이건 지난번에 걸렸던 루트킷 flec006.exe에 비하면 상당히 귀여운(?) 수준의 스파이웨어였다. 먼저 감염되면 바탕화면이 파랑색 배경과 다음의 촌스런(!) 이미지로 바뀐다.


그리고는 AntivirusXP2008라는 매우 수상한 소프트웨어를 설치하라고 강요한다-_- 당황해서 바탕화면 속성에 들어가면 바탕화면과 화면보호기 탭이 사라져서 설정을 변경할 수가 없게 된다. 그래서 먼저 지난번에 소개했던 X-Cleaner(마이크로 버전)을 실행해서 뭔가를 하나 치료했고, 다음에 AVG를 돌려서 또다시 치료했다. AVG 명명법에 의하면 이 스파이웨어는 trojan horse SHeur.CCRZ라고 하는데 이걸로 검색해보면 지금 시각으로 피해사례가 2건 나온다.

헌데 치료한 후에도 바탕화면 속성에는 바탕화면과 화면보호기 탭이 여전히 없었다. 이는 스파이웨어가 바꿔놓은 레지스트리 때문으로, HKCU>Software>Microsoft>Windows>CurrentVersion>Policies>System의 NoDispBackgroundPage와 NoDispScrSavPage 값을 지워주면 해결된다.


다음 글들을 참고할 것(모두 새창).

• 귀여운 스파이웨어 - 국내 피해사례. 알약이나 카스퍼스키로는 치료가 안 된다고 한다. 역시 승리의 AVG.
• [2008년 06월] 진단 어려운 변형 스파이웨어 - 안철수연구소. 아마 V3로는 치료가 되는 듯? 레지스트리 관련 내용은 이 글을 보고 알았다.
  

지금까지 pdf 파일을 볼 때는 Foxit Reader를 사용해왔다. 알 만한 사람은 다 알겠지만 Adobe Reader보다 훨씬 가볍기 때문인데, 구 버전(2.0)을 사용중 텍스트 복사가 안 되는 문제를 발견하여(최신 버전(2.3)에선 수정된 문제였다) 다른 무료 pdf 뷰어엔 어떤 게 있나 한번 찾아봤다. 국산 뷰어도 몇 있지만 경험상 Foxit Reader보다 좋은 뷰어는 없었기에 논외로 하고, 찾다가 발견한 괜찮은 뷰어가 PDF-XChange Viewer라는 녀석이다. 물론 프리웨어. Foxit Reader와 비교해볼 때 가독성이 더 낫다고 느껴졌다. 다음은 100%로 볼 때의 비교 스샷.


어느 쪽의 가독성이 더 낫게 보이는가? 모니터 설정에서 클리어타입을 키든 끄든 상관없이 화면은 동일한데, 이는 두 뷰어 모두 자체적으로 글꼴을 안티알리아싱하는 설정이 있기 때문이다. 다음은 이를 300% 확대한 모습.


위 두 스샷은 뷰어상에서 300% 확대를 한 게 아니라 앞의 뷰어상 100%로 뜬 스샷을 포토샵에서 300% 확대한 모습이다(뷰어상에서 300% 확대를 하면 당연히 둘 다 매끄럽게 보인다). 확대해보면 둘의 차이점이 명확하게 보인다. PDF-XChange Viewer는 검은색 계열로 안티알리아싱을 하는 반면 Foxit Reader는 RGB 순색 계열로 안티알리아싱을 하고 있다. 어딘가에서 줏어들은 바로는 전자의 방법이 맥에서 사용하는 방법이고, 후자는 MS의 클리어타입과 같은 원리인 듯한데, 정확히는 모르겠다. 적어도 후자는 클리어타입의 원리와 동일한 게 맞을 것이다.


