나눠줄 정도로 가격도 저렴해져서 다들 하나씩은 들고다니는 것 같습니다. 그런데, 이 USB 드라이브는 각종 악성 프로그램의 전파 경로로 쉽게 이용됩니다.
윈도우즈에서 자랑하는 Plug&Play 기능을 드라이버에 적용시킨 것이 자동실행 기능일겁니다. 드라이브를 꼽기만 하면 자동으로 특정 프로그램이 실행되어서 컴퓨터를 잘 모르는 사용자들도 쉽게 프로그램을 사용할 수 있게 해 주는 기능이지요. 특히나 새로운 하드웨어를 구입했을 때 설치프로그램등을 CD로 제공할 때 많이들 이용하게 될 것입니다.
그러나, 이런 편리한 기능이 악성 코드를 전염시키는 수단으로 안성맞춤인 것입니다.

얼마전 다른 사람의 USB 드라이브를 별 생각없이 사용하다가 V.WOM.Autorun.Arr (알약 악성코드 정보에서 사용하는 이름으로 다른 보안 사이트에서는 다른 이름으로 분류할 수도 있습니다)의 변종 악성 코드에 감염되었습니다.감염 증상은 윈도우 부팅 후 로그인 시 자동으로 인터넷 익스플로어가 실행되면서 임의의 사이트에 접속하는 것입니다.
자세한 내용은 안철수연구소 ASEC대응팀 블로그컴퓨터 부팅 시 특정 사이트로 자동 연결 되는 경우! 글을 참조하시기 바랍니다.

이 악성코드는 일반적인 윈도우 탐색기로는 보이지가 않습니다.
기본적으로 윈도우 탐색기는 시스템 속성의 파일을 안보여줍니다.
Windows XP 기준으로 윈도우 탐색기에서 도구-폴더옵션의 보기탭을 열어보면, 고급 설정의 파일 및 폴더에 보호된 운영 체제 파일 숨기기(권장) 항목과 숨김 파일 및 폴더 표시(혹은 표시 안 함)을 선택하는 기능이 있습니다. 처음엔 이들 옵션이 모두 숨기는 것으로 되어 있을 겁니다. 사실 시스템 파일 등은 사용자가 건드려서 별로 좋은 일이 없을 것들이므로 숨겨놓는 것이 번거로운 문제를 미리 막는 방법이기도 하지요.

윈도우 탐색기의 보기 옵션 자세히 보기


초보 수준의 악성 코드들은 이렇게 시스템 속성의 악성 코드 파일들을 만들어서 사용자가 잘 못찾게 하고 있습니다. 그런데, 제가 감염된 악성 코드의 경우 실제 실행이 되는 메인 프로그램은 이렇게 보아도 보이지가 않네요.
이렇게 지능적으로 자신을 숨기는 악성 코드들을 볼 수 있고, 강제로 삭제도 할 수 있게 해주는 툴 중 하나가 소개해 드릴 Ice Sword 입니다. 루트킷(rootkit)이라는 해킹 프로그램들을 제거할 목적으로 만들어진 툴로 중국분이 만들었군요. 이전에도 NTFAQ 사이트 등에 소개되었습니다.


레지스트리와 파일 등을 조사하고 삭제할 수 있으며 루트킷 제거를 위한 보다 고급 기능도 제공합니다. 여기서는 악성 코드를 제거하기 위해 파일과 레지스트리 항목만 삭제해 보도록 하겠습니다.
아래 내용은 안철수연구소 ASEC대응팀 블로그컴퓨터 부팅 시 특정 사이트로 자동 연결 되는 경우! 글에 대한 댓글 중 가장 자세했던 racoon님의 댓글을 참조해서 나름 다시 정리한 것입니다. (일단 USB 드라이브 전체를 포맷할 필요는 없는 것 같고, 안전모드에서 IceSword를 처음 실행하는 경우 에러가 나면서 실행이 안됩니다. 일반모드에서 IceSword를 실행하여 nissan.exe를 지우고 이후 작업을 안전모드로 진행하면 될 것 같습니다.)

