관리 메뉴

NEOEARLY* by 라디오키즈

도대체..-_- 어떻게...? 애드웨어 침략기 및 Hijack This 사용기 본문

N* Tech/IT Service

도대체..-_- 어떻게...? 애드웨어 침략기 및 Hijack This 사용기

라디오키즈 2006.07.18 10:31
최근 무척이나 귀찮은 애드웨어에 시달렸었다.
아니 지금도 어느정도 시달리고 있다고 해야 할까...(아직 일부가 남아 나를 괴롭히고 있으니...)


-_- 최근 몇년새 애드웨어에 대놓고 당한 건 이번이 처음이다. 함부로 ActiveX를 설치도 않을 뿐더러 정체가 모호한 사이트에는 접근조차 하지 않는 등 나름대로 잘 방어를 해왔기 때문에 이번 침략은 내게도 약간은 충격이었다.

방심했던 탓일까.
덕분에 무척이나 당황스런 이 녀석의 공격에 처음엔 맥없이 당해야 했다.


침입...

우선 이 녀석.. 언제 내 시스템에 얹혀 살게 되었는지 모르겠다.
이 녀석이 설치되었을 가능성이 그나마 높은 건 역시 특정 사이트가 크래킹 당해서 애드웨어를 배포하고 있는 상황. 다만 그 곳이 어디였는지 모르겠다. 최근 내 웹서핑의 경향이 비교적 루트가 분명해져서(뻔해서) 몇몇 특정 관심 사이트만 돌고 있는데 어떻게 침투했을까...

이메일 등은 아예 스팸이 의심되면 삭제하고 있기 때문에 침투 가능성이 낮고 P2P 혹은 내 컴퓨터에 직접 침입했으려나... 공유기를 사용하고 있기 때문에 이쪽의 가능성은 낮은데 침입 경로에 대한 건 좀 더 고민해봐야 할 듯하다.


증상...

이 녀석은 우선 4개의 실행파일을 실행시킨다.

현재는 다 삭제해버려서 정확히 기억이 나질 않지만 issearch.exe, isshot.exe, isnotify.exe, isOOO.exe 등 is로 시작하는 녀석들이다. 대게의 애드웨어나 스파이웨어가 그렇듯 잽싸게 실행되며 프로세스에서 강제 종료 시키더라도 바로 실행하는 기민성을 보인다. -_- 이 녀석들은 Windows/system32 폴더 안에 도사리고 있다.

아무튼 그 4개의 실행파일이 실행되면 간간히 광고를 띄운다. 성인 사이트 광고에서 심지어 치료용 툴이라며 정체 모를 프로그램 판매에도 열을 올린다만 그런 광고를 관심있게 확인할 리 만무하다. 이런 광고들은 종종 날 당황시킬 뿐이다. 물론 브라우저 초기화면도 이상한 곳으로 걸어두는 센스도 발휘하더군.


치료로 가는 험난한 길...

이런 녀석들은 대부분 쉽게 자신의 정체를 알린다. 쉼없이 광고창을 띄워놓으니 이상하다는 생각을 안할 사람이 어디 있겠는가. 다만 적절히 대응을 할 수 있으냐 아니면 불편함과 민망함을 감수하면서 컴퓨터를 계속 쓰느냐의 차이 정도일까.

어쨋든 난 이런 불순한(?) 녀석들과 내 컴퓨터를 나눠 쓸 생각이 전혀 없었기에 두개의 프로그램으로 이 녀석들을 공략하기로 했다.

스파이웨어와 애드웨어 치료에 이름을 떨치는 'Ad-Aware SE Personal' 최신 버전과 클릭 투 트윅으로 유명한 권용휘님의 '울타리' 최신 버전이 내게 간택받은 두 프로그램이다.

하지만 결론부터 말하면 아쉽게도 이 두 프로그램 모두 제대로 이번 애드웨어를 잡아주진 못했다. 두 프로그램 모두 소소한(?) 스파이웨어 몇 개를 잡아주긴 했지만 수차례 치료를 시도했음에도 애드웨어를 깨끗이 청소하지 못했다.

물론 이외에 안티 바이러스 프로그램인 NOD32도 열심히 애드웨어를 찾아주긴 했지만 제대로 치료하진 못했다. 이런 결과로 추측컨데 아직 패턴이 알려지지 않는 신종이거나 치료가 어려운 종류의 애드웨어였나 보다.


아쉬운 치료...

결국 내가 선택한 건 안전모드였다.

안전모드..-_- 윈도우의 극히 일부만 로드하기 때문에 isOOOO.exe의 4개 실행파일이 애초에 실행되지 못할 것이라는 생각에서였다. 다행히 이런 생각은 적중해서 해당 실행파일은 아예 실행 되지 않았고 간단히 system32 폴더 안의 파일을 삭제할 수 있었다.