위 두 스샷은 두 뷰어의 설정창 스샷이다. 보다시피 Foxit Reader는 제공하는 설정이 별로 없다. 안티 알리아싱 설정에 LCD 용이라고 써있는 걸 보면 클리어타입을 사용한다는 심증은 굳어지는데, CRT를 사용하지 않기 때문에 확인은 할 수 없었다. 하지만 클리어타입이 맞다고 가정한다면, CRT 유저에겐 Foxit Reader의 안티 알리아싱은 메리트가 떨어진다고 할 수 있겠다.

설정이 많다고 다 좋은 건 아니지만, 적어도 PDF-XChange Viewer가 제공하는 색상 관리라든가 퍼포먼스(멀티 스레드를 지원한다) 관련 설정은 유용하게 사용할 만한 것들이다. 유감스럽게도 Foxit Reader와는 달리 한글어 언어팩이 아직 지원되지 않지만, 한국 유저가 늘어나면 언젠가 추가되지 않을까 싶다. 개인적으로 별로 필요하진 않지만.


위 스샷은 동일 문서를 두 뷰어로 열고 사이드바 없이 동일 창 크기로 100%로 볼 때의 메모리 사용량이다. PDF-XChange Viewer의 퍼포먼스 관련 설정은 모두 기본값(automatic)이었다. 보다시피 PDF-XChange Viewer가 Foxit Reader보다 3배 가까운 메모리를 차지하고 있다. 게다가 아이들 시에도 1~2%씩 cpu를 사용하는 모습도 목격됐다. 사용 환경에 따라 차이는 있겠지만, 3배나 차이가 난다면 역시나 저사양에서는 Foxit Reader를 쓰는 게 더 나은 선택이겠다.

두 뷰어의 메모리 사용량 차이는 분명했지만, 사실 로딩 속도 차이나 스크롤 속도 차이는 씨퓨와 램 모두 3기가를 쓰고 있는 나로서는 느끼기 힘들었다. 결론적으로, 가독성이 나은 PDF-XChange Viewer를 개인적으로는 추천하고 싶지만, 저사양 유저이고 별 문제를 느끼지 못 한다면 Foxit Reader도 여전히 좋은 선택이 될 것이다.

당나귀에서 받은 실행파일을 무심코 클릭했다가 아주 징그러운 바이러스(멀웨어 혹은 스파이웨어 혹은 트로이 목마)에 걸려버렸다. 그 무섭다는 소문의 루트킷(rootkit) 종류의 스파이웨어였는데, 덕분에 이틀 동안 사투를 벌였다. flec006.exe로 웹을 검색해보면 무수한 피해사례가 나오는데, '100% 완벽한 복구는 불가능하다'라는 결론이 지배적이었다.

내 경우 즉각 확인할 수 있던 증상은 다음과 같았다.

1. flec006.exe, mdelk.exe, hldrr.exe 등의 프로세스가 상주한다. 강제 종료할 수 없다. 이것들은 시작프로그램에도 동시에 등록된다.
2. 안전모드로 부팅하면 블루스크린이 뜬다.
3. 인터넷이 느려진다-_-
4. 잘 실행되던 백신 프로그램 등이 실행되지 않는다(내 경우 아바스트 홈 에디션과 CCleaner 등)
5. '탐색기>폴더 옵션>보기>고급 설정'에서 '숨김 파일 및 폴더 표시 안함' 설정이 사라진다. 따라서 숨겨진 파일을 볼 수 없게 된다.

그래서 탐색기 대용으로 사용하던 flyExplorer로 조사한 결과 다음과 같은 증상을 더 발견했다.

1. C:\Documents and Settings\사용자 이름\Application Data 폴더 밑에 임의의 폴더가 생성되고 수상한 파일들이 들어찬다. m일 때도 있고 james일 때도 있고-_- 랜덤한 문자열이었다.
2. C:\windows\sysmem32\drivers 폴더에 flec006.exe, mdelk.exe, hldrr.exe 등의 파일이 생성된다. 동시에 down 어쩌고 폴더(역시나 랜덤한 문자열)가 생성되며 이곳에 수상한 파일들이 차곡차곡 다운된다.
   