1. 악성 코드 메인 프로그램 찾기 및 지우기
먼저 이 악성코드는 nissan.exe 등의 주 프로그램을 윈도우 로그온 시에 실행시키도록 하는데, 레지스트리의 로그온 항목에 자동 실행을 시키도록 하는 항목을 생성합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

아래 Taskman 이라는 항목을 만들어서 실행 경로를 지정해 놓는데, 저의 경우 C:\RECYCLER\S-1-5-21-1626296518-1817277078-843867508-5676\nissan.exe 의 프로그램을 실행시키도록 해 놓았습니다. 경로의 숫자나 파일 이름 등은 사용자 환경이나 악성 코드의 변종에 따라 다를 수 있습니다.
아직 레지스트리를 삭제하지 말고 위 경로를 복사해서 메모장 등에 따로 적어둡니다.
다음 IceSword를 실행 시켜서 File탭을 열어서 위의 기록해둔 경로를 찾아 보면 탐색기에서는 운영체제 파일 보기로 해도 안 보이던 파일이 보입니다. nissan.exe 파일(혹은 해당 변종 파일)을 오른쪽 마우스 클릭 후 DELETE를 선택해서 지웁니다.

2. 안전 모드에서 다른 악성 코드 및 autorun.inf 삭제
다음으로는 감염이 의심되는 USB 드라이브를 꽂은 상태로 윈도우를 안전모드로 재부팅합니다. (부팅 시 F8키를 누르면 안전모드로 부팅을 선택할 수 있습니다.)
일반 모드에서는 삭제할 수 없었던 폴더나 파일들을 안전 모드에서는 보통 삭제할 수 있습니다.
IceSword를 실행시켜서 파일탭을 엽니다. USB 드라이브를 포함한 모든 드라이브의 루트 디렉토리에서 RECYCLER 폴더를 찾아서 하위 디렉토리를 모두 삭제합니다.


USB 드라이브에 의도적으로 생성하지 않은 autorun.inf 파일이 있다면 메모장 등으로 열어봅니다. 열어보면 저의 경우 KILZAVI\sapun.exe (혹은 의심가는 파일)을 실행하도록 하는 악성 코드가 있는 경우가 있습니다. 악성 코드의 실행 경로를 확인해서 USB 드라이브 내의 실행 경로에 해당하는 파일과 폴더를 모두 삭제합니다. 마지막으로 autorun.inf 파일도 삭제합니다.



3. 악성 레지스트리 삭제
모든 악성 파일들을 다 삭제했으면, 역시 IceSword(혹은 레지스트리 편집기)에서 레지스트리탭을 열어 위에서 언급한 Taskman 항목을 삭제합니다.



4. 완전히 삭제되었는지 확인

1-3의 과정을 모두 마치면 일반 모드로 재부팅 한 후 IceSword를 실행시켜서 위에 등장했던 파일들과 레지스트리가 남아있는 지 다시 한 번 확인합니다. 여기서 더 이상 발견되지 않는다면 정상적으로 제거가 된 것입니다.


마치며
악성 코드들이 지능화되어 자기 자신을 숨기는 방법도 고도로 발전하고 있습니다. IceSword는 이런 악성 코드들을 찾아내고 지울 수 있습니다.
치료도 중요하지만 예방이 더 중요한 것 같습니다. USB 드라이브를 통한 감염은 대부분 autorun 실행을 막는 방법으로 무력화시킬 수 있습니다.
안철수 연구소 ASEC 대응팀 블로그Autorun 계열 악성코드를 예방해 보자! 글을 참조하셔서 autorun 실행을 막아 놓으시기 바랍니다.

Autorun 실행 방지 프로그램들
인터넷침해사고대응지원센터 USBGUARD 자동실행 방지/허용 모두 지원
안철수연구소 USBBLOCK 자동실행 방지만 수행(허용하려면 위의 USBGUARD 사용을 권장)

신고
posted by youngjr


티스토리 툴바