그래서 다 해결이 됐으려니 했지만 재부팅 후 살펴보니...ㅜㅜ 브라우저 초기화면은 끝내 붙들고 있는 것이 아닌가. 클릭 투 트윅 안에 있는 초기화면 고정 기능 등은 간단히 무시해주는 센스. 어디에서 요 정체 모를 사이트(http://www.sysprotectionpage.net)를 물고 있는지는 모르겠지만 아무튼 현재도 초기화면은 애드웨어가 손에 틀어쥐고 있다.

어떻게 이걸 풀어내야 할지 여전히 고심중이다. 윈도우 재설치 등의 특단의 조치는 피하고 싶은 것이 솔직한 마음이니... 좀 더 고민해야 할 듯 하다.

이런 지긋지긋한 녀석들을 만들어서 돈 좀 만질려는 사람들은 없어졌음 하는 작은 소망이 생겨나는 오늘이다. 비싼 밥먹고 이런 돈벌이 밖에 생각 못하는 사람들이라니-_-; 한심하기에 앞서 귀찮은 존재들이다.


완전 치료 성공...!!


sok님과 코프님이 추천하신 'Hijack This'가 빛을 발했다.
Hijack This는 역시나 소문대로 강력했다. 다만 지나치게 강력한(?) 탓에 모든 이에게 추천하고 싶지는 않다.

비정상적인 경우나 정상적인 경우건 모두 Scan한 다음 이용자가 선택해서 처리하도록 하기 때문에 본의 아니게 정상적인 파일 등을 지워버릴 수 있다. 물론 백업이 지원되기 때문에 문제가 생기면 되돌릴 수 있다지만 잘 모르는 상태에서 건드리기엔 역시나 조금은 위험한 느낌이다.

날 괴롭힌 녀석... 초기화면을 붙들고 있었던 이 녀석은 BHO를 통해 초기화면을 붙들고 있었다. BHO(Browser Helper Object)는 이름 그대로 IE에 설치되어 보조적인 역할을 수행한다. 대게 툴바나 다운로드 관리 프로그램등이 BHO 형태를 취하는 경우가 많다. 헌데 크래커들도 BHO를 통해 컴퓨터 사용자를 괴롭히는 모양이다.

이런 경우가 처음이었기에 설마 BHO가 문제를 일으켰으리라고는 생각지도 못했는데 어쨋든 시원하게 해결하고 나니 행복하다. 혹 이런 문제가 다시 생기면 Hijack This에 또 도움을 청해야 겠다. Visual Basic 6.0 Runtime만 설치되어 있으면 실행파일 하나만으로 제 기능을 수행한다는 점도 맘에 든다.

PS. 위에도 말했었지만..-_- 비싼 밥먹고 이런 거나 만들어서 퍼트리는 족속들은 정말 이해가 안된다.

Tag
, , , , , , , , , , , ,


16 Comments
  • 프로필사진 작은인장 2006.07.18 11:24 ietoy로 초기화면을 막으면 안 될까요? 위 사이트를 접근금지시킬 수도 없나요?
    참 대단한 프로그램 실력이군요. (왜 그런 실력을 저렇게 썩힐까요?)
    ietoy를 만드신 분이 만든 adfree를 사용해 보세요. ^^
  • 프로필사진 라디오키즈 2006.07.18 11:28 초기화면은 적극적으로 차단하지 않았는데요.
    그 이유가 제가 사용하는 브라우저가 Webma이기 때문입니다. Webma 자체의 기능으로 초기화면을 고정하는 것은 이 애드웨어들이 손을 대지 못해서... 초기화면에 따른 불편이 적어서 말이죠.

    작은인장님이 말씀하신 방법을 궁리해봐야 겠네요. -_- 적극적 차단으로 선회(?)
  • 프로필사진 JWC 2006.07.18 11:52 혹시 크랙/패치 같은거 사용하셨나요?
    정말 간혹가다가 애드/스파이웨어가 심어진 크랙/패치가 있습니다. 실행즉시 감염이죠.
  • 프로필사진 라디오키즈 2006.07.18 11:54 그렇게 침입한다는 건 알고 있지만..-_- 최근 크랙이나 패치 등을 설치한게 없어서요. 이쪽은 가능성이 낮은 것 같습니다. 아닌가?
  • 프로필사진 returnet 2006.07.18 12:11 키즈님 정도 되시는 분이 함부러 애드웨어를 접근 시킬리는 없고.. 버그를 이용했던지 하는 수가 있었겠죠.
    왜 jpeg 라이브러리의 버그를 이용한 침투가 난리일 때도 있었잖습니까.
    저는 악성 애드웨어는 걸린적이 없어서.. 금방 금방 치료가 됐었는데.. 프로세스를 전부 파악해 처치하고도
    찌꺼기가 남았다면.. 무슨 짓을 했을지 모르는 물건 아닐까요. 마음을 비우시고 forma..쿨럭쿨럭
  • 프로필사진 라디오키즈 2006.07.18 16:21 저니까 당한거겠죠..^^ 어줍잖게 방심한 탓 같습니다.
    아직 정확한 침입 경로를 밝혀낸게 아니라서 예단은 못하겠고요.