나중에 알게 됐지만 그외에도 서비스라든가 레지스트리를 '심각하게' 건드리는 바이러스였다. 웹을 뒤져본 결과, 그리고 홀로 이것저것 다 해본 결과 효과가 있었던 해결책은 다음과 같다. 물론 내 경우에 효과가 있었다는 얘기다.

1. X-Cleaner (마이크로 버전) 검사 및 치료.
2. 레지스트리 파일로 안전모드 복구. 이제 다시 안전모드로 부팅할 수 있다.
3. SDFix 검사 및 치료.
4. ComboFix 검사 및 치료. (프로세스에 바이러스가 상주해 있으면 실행이 안 된다)
   
5. AVG 설치, 전체 검사, 치료. (프로세스에 바이러스가 상주해 있으면 설치조차 안 된다)
6. 탐색기 폴더 옵션 복구. 안타깝게도 복구를 했는데도 내 경우에는 이렇게 나오더라. 그래도 이게 어디냐...
   
   

참고한 문서는 다음과 같다.

1. infected with flec006.exe 이 문서에서 큰 도움을 얻었다. 해외에서는 HijackThis가 스파이웨어 분석에 있어 거의 핵심적인 툴로 사용되는 듯하다.
2. hidrr.exe and flec006.exe and exefld 비슷한 내용이다.
3. 바이러스 hlrrr.exe mdelk.exe srosa.sys (Trojan-Downloader.Win32/Bagle) 국내 웹에는 자세한 정보가 없는 편이었다. 백신 소프트웨어 사이트 빼고는. 이 페이지도 지금은 삭제된 듯하다.

그리고 다음은 (내 경우) 효과가 없었던 프로그램들이다.

1. 아바스트 홈 에디션. 이건 뭐 바이러스 걸린 시점에서 실행도 안 되고... 가뿐하게 언인스톨해버렸다. 게다가 이번 일로 알게 된 셈이지만, AVG가 훨씬 더 좋다.
   
2. 위 해외 문서들에서 소개하고 있는 Avenger 버전 1. 이것도 바이러스에 걸린 상태에선 실행이 안 된다. 압축파일 안에서 파일명을 바꾼 뒤에 실행을 시킬 수 있었으나 위의 문서들에서 소개한 스크립트로는 치료되는 게 없었다. 물론 내가 수동으로 flec006.exe 등의 파일을 이미 지웠기 때문일지도 모르지만. 링크 타고 가보면 버전 2를 다운받을 수 있는데 이건 안 써봐서 모르겠다. 별로 쓰고 싶지도 않고.
3. V3+ Neo 최신 버전. 혹시나 했는데 역시나... 전혀 바이러스를 검출하지 못 했다.
4. VundoFix. 속도도 느리고 바이러스도 검출해내지 못 했다.

한 가지 운이 좋았던 건, 내가 인터넷 임시파일 폴더를 램디스크에 잡아놓았다는 점이었다(알다시피 램디스크는 재부팅할 때마다 싸그리 날아가버린다). 하지만 웹서핑 중에 바이러스에 걸린 건 아니니까 별 상관 없는 듯하기도...

어쨌든 이번 일로 수상한 실행파일은 절대 클릭하지 말아야겠다는 교훈을 새삼 확인했다. 문제의 파일은 모 게임의 크랙 파일이었는데, 엄청나게 마이너한 게임인데다가 당나귀에서도 소스가 10개도 안 되는 파일이었음에도 불구하고 바이러스에 걸려있었다니... 충격일 따름이다-_-

최근 2주일 사이에 컴퓨터를 종료하고 다시 부팅했을 때, 대부분의 서비스가 중단되어 곤란에 빠진 일이 2번이나 일어났습니다. 처음엔 그러려니 하고 넘기고 동거인 stcat의 서비스 목록을 보고 필요한 서비스를 다시 실행해서 복구를 했는데, 그저께 또 이런 일이 생기니 뭔가 이상하다는 생각이 들더군요.

