메뉴 바로가기 검색 및 카테고리 바로가기 본문 바로가기

한빛출판네트워크

IT/모바일

우리의 첫 대량 감염

한빛미디어

|

2009-01-13

|

by HANBIT

10,732

제공 : 한빛 네트워크
저자 : John Viega
역자 : 이철
원문 : Our first big infection

서부 시간으로 아침 7:30에 형들 중 한 명으로부터 해킹을 당하고 있다는 전화를 받았다. “내 컴퓨터가 해킹을 당하고 있어. 100개가 넘는 바이러스, 스파이웨어, 트로이 바이러스가 있어. 게다가 나는 이것들이 뭔지도 잘 모르겠어. 스캔하려면 여기를 클릭하라는데 이걸 해야해?”

아! 안돼!! 그는 막 사기를 당할 뻔 했다. 그의 컴퓨터에는 뭔가 나쁜 것이 있는 게 확실했지만(그의 안티-바이러스 프로그램은 도움이 안됐다.), 안티-바이러스 프로그램은 자기 자신 뿐만 아니라 실제로 존재하지도 않는 유령의 바이러스를 제거하려고 하고 있었다.

이것은 전형적인 “악성 안티-바이러스” 소프트웨어이다. 다른 가족 중 한 명이 비슷한 문제로 거의 6개월 전에 나에게 연락을 한 적이 있었다. 그때 내가 할 수 있었던 말은 다른 회사의 제품을 사용해 보고, 안되면 전체 시스템을 다시 인스톨 하라는 것이었다. 어떤 것에 감염이 된 것인지 알아내고 치료해주는 것은 너무나 큰 시간의 낭비였으며, 그것은 치료 툴이 부족할 뿐만 아니라 그가 수백 마일이나 떨어져 있었기 때문이다. 또한, 내가 원격 데스크톱을 이용해서 로그인 해서 치료를 할 수 있게 세팅을 하도록 이야기하는 것도 우리에게는 큰 일이었기 때문이다.

하지만 이번 경우는 달랐다. 우리 회사는 지난 주말에 새로운 안티-바이러스 소프트웨어의 베타 테스트를 진행하였다. 우리는 기본적으로 프로그램에 대한 자료를 사용자들로부터 자동적으로 수집하여 중앙에서 장단점을 분석하였다. 그가 전화를 하기 전에, 우리의 소프트웨어가 얼마나 잘 동작하는지 테스트를 하는 수십 명으로부터 연락을 받았다. 이러한 제한적인 사용자의 수로부터 우리는 지금까지 약 3만 여개의 실행파일을 분석하였다 (우리는 많은 수의 사용자의 도움을 받아 100만 여개의 파일을 분석하는 것을 기대하고 있다).

오늘 아침 이전까지 우리의 자동화 프로그램은 고객의 시스템에서 19개의 다른 타입의 악성 소프트웨어를 찾아냈다. 그것들은 모두 골라내기 쉬운 것들이었으며, 주로 Zango, Hotbar, 180solutions와 같은 이름을 갖는 회사의 애드웨어와 스파이웨어였다. 이 회사들은 떳떳하지 못한 영역에 있다. 논쟁에 허점이 있을 수도 있지만, 그들이 무엇을 하는지에 대한 법적인 논쟁이 있을 수 있다. 하지만 그날 그들의 일은 다른 사람들을 현혹시켰으며, 사람들은 그들의 소프트웨어를 원하지 않았다. 하지만 그 소프트웨어들은 미친 듯이 퍼져나갔다.

내 형의 시스템에 있는 문제는 그의 재정적인 데이터를 복사하거나 하는 것은 아니었지만, 경고창이 뜨거나, 윈도우가 사라지지 않는 등 그 시스템을 확실히 불안정하게 했다.

가장 먼저 내가 한 일은 우리의 소프트웨어를 그 컴퓨터에 설치한 것이다. 그런 다음 그의 시스템에 있는 모든 실행파일을 검사하도록 전체검색을 하도록 하였다. 우리 소프트웨어는 그의 시스템에서 아래와 같은 몇몇 악성 소프트웨어를 검색하였다.
  • Program FilesavirtrssoftwareAVIRTR.EXE
  • Program FileswebmediaviewerQTTASK.EXE
  • Program FileswebmediaviewerHPMON.EXE
  • Program FileswebmediaviewerHPMUN.DLL
  • Windowssystem32UMHZWL.DLL
첫번째 실행파일은 "AntivirusTrigger Software"이라는 제품명과 "AntivirusTrigger Company"라는 제작사 이름을 표시하고 있었다. 물론, 그들의 소프트웨어가 디지털적으로 인증이 되어있지 않았다 (하지만 Zango 같은 회사의 제품은 보통 되어있다).

이 세개의 exe 파일(연결된 DLL 파일을 포함하여)은 모두 동일한 감염에 의한 것이다. 위의 디렉토리 정보를 볼 때, 이 악성 소프트웨어들은 인터넷으로 미디어 파일을 보기 위한 뷰어로 가장하여 다운로드된 것으로 보인다. 이것은 시스템을 감염시키는 아주 일반적인 방식이다.

