여담1: 펌로그 사이트에서 외부 유출이 금지된 자료가 인쇄 페이지 그대로 스크랩되어 있는 것을 발견했다. 강좌의 작성일이 2005년 6월이니 익명 사용자가 퍼갔을리는 없고 회원이 유출한 것으로 보인다. 일단 해당 글의 게시자에게게 삭제를 요청했지만 씁쓸한 마음은 어쩔 수 없는 것 같다. 규칙을 어기면 규칙은 강화된다. 이 것이 기본이다.

여담2: 처가집의 컴퓨터는 4~5년전에 필자가 맞춰준 컴퓨터로 펜티엄 4, 1.6G이지만 필자가 맞추어 주면서 컴퓨터를 최적화 시키고 처가집에 갈때마다 관리해왔기때문에 지난 4~5년간 단 한번의 포맷도 없이 사용해왔다. 막내 처제가 취직한 후 회사에서 사용하는 컴퓨터가 펜티엄 4 3.0G이지만 CPU 속도는 배가 빠른데도 불구하고 집에있는 컴퓨터 보다 훨씬 느리다고 한다.

그런데 이 컴퓨터를 지난 26일 아침에 사용해보니 사용할 수 없을 정도로 느렸다. 일단 부팅하는데 걸리는 시간이 20여분 정도 걸리고(사실 컴퓨터에 문제가 있어서 부팅을 못하는 것으로 알았다) 부팅 후에 프로그램을 실행하는 속도도 무척 느렸다. 이렇게 된 이유는 다음과 같았다.

조각 모음

프로세스 막대가 한번 뜨고 부팅하던 컴퓨터였는데 이 프로세스 막대가 수십번(세보지는 않았지만 한 50번은 지나감)에 걸쳐 나타났다. 원인은 조각 모음을 하지 않은 것과 인식할 수 없는 장치 드라이브가 많았던 것이 문제였다. PerfectDisk로 조각 모음을 하자 7~8번으로 줄어 들었다.

인식할 수 없는 장치 드라이브

부팅 후 확인해보니 이미 삭제된 드라이버, 존재하지만 인식할 수 없는 드라이버가 많았다. 결국 시스템 장치를 인식하느라 프로세스 막대가 늘어났으며, 프로세스 막대가 사라진 후에도 새로운 시작 화면이 나타나기까지 상당히 오랜 시간이 걸렸다. 결국 Autoruns로 이러한 드라이버를 모두 레지스트리에서 제거하자 프로세스 막대는 1개로 줄어들었다.

악성 백도어 설치

위의 두가지 문제외에 가장 심했던 부분은 각종 프로그램의 실행 속도가 지나치게 느리다는 것이었다. 보통 메모장을 하나 뛰워도 3분 정도가 걸렸다. 그런데 작업 관리자에는 의심이 될만한 프로세스를 찾을 수 없었다.

다만 한가지 힌트를 얻은 것은 프로그램을 실행하면 꼭 CD-ROM을 읽는다는 것과 쉘(Exeplorer.exe)의 CPU 점유율이 95~100%에 이른다는 것이었다. 결국 악성 프로그램이 쉘 확장으로 등록되었다고 의심하게되었다.

이 악성 프로그램은 사용자가 로그인하면 인터넷을 통해 자동적으로 자신을 업데이트하며, HKLM의 Run 레지스트리와 HKCU의 Run 레지스트리에 실행 코드를 심는다. 따라서 한번이라도 로그인한 모든 사용자에게 전염되는 것이었다. 아울러 실행 코드를 통해 프로그램을 실행하면 실제 프로그램이 실행되면서 쉘 확장으로 등록되기 때문에 작업 관리자에는 나타나지 않는 것이었다.

이 악성 프로그램 역시 Autoruns를 통해 Run 레지스트로부터 실행 코드를 제거하고 실행 파일까지 제거한 후 이 문제를 수정할 수 있었다.