혹시나 해서 웹을 찾아봐도 모든 서비스를 중단시키는 바이러스에 대한 정보는 없었고... 그래서 오랫만에 어베스트 백신(avast! antivirus)을 돌려봤습니다. 전에 홈 에디션을 무료로 배포할 때 등록해서 사용중이었거든요. 그랬더니 윈도우 inf 폴더에 devinfo.exe라는 파일이 트로이목마라는 진단이 나왔습니다.


이런 파일이 왜 드라이버 설치 폴더에 들어있는지부터가 상당히 의심스러워서 devinfo.exe로 구글링을 해봤는데, 의외로 검색결과가 8개밖에 안 되더군요. 그중 트로이목마와 관련된 정보는 없었습니다. 아마 심각한 트로이목마나 바이러스는 아닌 듯합니다. 하지만 왠지 기분이 찜찜하다는...-_-; 혹시 저 말고도 이런 진단결과 혹은 devinfo.exe라는 파일이 하드에 있는 분 있나요?

전에 썼던 Elegance 스킨을 버리고...; 결국 원래 쓰던 FofR 스킨으로 돌아왔습니다. 확실히 가벼운 스킨을 쓰다가 무거운 스킨으로 돌아오니 느리긴 느리네요. 뭐, 뽀대를 위해 속도를 희생했습니다-_-



이 스킨의 다운로드나 다른 스샷은 Foobar2000 Blog를 참고해주세요.

어느새 푸바(Foobar2000) 0.9.4.4 버전이 나왔길래 업데이트하는 동시에 스킨도 간만에 바꿔봤습니다. Elegance라는 스킨이고 http://customize.org에서 구했습니다. 제작자는 윈도우 테마를 바꿀 필요는 없다고 했지만 윈도우 테마도 동시에 바꿨구요.


이거 전에 쓰던 스킨은 FofR이라는 스킨이었는데 예쁜 대신 조금 무거운 감이 있었거든요. 푸바를 쓰는 이유가 가볍기 때문인데 무거워지면 좀-_-a

Elegance 스킨의 요구사항(콤포넌츠와 글꼴)은 다음과 같습니다.

required components:

• foo_ui_columns.dll
• foo_ui_panels.dll - tested with panels 0.13.8 (make sure you have the Jun 12 2007 build)
• foo_cwb_hooks.dll
• foo_lyricsdb.dll

optional components:

• foo_uie_albumlist.dll - an alternative to using the library filter
• foo_uie_vis_egoh.dll - alternative spectrum analyzer
• foo_uie_peakmeter.dll - peakmeter visualization
• foo_dsp_crossfader.dll - can be toggled in options panel

required fonts:

• Calibri - Vista font, if you don't have this, Microsoft provides it with the Microsoft Office Compatibility Pack
• AvantGarde LT Medium, AvantGarde LT Medium Caps - can be found included in this VS (do not use calibri.ttf from this link, it's an early version of calibri that's quite buggy)
• Webdings

여기에는 안 나와있지만 앨범 아트를 보고 싶으면 foo_uie_albumart.dll이 추가로 필요합니다. 그리고 foo_uie_vis_egoh.dll은 현재로선 사이트가 없어져서 구할 수가 없더군요. 그냥 기본 스펙트럼 분석기를 사용중입니다. 그래도 꽤 근사하죠? ^^



추가: egoh spectrum analyser를 겨우 구할 수 있었습니다. 1.1.2.0으로 공개된 가장 최근 버전입니다. 제작자 사이트가 부활할 때까지 이 포스트에 첨부하겠습니다.

Added(For foreign visitors): You can get "egoh spectrum analyser"(foo_uie_vis_egoh.dll) 1.1.2.0 below. The original author's site is not accesible for now.