바이러스를 치료한 것은 만족스러웠지만, 가끔 기존의 안티-바이러스 프로그램은 바이러스의 일부분만을 치료하고, 나머지는 그대로 남아있는 경우가 있다. 우리 소프트웨어가 바이러스를 치료하기는 했지만 모든 것이 다 치료된 것인지 확인하고 싶었다.

그래서 나는 그에게서 라이센스 키를 받아서, 우리의 데이터베이스를 통해 확인했다. 이를 통해서 그의 시스템에 있는 모든 실행파일에 대해서 우리의 데이터베이스가 확실히 좋거나 나쁜 것으로 구분하지 못하는 것들을 확인했다. 그가 단순하게 그의 모든 드라이브에 대해서 스캔하고, 우리는 그 로그를 온전히 가지고 있었으므로, 나는 그 정보를 복원할 수 있었다.

나는 우리가 모르는 것이 아래와 같이 많지는 않다는 사실에 놀랐다.
  • Program FilesSafeNet ProtectDriveSTORAGEENCRYPTIONSERVICE.EXE
  • Program FilesSafeNet ProtectDrivePDENCODER.EXE
  • Program FilesSafeNet ProtectDrivePDTRAYICON.EXE
  • Program FilesSafeNet ProtectDriveCLIENTDM.EXE
  • Program FilesSafeNet ProtectDriveCHKCRYP.EXE
  • %AppData%SMILEBOXTRAY.EXE
  • WindowstempG7RQMM7S.DLL
여기서 %AppData%는 일반적인 패스를 표현하는 방법으로, 우리는 패스 데이터에서 사용자에 종속되는 부분을 제거했다.

그동안 보지 못했던 데이터에 대해서 우리는 몇 분간 통화를 해서 내용을 알 수 있었다. 나는 SafeNet ProtectDrive라는 하드 디스크 암호화 프로그램에 대해서 잘 알고 있었고, 그의 회사에서 이 프로그램을 사용하고 있다고 확인해 주었다. 또한 다른 프로그램들은 그가 사용하는 스크랩용 프로그램이라고 이야기 하였다. 나는 Google에서 관련 정보로 검색을 몇번 해보고 나서, 그것이 적절한 것으로 결론지었다.

꽤 확실했던 마지막 아이템은 그것이 동작하는 중에 아주 짧은 시간 동안 아무런 나쁜 동작을 하지 않는 악성 소프트웨어의 일부였다. 나는 수동으로 그것을 악성 소프트웨어로 넣었다

그래서 모든 것이 정상인 것처럼 보였다. 우리는 또한 관리자 권한을 가지고 있는 악성프로그램을 커널 내에서 검색해 봤으나 아무것도 나오지 않았다. 만약 아직도 감염된 것이 남아있다면 거기에 숨어 있어야 하기 때문이다.

오늘밤 나는 그의 시스템에서 동작중인 실행파일 중에서 우리의 정상 리스트에 있지 않은 것들을 리스트 할 것이며, 우리의 리스트에 있지 않은 새로이 만들어진 실행파일이 있는지 확인할 것이다. 이게 잘 되면 그의 컴퓨터는 완전히 치료가 된 것이다.

하지만 여기서 놀라운 것은 이 모든 과정이 매우 간단했다는 것이다. 몇 시간에 걸쳐 퍼진 일을 처리하는데 채 15분도 걸리지 않았다는 것이다. 그 시간 동안 나는 그가 프로그램을 다운받도록 도왔으며, 우리 데이터베이스가 가지고 있지 않은 프로그램에 대해서 리뷰를 했으며, Google을 이용해서 검색을 했다. 이것들을 한 후에, 나는 이제 문제를 일으킬만한 것이 없다고 자신하게 되었다. 그 시스템에 접근할 수 있는 누구라도 그 정도 시간 동안 충분히 내가 한 일을 할 수 있었을 것이다.

이것은 꽤 놀라운 일이다. 나는 그동안 단지 유명 회사의 안티-바이러스 프로그램을 실행시키는 것에 불과한 것 같은 일을 하는, 규모가 큰 전문가들처럼 보이는 회사에 $100 이상의 돈을 지불하는 사람을 많이 보았다. 또한, 시스템이 정상으로 돌아온 것처럼 보이는 데에도 악성 프로그램이 그대로 있는 경우도 몇번 보았다. 그들이 사용하는 안티-바이러스 프로그램은 단순히 어떤 파일이 나쁘다 라는 정보만 알려주므로, 그러한 회사에서 일하는 사람들은 악성 프로그램이 완전히 제거되었는지 확인할 수 있는 방법이 없다.

우리 소프트웨어가 아무것도 잡아내지 못했더라도, 그것은 내게 그의 컴퓨터에 있는 “알려지지 않은” 소프트웨어의 리스트를 만들거나 지우는데 긴 시간을 필요로 하지 않았을 것이다. 뿐만 아니라, 나는 그곳에 있을 필요도 없었다.

모든 사람들의 안티-바이러스 프로그램에 대한 경험이 이와 같다면 (그대로 충분히 무서운 일이겠지만), 데이터를 더 많이 공유하는 좋은 프로그램을 이용하여 위와 같은 경우에 더 쉽게 대응할 수 있을 것이다. 이러한 방법은 기존의 안티-바이러스 프로그램이 단순히 악성 프로그램의 리스트만 만드는 것보다 훨씬 더 좋은 방법이다.
TAG :
댓글 입력
자료실

최근 본 상품0