잡아도 계속 생기는 바이러스 잡기
게시일: 2007/01/06 | 글쓴이: doa | 10702 번 | 프린트 | 메일


오늘 글터 분점(제일 고시)에서 연락이 왔다. 수험 정보를 등록해야 하는데 등록이 되지 않는다는 것이 었다. 제일 고시의 컴퓨트는 일반 사용자가 사용할 수 있기 때문에 시스템 관리자, 관리자, 일반 사용자로 계정을 나누었다. 그리고 프로그램 설치는 관리자 계정에서 할 것을 얘기해 두었지만 분점 관리자가 이 사실을 잊어 버려서 발생한 문제였다.

관리자 컴퓨터가 정상적으로 동작하는지 확인하기 위해 관리자의 컴퓨터를 잠시 사용하다 보니 메가닥터(MegaDoctor)가 바이러스(Virus) 경고를 계속해서 토해내는 것이었다. 예전에 올린 필자의 글, 사례분석을 통해 배우는 스파이웨어 판정 IV, PCZiggy에서 알 수 있듯이 메가닥터(MegaDoctor)의 성능을 꽤 신뢰하기 때문에 메가닥터(MegaDoctor)를 이용해서 바이러스를 검색했다.

1종의 바이러스가 약 2000개의 파일을 감염시켰고 이렇게 감염시킨 파일에는 상당수의 시스템 파일, 서점 관리 프로그램이 포함되어 있었다. 사실 이렇게 감염된 경우에는 치료를 해도 시스템에 문제가 발생할 수 있기 때문에 시스템을 갈아 업고 다시 깔 생각도 했지만 1. 새로 설치하는 시간이 만만치 않고 2. 메가닥터(MegaDoctor)의 능력을 보고 싶어서 메가닥터(MegaDoctor)로 치료를 했다.

시스템을 다시 부팅하자 정상적으로 부팅 됐지만 메가닥터(MegaDoctor) 감시기는 여전히 진단명 WIN32.Virut라는 바이러스 경고를 토해내는 것이었다. 사실 예전에도 이와 비슷한 질문이 올라왔지만 당시에는 상황을 정확하게 파악하지 못했고 또 질문자가 제공한 정보가 부족해서 이렇다할 답변을 할 수 없었다.

이처럼 백신 프로그램이 바이러스를 정확히 진단해도 완전히 치료하지 못하는 경우가 종종 발생한다. 그 이유는 간단하다. 바이러스의 숙주가 시스템 파일고 이 경우에는 백신 프로그램이 치료할 수 없기 때문이다.

아울러 이렇게 치료한 뒤 다시 부팅하면 시스템 파일에 기생한 바이러스가 다시 바이러스를 퍼트리기 때문에 사실 시스템 파일에 기생하는 바이러스를 잡는 것은 쉬운 일이 아니다. 만약 이처럼 시스템 파일에 기생한 바이러스 때문에 바이러스를 잡아도 계속 바이러스에 감염된다면 다음 절차에 따라 이 문제를 해결하기 바란다.

  1. System Volume Information 폴더 지우기 System Volume Information 폴더 지우기 II에 포함된 배치 파일을 이용해서 모든 드라이브의 System Volume Information 폴더를 지운다. 시스템 복원 서비스는 복원점을 생성할 때 바이러스도 백업하기 때문에 이 폴더에도 상당히 많은 바이러스가 기생할 가능성이 많다. 또한 이렇게 바이러스가 백업된 복원점은 아무 도움이 되지 않고 바이러스 검색 속도만 느려지게 하며, 바이러스 전파의 한 역할을 하기 때문에 작업을 하기전에 먼저 지우는 것이 좋다. 아울러 지우기 전에 반드시 시스템 복원 서비스(System Restore Service)를 중지해야 한다.

  2. 바이러스 치료(안전 모드) 바이러스를 잡아도 계속 생겨나는 것은 바이러스의 숙주가 시스템 파일이기 때문이다. 따라서 시스템 파일을 최소한 사용하며, 불필요한 프로그램이 실행되지 않는 안전 모드에서 바이러스를 잡는 것이 좋다. 특히 explorer.exe도 감염되었을 수 있으므로 안전 모드도 안전 모드(명령 프롬프트 사용)으로 부팅해야 한다.
    1. POST 화면이 나타나면 바로 F8 키를 누른다.
    2. 그림과 같은 고급 부팅 메뉴가 나타나면 안전 모드(명령 프롬프트 사용)을 선택한다.
    3. 안전 모드에서 관리자(Administrator)로 로그인한다. 자신의 계정 보다는 시스템 관리자 계정으로 로그인하는 것이 더 좋다.
    4. 로그인한 뒤 명령행에서 다음과 같이 입력해서 백신 프로그램을 기동한다. 예로는 메가닥터(MegaDoctor)를 사용하겠다.
      %ProgramFiles%\<백신 실행 파일 경로>
      예: 메가닥터(MegaDoctor)를 사용하는 경우
      C:\Program Files\KT\MegaDoctor\PZUpadate.exe
    5. 백신 프로그램으로 바이러스를 치료한다. 여기서 주의할 것은 치료가 끝나도 절대 백신 프로그램을 종료해서는 안된다는 점이다주1.


  3. 바이러스 치료(정상 모드)
    1. 시스템을 부팅한 뒤 새로운 시작 화면에서 Ctrl-Alt-Del을 두번 누른다.
    2. 관리자(Administrator)로 로그인한 뒤 백신을 새로 내려받아 다시 바이러스를 검사한다.


일단 이와 같은 치료가 가능하려면 당연히 백신 프로그램이 바이러스를 치료할 수 있어야 한다. 아울러 이런 방법으로 치료해도 일부 시스템 파일이 손상되었을 수 있기 때문에 가급적 중요한 데이타는 백업하고 시스템을 다시 설치하는 것이 좋다.

주1: 확인해보니 Windows 셀인 Explorer.exe, 백신 프로그램인 PZUpdate.exe, PZScan.exe까지 감염되어 있었다. 사실 Explorer.exePZScan.exe까지 감염이 가능한 것은 이 바이러스는 프로그램을 종료할 때 코드를 심기 때문이었다.


CD-ROM 드라이브의 정보가 갱신되지 않는 경우 항상 하는 얘기이지만 팁은 옷과 같다. ... (5092) 2007-01-06
XP의 설치 순서와 설치한 뒤 모양이 다른 경우 필자가 항상 하는 얘기이지만 XP를 설치... (6931)2007-01-06

QAOS.com에 게시된지 1년 이상된 자료와 관리자가 공개한 자료는 누구나 제한없이 읽을 수 있습니다.
그러나 QAOS.com의 자료를 퍼가는 것은 금지하고 있습니다.

이 정보가 유용하다고 생각되시면 QAOS.com과 많은 다른 사람들을 위해 퍼가기 보다는 링크로 알려주시기 바랍니다.

세상사는 이야기



RSS 구독 (익명 | 회원 | 강좌 | 포럼)
(C) 1996 ~ 2017 QAOS.com All rights reserved.