다들 아시다시피(?) 이번에 구글 어스에 스카이(Sky) 모드가 추가됐습니다.
쓸모가 있을지는 모르겠지만; 우주까지 볼 수 있게 되었다는 이야기죠;
자세한 설명은 ZDNet 기사나 후글 님 등 구글 관련 블로그를 살펴보시면
알 수 있을 테니 생략하겠습니다.

솔직히 말해 한 20분 정도 만지작거리고선 흥미가 떨어져서 꺼버리고 말았네요 -_-
재미있는 시도, 정도랄까요. 이걸 만든 개발자들을 생각하면 약간 소름이 돋긴 하지만서도...


네, 그 유명한 안드로메다 은하입니다.
글꼴이 번져서 알아보기가 좀 힘들군요;
뭔가 좀 움직인다면(!) 좋으련만... 여기까지입니다.

문득 밤하늘을 올려다보고 싶어졌지만...
서울 밤하늘은 너무 밝군요 ;)

오픈오피스의 Calc를 어떤 정식 명칭으로 번역해서 부르는지 정확히는 모르겠지만...
일단 '계산기'라고 부르겠습니다. MS 오피스의 엑셀과 같은 프로그램이죠.
이 '계산기'에 이른바 이스터 에그가 있더군요. 바로 갤러그(!) 게임!!!

1. 우선 Calc 를 실행시킵니다.
2. 아무 셀에나 "=game()" 라고 입력합니다. 그리고 엔터를 칩니다.
3. "say what?" 란 글자로 바뀝니다.
4. 이 글자를 마우스 왼쪽 버튼 더블 클릭하면 다시 "=GAME()" 라고 나옵니다.
5. 이 글자를 "=GAME("StarWars")" 로 바꾸어 엔터를 치면 게임이 나옵니다..
출처: 젠투리눅스 한국 사용자모임 및 이스터에그 모음집

대충 이런 화면입니다.

Calc에서 게임하기
뭐 그냥 이런 게 숨겨져 있었구나 하는 정도로 패스;

이미 알 만한 사람은 다 아는 프로그램이라 믿습니다만...



MSN 메신저(특히 live 메신저)의 그 커다란 설치파일, 광고탭 등이 짜증나는 사람들을 위한 작은 메신저 프로그램입니다. 프리웨어이고 popome님이 제작했습니다.

개인적으로 저는 이모티콘이나 윙크(-_-?), 화이트보드 등 MSN 메신저의 각종 기능을 전혀 이용하지 않기 때문에 언젠가부터 설치가 필요없는 웹 기반의 meebo만 사용했었는데요, meebo는 파일 전송이 안 되기 때문에 다른 대체 MSN 프로그램들을 찾다가 마지막으로 발견한 게 바로 mini msn이었습니다(miranda도 사용해봤지만 파일 전송 이나 안정성 부분에서 문제가 있었습니다. 게다가 저에겐 필요없는 설정이 너무 많아서).

mini msn에는 별다른 특별한 기능은 없습니다. 파일 전송이 되는 meebo 정도로 생각하면 딱이지 않을까 싶습니다. 그만큼 사용하기 간편하다는 뜻입니다. 500k도 안 되는 실행 파일 하나만으로 끝입니다. 설치도 별도의 설정도 필요없습니다! 완전 감동적인 프로그램입니다ㅠㅠ)b

마음 같아서는 주위의 모든 사람들 PC에서 MSN 메신저를 싸그리 언인스톨하고 mini msn을 깔라고 강요하고 싶지만... 유감스럽게도 "뭐 이미 깔려있는 MSN 메신저 잘만 쓰고 있는데-_-?"라는 차가운 반응들만 돌아오네요-_-; "그래 광고로 떡칠이 된 광고 메신저 실컷 써라"라고 속으로(;) 투덜대봅니다만... 그야 뭐 개개인의 선택은 존중해야겠죠.