    그리고 포맷만은 피하고 싶습니다. ㅠ_ㅠ
  • 프로필사진 sok 2006.07.18 12:37 HijackThis를 써보시는 게 어떨까요? 저도 써보진 않았습니다만 (-.- 그럴 만한 경우가 없어서)
    ad-aware나 spybot으로 못잡는 경우에도 이놈엔 걸리는 걸로 알고 있거든요.
    패턴으로 의심가는 건 모조리 잡아낸다는..
  • 프로필사진 라디오키즈 2006.07.18 16:22 추천해주신 프로그램이니 한번 확인해볼께요. 하지만 제가 원래 꼭 사용하는 프로그램이 아니면 아예 설치를 안하는 타입이라서...-_-;; Ad-Aware도 벌써 삭제해버렸답니다. Hijack this도 금방 삭제당할 운명이란 거지요. 치료만 잘해준다면 좀 오래 버틸래나~ ^^
  • 프로필사진 싸인펜 2006.07.18 13:31 네이버 툴바에 포함된 무료 악성코드제거기도 성능이 꽤 괜찮던데 한번 써 보셔도 좋을것 같아요.
    저도 얼마전까지 웹서핑 중간중간 팝업광고를 띄워주는 악성코드 때문에 고생좀 했습니다...;;
  • 프로필사진 라디오키즈 2006.07.18 16:24 네이버 툴바라... 최근 포털 툴바들이 전향적(?)으로 이런 보안툴을 배포하면서 관련 업계가 울상이라지요. 저야 저렴한 가격에 양질의 서비스를 이용할 수 있다면야 환영이지만...

    싸인펜님의 조언도 참고하도록 하겠습니다. ^^; 깊은 관심에 감사드려요~
  • 프로필사진 코프 2006.07.18 17:54 저는 뭐... Firefox 를 주로 쓰니 그런 일이 없지만,
    가끔 동생이 컴퓨터를 사용하면 난감해져서 Spyzero 를 돌리지요 :)

    하지만... Hijack This 를 따라올수는 없을겁니다 :)
  • 프로필사진 라디오키즈 2006.07.18 18:17 Hijack This 한표 추가군요.
    흠.. 평이 좋다니 꼭 한번 돌려봐야 겠는걸요. ^^ 조언 감사합니다.
  • 프로필사진 Laputian 2006.07.19 18:25 솔직히 저 수많은 팝업과 애드웨어 광고가 남기는것은 광고상품에 대한 반발심뿐이라고 생각합니다. 게다가 죄 영문사이트라, 궂이 해석해서 보고싶지도 않구요.. :)
  • 프로필사진 라디오키즈 2006.07.19 23:18 맞습니다. -_- 헌데... 의외로... 스팸 메일 등을 보고 물건을 구매하는 사람의 비율이 제법 됩니다. 저런 스패머들은 그런 귀얇고 즉흥적이며 뒷일을 생각안하는 사람들을 노리고 이렇게 마구마구 스팸을 날리고 있는 것입니다.

    사실 당신의 컴퓨터에 바이러스가 깔려있다고 경고하면서 그걸 치료하려면 약간의 돈을 내라라거나 하면 초보자들은 덜컥 당할 확률이 있습니다. 그걸 노리고 가짜 안티 스파이웨어 프로그램을 만드는 곳도 국내에만 꽤 될걸요. 에효~
  • 프로필사진 Like a Dust 2006.07.19 19:40 우선 치료를 하셨다니 다행입니다. 후훗..
    Hijack This 만큼 강력하고 무서운 것이 없지요.

    저도 Hijack This 덕분에 다른 것은 안 쓰는데.. 이게 정말 양날의 검이지요. ㅎㅎ
    잘못하면 안쓰느니만 못한..(백업아무리 해봐야 부팅안되면 소용없지요. 쿨럭 ;;)

    그리고 간혹 서비스로 등록을 하거나 레지의 권한 변경 등 정말 미친척 하는 악성 프로그램들도 있으니, 고스트와 같은 백업 프로그램 하나 정도는 쓰시는 편이 정신건강상 좋을 듯 합니다. ^^; (뭐.. 파워프롬프트라든가.. 기타 등등 여러 유틸을 통해 고칠(?)수도 있지만.. 시스템 파일을 변경했다거나 한 경우엔.. 고쳐봐야.. 아무 소용이 없지요.)
  • 프로필사진 라디오키즈 2006.07.19 23:27 검이라는 것이 원래 양날이잖아요. ^^
    Hijack This도 위험성이 보이긴 하지만 조금만 신경써도 부팅이 안되는 사태까지는 막을 수 있을 것 같던데...

    아무튼..-_-/ 애초에 저런 악성(?) 스파이웨어, 애드웨어를 만드는 사람들이 잘못된 겁니다.
댓글쓰기 폼