끝으로 제작자가 들고 있는 mini msn을 사용할 이유들을 옮깁니다(아참, 실행 파일 전송할 일이 많은 제 경우 5번 때문에 짜증났던 적이 한두번이 아니었습니다. 그래서 확장자만 exe에서 -_-로 바꿔서 전송하곤 했었죠;).

1. msn과 outlook 주소록이 연동되기 때문에 바이러스 재 배포 수단으로 악용되는 경우가 있어 불안하다.
2. msn의 탭과 광고 기타 메뉴가 많아서 사용에 불편하다.
3. msn 프로그램이 워낙 기능이 많다보니 실행에 무겁고 컴퓨터의 속도에 영향을 준다.
4. msn 아이디가 여러개 있어서 매번 재 로그인을 하고 있다.
5. msn 7.0 부터 특정 확장자 파일 송수신이 자동 차단되며 일일이 압축해서 전송한다.
6. 친구 대화명이 매번 바뀌어 누군지 구분이 안간다.
7. 갑자기 MSN이 설치되있지 않는 컴에서 설치하려니 넘 부담스럽다.

경고-_-
글을 쓸 당시에는 몰랐는데 이 글에서 소개하는 프로그램은
MDI 기반의 프로그램(저의 경우 포토샵이나 AcroEdit 등)과 같이 사용하기엔 조금 불편합니다.

나중에 알았지만 TaskSwitchXP라는 프로그램이 훨씬 더 좋더군요.
크기는 마찬가지로 작고 프리웨어지만 설정도 많고 강력합니다.
설치 파일 크기는 겨우 394KB. TaskSwitchXP를 추천합니다.

원래 글은 일단 그대로 두겠습니다. 이하 원문~




저는 2월에 pc를 샀음에도 불구하고 일반-_-17인치 LCD를 사용중이기 때문에
와이드 LCD 유저에게 필요한 화면 분할 프로그램이나 확장 기능은 필요없고
대신 작은 모니터 유저에게도 유용한 ;) 화면 전환에 관한 프로그램을 소개합니다.
(여담입니다만 아직 와이드 LCD가 대세라고는 할 수 없죠.
 저희 출판사 맥디자이너랑 교정자는 아직도 볼록 CRT를 사용합니다-_-)

바로 지난번 SequoiaView 포스트에서 언급했던
블레이크 핸들러(Blake Handler) 씨의 포스트 [MS의 윈도우용 프리웨어 궁극의 리스트(Ultimate List of Free Windows Software from Microsoft)]에서(휴; 길다;) 당당히 2위를 차지한-_-

Alt-Tab Replacement라는 녀석입니다.

Alt-Tab Replacement

With this PowerToy, in addition to seeing the icon of the application window you are switching to, you will also see a preview of the page. This helps particularly when multiple sessions of an application are open. (MS 윈도우용 파워토이 페이지)

간략히 해석해서
많은 프로그램이 실행중일 때 알트탭으로 전환하려는 창의 미리보기 화면을 볼 수 있어 편리하다,
라는 소개인데요, 네, 맞습니다.
실제로 사용해보면 미리보기 기능이 상당히 유용함을 알 수 있습니다.

가령, 열심히 일하는 중 혹은 전체화면으로 영화를 보는 중에 뿅~하고 msn 메시지가 왔다면?
별 수 없이 하던 일을 멈추고 알트탭을 눌러 메신저 창으로 전환한 후 메시지를 확인해야겠죠.
그러나 이 프로그램을 깔면 알트탭을 누른 채로 메신저 창의 내용을 살짝 본 후(알트는 누르고 있는 상태)
필요없다고 생각되면 다시 탭을 눌러 원래 창으로 돌아오면 됩니다 -_-b



 
다운로드는 위의 MS 페이지에서 받을 수 있습니다. 혹은 여기.
XP 전용인 듯합니다.
용량은 534k. 한번 써볼 만하죠.